Una forma cómoda para los usuarios de denunciar un ataque de phishing es utilizar un buzón de correo malicioso, por ejemplo, phishing@empresaabc.net Aunque estos buzones son eficaces, a menudo requieren numerosos intercambios entre el departamento de TI y los usuarios para recopilar detalles críticos como los encabezados de los mensajes.
Por eso, complementos (add-on) o botones de denuncia de correo electrónico, como Proofpoint PhishAlarm, que son más simples y funcionales que un buzón de correo malicioso, están ganando en popularidad como herramientas de denuncia de mensajes sospechosos.
Figura 1. Botón de denuncia de mensajes Proofpoint PhishAlarm
Para recopilar los indicadores necesarios para este artículo de blog, el segundo de esta serie, hemos analizado datos de millones de usuarios de nuestro botón de denuncia de mensajes de correo electrónico PhishAlarm.
Además, Proofpoint utiliza activamente los datos de PhishAlarm para ayudar a sus clientes a comparar su rendimiento respecto a empresas de la competencia, a obtener visibilidad del comportamiento de los usuarios y a mejorar sus principales indicadores de rendimiento (KPI). La optimización de flujo de trabajo de denuncia de ataques de phishing que hace posible PhishAlarm permite ahorrar tiempo a los usuarios y a los equipos de seguridad de TI, ofreciendo al mismo tiempo información valiosa sobre la resiliencia de los usuarios y el enfoque de protección del correo electrónico de la organización.
Figura 2. Las etiquetas de advertencias de correo electrónico de Proofpoint contienen un botón de denuncia (“Report Suspicious”) que proporciona a los clientes una forma innovadora de ayudar a los usuarios a mejorar la precisión de las denuncias de mensajes y reforzar la protección del correo electrónico.
Si bien en este artículo no se incluyen datos sobre las etiquetas de advertencias de correo electrónico asociadas a la funcionalidad “Report Suspicious”, pensamos disponer en el futuro de datos sobre esta funcionalidad y sobre cómo pueden mejorar la tasa de denuncias y su precisión. Estos banners HTML son contextuales y personalizables, y aumentan poco o nada la carga de trabajo de los equipos de TI a la hora de ayudar a los usuarios a detectar y denunciar los mensajes sospechosos.
Tasa de fallos y de denuncias como indicadores del comportamiento de los usuarios
Aunque las simulaciones de ataques de phishing de los programas de concienciación siempre han sido una herramienta muy popular para comprender el comportamiento de los usuarios, la “tasa de clics” o la “tasa de fallos” de las simulaciones no son un indicador ideal del comportamiento de los usuarios cuando es el único indicador que se tiene en cuenta.
La tasa de fallos se define como el peor escenario posible, según el tipo de plantilla utilizada:
- Plantilla basadas en enlaces: los usuarios hacen clic en el enlace.
- Plantilla basadas en adjuntos el usuario abre un archivo adjunto.
- Plantilla basada en la introducción de datos/credenciales el usuario envía sus credenciales de conexión.
Mensaje importante: la tasa de fallos no permite por sí sola evaluar correctamente el comportamiento de los usuarios ¿Por qué?:
- Las tasas de clics varían considerablemente de unas plantillas a otras.
- La tasa de fallos demuestra que los usuarios han evitado los malos comportamientos, pero no que han adoptado los buenos.
- La tasa de fallos es solo un indicador y, por sí solo, no permite disponer de una visión global del comportamiento del usuario.
Los datos recopilados por Proofpoint durante las simulaciones de ataques de phishing mostraron tasas de fallos muy variables según la plantilla. Por ejemplo, en el caso de algunas plantillas de menor dificultad, las tasas de fallos son de una sola cifra. En otros casos, como la plantilla de Netflix que se muestra a continuación, las tasas de fallos registradas para algunas campañas se aproximaban al 100 %.
Figura 3. Plantilla de correo electrónico de simulación de ataque de phishing de Netflix
El análisis de la tasa de fallos no es suficiente, y hay que tener en cuenta también la tasa de denuncias de las simulaciones de ataque para comprender el comportamiento de los usuarios. La tasa de denuncias demuestra el “buen comportamiento” de los usuarios y su contribución a la seguridad de la empresa. Cuanto más alta sea la tasa, más probabilidad habrá de que los usuarios denuncien mensajes sospechosos reales, que permita a sus equipos de seguridad de TI intervenir antes de que el daño sea mayor.
Tasa de denuncias + tasas de fallos = factor de resiliencia
¿Qué obtenemos al combinar la tasa de fallos con la tasa de denuncias? Obtenemos lo que se conoce como “factor de resiliencia”. La Figura 4 muestra la fórmula que utilizamos para calcular el factor de resiliencia medio de nuestros clientes, que es 1,2.
Figura 4. Factor de resiliencia medio de los clientes de Proofpoint
Hemos observado que la tasa media de denuncias de simulaciones de ataques de phishing de nuestros clientes era del 13 %. También hemos observado una mejora de esa tasa año tras año, como consecuencia del número cada vez mayor de organizaciones que implementan un complemento (add-on) de denuncia de ataques de phishing y explican su funcionamiento a los usuarios. Durante el mismo período, la tasa de fallos media (11 %) también experimentó un ligero descenso respecto al año anterior.
El factor de resiliencia puede mejorarse de manera importante, como hemos podido constatar en el caso de muchos clientes de Proofpoint. Recomendamos aspirar a un factor de resiliencia ambicioso de 14, o una tasa de denuncias media del 70 % y una tasa de fallos del 5% o inferior. Además, recomendamos a nuestros clientes utilizar ambos indicadores, teniendo en cuenta que la disminución de la tasa de fallos tiene un límite (casi nunca será igual a cero) y que cuando lance campañas más dirigidas y complejas esa tasa puede variar drásticamente.
Los clientes con mejor rendimiento han conseguido alcanzar este factor de resiliencia ambiciosos de 14, lo que demuestra hasta qué punto la formación en seguridad puede ser eficaz a la hora de modificar el comportamiento de los usuarios. Si su factor de resiliencia es inferior, tenga en cuenta que cambiar el comportamiento de los usuarios requiere tiempo y compromiso permanente con la concienciación en seguridad.
Los datos que hemos utilizado para calcular el factor de resiliencia medio muestran también que el número anual medio de mensajes denunciados por usuario era ligeramente superior a cinco. Prevemos un aumento importante de esta cifra en los próximos años, a medida que las organizaciones intensifiquen sus iniciativas de formación y que los usuarios se habitúen a denunciar los mensajes sospechosos.
Análisis detallado de las tasas de denuncias y de fallos por sector y por tipo de plantilla
La siguiente tabla incluye un análisis detallado de las tasas de fallos y de denuncias por sector, así como los factores de resiliencia correspondientes, calculados mediante la fórmula anterior. Observamos que los servicios financieros son el sector que presenta la tasa de denuncias más elevada (20 %), mientras que el sector jurídico es que tiene el mejor factor de resiliencia (2,1).
Figura 5. Tasa de fallos y de denuncias desglosadas por sector
También observamos diferencias en las tasas de fallos y de denuncias por plantilla:
|
Tipo de plantilla |
Tasa de denuncias media |
Tasa de fallos media |
Coeficiente de resiliencia medio |
|
Adjunto |
18% |
20% |
.9 |
|
Introducción de datos/credenciales |
15% |
4% |
3.8 |
|
Enlace |
13% |
12% |
1.1 |
La tasa de denuncias más alta se observa en las plantillas basadas en adjuntos. Sin embargo, según nuestro estudio estas simulaciones de ataques de phishing registran también la tasa de fallos más elevada. A pesar del atractivo que tienen para los usuarios los adjuntos por su contenido (datos de exposición a la COVID-19, importe de primas a empleados, etc.) en las simulaciones de ataque, algunos usuarios pueden ser más prudentes y denunciar estos tipos de adjuntos peligros.
Según nuestro estudio, el coeficiente de resiliencia para las simulaciones de ataques de phishing basadas en la introducción de datos/credenciales es mucho mayor que en el caso de los otros dos tipos de plantillas. (Conviene señalar que la introducción de datos o de credenciales necesita un paso adicional. Para no superar la prueba de simulación de ataque de phishing, los usuarios deben hacer clic en el enlace y enviar sus credenciales).
Distribución de la tasa de denuncias
El rendimiento de una empresa en cuanto a tasa de denuncias depende de su nivel de concienciación en seguridad y del tiempo que los usuarios han estado utilizando un botón o un add-on de denuncia de mensajes. Por tanto, no se desanime si después de solamente unos meses de uso de la herramienta, su organización no presenta todavía un rendimiento alto. Modificar el comportamiento de los usuarios e instaurar una cultura de seguridad en la empresa requiere tiempo y esfuerzo.
Figura 6. Eje Y: número de clientes, eje X: tasa de denuncias de ataques de phishing. Este gráfico muestra que la mayoría de los clientes presentan tasas de denuncias bajas, ya que los complementos (add-on) de denuncia son poco conocidos y poco utilizados por los usuarios. Sin embargo, las organizaciones pueden cambiar esta situación.
Muchas organizaciones presentan tasas de denuncias bajas, algo que es normal.
Tasa de denuncias media de simulaciones de ataques por percentil:
|
Percentil |
Porcentaje de usuarios que denuncian simulaciones de ataque |
|
25% |
1.4% |
|
50% |
8.5% |
|
75% |
19.9% |
|
Media |
13% |
|
Usuarios con mejor rendimiento |
83.6% |
Son muchas las razones que explican las bajas tasas de denuncias:
- Las organizaciones han implementado hace poco los add-on de denuncia de mensajes de correo electrónico.
- Los usuarios puede que dispongan de varias opciones de denuncia (como el buzón de correo malicioso).
- La formación de los usuarios no cubre el funcionamiento de los add-on de denuncia de mensajes.
- Los usuarios eliminan o ignoran de manera instintiva los mensajes de correo electrónico que no esperaban recibir.
Un poco de formación puede contribuir enormemente a mejorar la tasa de denuncias de su organización. Son muchas las medidas que pueden ayudarle a mejorar su tasa de denuncias y acercarse a las organizaciones con mejor rendimiento: incluir los mensajes en las comunicaciones relativas a la concienciación sobre seguridad, explicar el funcionamiento del add-on durante los cursos de formación en materia de seguridad y enviar comentarios a los usuarios que denuncian mensajes de ataques simulados de phishing.
Compare sus resultados con los de la competencia
El nuevo panel de CISO avanzado de Proofpoint le permite conocer la clasificación de su organización (por percentil) en cuanto a denuncia de simulaciones de ataques de phishing. Proporciona datos contextuales que le permiten comparar en tiempo real sus resultados con los de otras empresas del sector y clientes de Proofpoint. También encontrará otros indicadores clave asociados a la concienciación en seguridad, que podrá compartir fácilmente con su jefe de seguridad de la información (CISO) y otros interesados.
Figura 7. Puntuaciones y resúmenes relativos a la denuncia de ataques de phishing
¿Qué denuncian realmente los usuarios?
Su empresa sale claramente ganando cada vez que un usuario denuncia una simulación de ataque de phishing. Después de todo, ese es el objetivo del ejercicio. Pero ¿qué pasa cuando los usuarios se enfrentan a mensajes de phishing reales?
En nuestro próximo artículo de blog, examinaremos la eficacia con la que los usuarios denuncian los mensajes maliciosos y ayudan a su organización a reforzar su nivel de seguridad.