Cuando los empleados dejan de caer en la trampa de los correos electrónicos de phishing, rara vez es cuestión de suerte. Un nuevo estudio demuestra que la formación continua y obligatoria contra el phishing puede reducir las conductas de riesgo con el tiempo. Tras un año de simulaciones constantes y sesiones de seguimiento, la probabilidad de que los empleados cayeran en la trampa se redujo a la mitad.
La investigación , realizada por equipos de diversas universidades, ofrece una perspectiva de cómo cambia el comportamiento cuando el entrenamiento nunca cesa.
Por qué importa el entrenamiento a largo plazo
El phishing sigue siendo el punto de partida de la mayoría de los ciberataques, y la formación en concienciación es una práctica habitual. Aun así, muchas empresas se preguntan si realmente funciona. El estudio siguió a más de 1300 empleados de 20 empresas durante un periodo de 12 meses para averiguar qué funciona cuando las simulaciones de phishing se repiten con regularidad y se complementan con formación obligatoria.
Durante el año, cada empleado recibió una serie de correos electrónicos de phishing simulados. Cuando alguien realizaba una acción insegura, como hacer clic en un enlace malicioso , el sistema le asignaba una breve sesión de capacitación obligatoria antes de que pudiera reincorporarse al trabajo. En total, se enviaron más de 13 000 correos electrónicos de phishing, cada uno diseñado para evaluar diferentes señales psicológicas como la urgencia, la curiosidad o la percepción de utilidad.
Al finalizar el experimento, los empleados cometían muchos menos errores. Los clics y envíos inseguros se redujeron aproximadamente a la mitad en seis meses y luego se estabilizaron cerca del promedio del sector para las organizaciones que ofrecen capacitación continua. Los resultados sugieren que la repetición y la frecuencia son más importantes que el formato de las lecciones en sí.
Las emociones siguen impulsando los errores
El estudio también examinó qué factores emocionales y contextuales aumentaban la probabilidad de que las personas interactuaran con un mensaje de phishing. Se descubrió que algunas señales emocionales siguen teniendo efecto incluso en entornos laborales con campañas de concienciación periódicas.
Los correos electrónicos que apelaban a la utilidad o la cooperación fueron los más eficaces para engañar a los usuarios. Los mensajes que parecían provenir de la propia organización también funcionaron mejor que los que aparentaban provenir de una fuente externa. Al combinar estas dos características con detalles personalizados, la tasa de éxito aumentó notablemente.
En cambio, los mensajes que apelaban a la urgencia o la autoridad resultaron menos efectivos. Los autores creen que esto puede reflejar una familiaridad cada vez mayor con estas tácticas, que los empleados han presenciado repetidamente tanto en ataques reales como en simulacros. El miedo y la curiosidad aún influyeron, pero no tanto como los mensajes que apelaban a la confianza y el altruismo.
Los resultados sugieren que las tácticas de phishing están evolucionando, pasando de tácticas de presión evidentes a otras más sutiles basadas en la interacción social. Los empleados que desean ser útiles o mostrarse receptivos pueden convertirse en objetivos más fáciles que aquellos que reaccionan por miedo o prisa. Para los responsables de seguridad de la información (CISO), esto refuerza la necesidad de capacitar a los usuarios sobre la manipulación mediante la confianza y la cooperación, y no solo sobre las señales de alerta de los mensajes urgentes o amenazantes.
Richard A. Dubniczky , coautor del estudio, comentó a Help Net Security que la investigación también apuntaba a pequeñas diferencias entre departamentos. «Encontramos algunas correlaciones en la vulnerabilidad», afirmó. «Por ejemplo, los empleados de Recursos Humanos, Finanzas y el área Legal eran más propensos a descargar y abrir archivos adjuntos peligrosos. Esto no necesariamente refleja una menor conciencia de seguridad por su parte, sino que puede deberse a que están mucho más acostumbrados a trabajar con archivos adjuntos. En cambio, los desarrolladores eran muy propensos a hacer clic en correos electrónicos que indicaban que se les mencionaba en un ticket de Jira y les pedían que hicieran clic para averiguar el motivo ».
Añadió que, si bien estos hallazgos eran interesantes, el tamaño de las muestras de algunos departamentos era demasiado pequeño para extraer conclusiones científicas sólidas. Aun así, las observaciones ponen de relieve cómo los hábitos específicos de cada rol pueden influir en el riesgo y cómo la formación debería reflejar esos patrones.
La retroalimentación inmediata modifica el comportamiento
Uno de los hallazgos más llamativos tiene que ver con el momento de la retroalimentación. Cuando los empleados hacían clic en un enlace de phishing y recibían inmediatamente una explicación y una capacitación, era mucho menos probable que repitieran el comportamiento. Aproximadamente siete de cada diez empleados que cometieron el error una vez no lo volvieron a hacer.
Este patrón respalda la idea de que el contexto y el momento oportuno son tan importantes como el contenido de la capacitación. Cuando las personas comprenden de inmediato sus errores y cómo fueron manipuladas, la lección se asimila mejor. Esperar a sesiones de concientización trimestrales o anuales puede provocar que el recuerdo de ese momento se desvanezca.
Los investigadores describen esto como formación «justo a tiempo», donde cada actividad de aprendizaje surge directamente de una interacción real. Señalan que este enfoque ayuda a que la concienciación se sienta relevante para el trabajo diario, en lugar de un mero ejercicio corporativo aislado.
Evitar que el interés disminuya
Dubniczky afirmó que mantener el compromiso de los empleados a lo largo del tiempo representa un gran desafío para la mayoría de las organizaciones. «A diferencia de otras investigaciones en este campo, una de nuestras principales contribuciones fue la capacitación obligatoria tras cada intento fallido de phishing», explicó. «Esto logra un buen equilibrio entre no molestar innecesariamente a los empleados más diligentes con capacitaciones mensuales o trimestrales y garantizar que las personas con mayor riesgo reciban capacitación constante».
Recomendó que las organizaciones varíen sus simulaciones de phishing para mantener a los usuarios alerta. «Recomendamos realizar pruebas de penetración mensuales en grupos reducidos de personas de distintos departamentos de la organización, con un patrón aparentemente aleatorio, y que la capacitación sea obligatoria en caso de ataques exitosos», afirmó. «Si bien es difícil generalizar, este enfoque parece mucho más eficaz que las capacitaciones periódicas tipo presentación».
Lo que las organizaciones pueden aprender
La investigación también reveló cómo la rotación de personal afecta los niveles de concienciación. Cuando los nuevos empleados se incorporaban a las empresas durante los periodos de integración , las tasas de éxito en los ataques de phishing aumentaban temporalmente. Estos empleados fueron responsables de una gran parte de los errores hasta que completaron los módulos obligatorios. Esto sugiere que los programas de formación continua deben incluir una integración rápida y un seguimiento constante para el nuevo personal.
Aunque el estudio se centró en un holding europeo y sus filiales, los investigadores creen que los resultados son aplicables a cualquier entorno donde se realicen pruebas de phishing y programas de concienciación . Reconocen, además, algunas limitaciones. Dado que los participantes sabían que las simulaciones formaban parte de la política de la empresa, podrían haber sido más cautelosos que en un ataque real. Aun así, el largo periodo de observación y la combinación de diferentes señales emocionales hacen de este trabajo uno de los más exhaustivos en este campo.
Datos abiertos para que otros los prueben
Para garantizar la transparencia, el equipo publicó sus plantillas de correo electrónico, datos y código en GitHub . El repositorio incluye los mensajes de phishing utilizados en los experimentos y los scripts para analizar el comportamiento de los usuarios. Esto permite que otras organizaciones estudien o adapten los materiales para sus propios programas de concienciación.
Fuente y redacción: helpnetsecurity.com / Mirko Zorz
