La ciberseguridad es un tema que está en boca de todos, especialmente en un mundo donde los ataques digitales pueden desnudarnos completamente el alma (y la información personal) en un abrir y cerrar de ojos. Hoy quiero hablar acerca de una de las prácticas más controvertidas en el ámbito de la ciberseguridad empresarial: los simulacros de phishing. Estas prácticas, que han sido diseñadas para ayudar a los empleados a reconocer correos falsos y otras amenazas, están generando una buena dosis de controversia. Así que, ¡vámonos al fondo del asunto!
Un vistazo a la realidad de un simulacro
Imagina esto: te despiertas una mañana como cualquier otra. Te conectas a tu correo, y, ¡sorpresa! Encuentras un mensaje que promete un bono navideño de 650 dólares de parte de tu empleador. Solo tienes que rellenar un formulario con tu información personal. ¡Qué suerte tienes, ¿verdad?! Bueno, un par de días después, descubres que todo era una trampa. Esto no es una historia de terror… es lo que le sucedió a los empleados de GoDaddy en diciembre de 2020.
Esto no terminó ahí. En un giro oscuro de la trama, la empresa les notificó que habían suspendido un simulacro de phishing. La reacción de los empleados fue de indignación. ¿Por qué utilizar tácticas engañosas en vez de una verdadera educación sobre seguridad cibernética? La compañía incluso se vio obligada a disculparse por lo que describieron como un enfoque «poco sensible».
La efectividad de los simulacros de phishing: ¿realmente funciona?
De acuerdo con un estudio mencionado por Harvard Business Review, estas prácticas no solo no mejoran la seguridad cibernética en las empresas, sino que, en algunos casos, pueden ser contraproducentes. Imagina que durante un simulacro, un colega se siente avergonzado o, peor aún, siente que la empresa «juega» con la seguridad personal de cada uno. Esto no solo hace que los empleados desconfíen de sus superiores, sino que también puede afectar su autoestima y confianza en el lugar de trabajo.
¿No es irónico que un ejercicio diseñado para educar y proteger termine dañando la relación entre empleados y empleador? Uno podría pensar que la relación laboral ya tiene suficientes tensiones sin sumar la desconfianza en torno a la seguridad cibernética.
La ciencia detrás de la gamificación de la educación en ciberseguridad
Un aspecto fundamental en el que muchos expertos coinciden es la necesidad de «gamificar» la experiencia de aprendizaje. En lugar de engañar a los empleados a través de correos falsos y advertencias, el enfoque debe ser más constructivo y motivacional. Y aquí es donde la gamificación entra en acción. Pero, ¿qué significa esto?
La gamificación implica convertir el aprendizaje en un juego. Así, los empleados podrían ganar puntos, recompensas o reconocimientos por identificar correos sospechosos. La clave aquí es hacer sentir a los trabajadores que están en una misión, no a la defensiva. Los expertos sugieren que es importante reconocer los esfuerzos de quienes identifican estas amenazas, en lugar de ridiculizarlos. Después de todo, ¡todos estamos en el mismo barco!
La voz de la experiencia: mi propio encuentro con el phishing
Recuerdo una vez en la que casi caigo en un ataque de phishing. Estaba navegando tranquilamente en mis correos electrónicos cuando un mensaje de un «banco conocido» apareció en mi bandeja de entrada. Prometía una revisión de mi cuenta y me pedía que hiciera clic en un enlace. Mi mente comenzó a correr: «¡Oh, no! ¡No puedo dejar que mi información caiga en manos equivocadas!».
Afortunadamente, había asistido a una charla sobre ciberseguridad en el trabajo y recordaba que los bancos raramente envían este tipo de mensajes. En lugar de eso, logré evitar un ataque que podía haber tenido un impacto serio. Eso sí, bromeo en casa que, si alguna vez me vuelven a invitar a una charla sobre phishing, con gusto iré… ¡siempre y cuando haya café de por medio!
Las advertencias de Google sobre los simulacros de phishing
Los expertos en ciberseguridad de Google también han emitido advertencias sobre el uso de simulacros de phishing. Un estudio de Matt Linton, llamado «especialista en caos» en Google, comparó estos simulacros a los antiguos simulacros de incendio que, en su inicio, solían causar más confusión y pánico que realmente educar. La analogía es perfecta—los simulacros de incendio han evolucionado a lo largo del tiempo para convertirse en experiencias educativas, donde la gente aprende qué hacer en caso de emergencia. Pero los simulacros de phishing todavía parecen estar en la fase «hágalo usted mismo».
Un enfoque más efectivo: educación y mejores prácticas
En lugar de jugar con la confianza de los empleados al enviar correos falsos, ¿no sería más inteligente adoptar un enfoque más transparente y educativo? La educación continua es crucial. Los empleados deben ser informados sobre cómo actuar ante correos sospechosos, además de aprender a proteger su información personal y empresarial.
La implementación de prácticas de seguridad recomendadas, como la autenticación de dos factores, puede proporcionar una capa adicional de protección. También sería ideal fomentar un ambiente donde se pueda discutir abiertamente sobre los ataques de phishing y compartir experiencias, algo que podría traducirse en lecciones importantes para todos.
¿Qué está haciendo la industria?
Mientras algunos gigantes tecnológicos como Microsoft ofrecen documentos detallados respaldando este tipo de simulacros, la verdad es que la comunidad de ciberseguridad está en constante evolución. Actualizaciones, estudios de casos y mejoras son necesarias para destinarlas directamente a los aspectos más críticos de la ciberseguridad empresarial.
Las autoridades como la FTC en EE. UU. incluso desarrollan pequeñas herramientas para ayudar a los usuarios a distinguir entre correos electrónicos de phishing y correos legítimos. En este terreno, el conocimiento es poder. Y, si bien algunas empresas continúan con los simulacros de phishing, la clave será encontrar un equilibrio.
Reflexiones finales: ¿estamos en el camino correcto?
La verdad es que si sigues en este mundo aterrador de la ciberseguridad (y yo dudo que haya alguien que se escape de él), lo más importante es que toda empresa se tome el tiempo necesario para educar a sus empleados, no para engañarlos. Después de todo, la confianza es un recurso precioso en cualquier relación, y en un entorno laboral donde todos están expuestos a riesgos cibernéticos, no necesitamos desconfianza adicional.
Entonces, en lugar de esperar a que el próximo ataque llegue en forma de un correo electrónico sospechoso, ¿por qué no construir un ambiente donde la conversación sobre seguridad cibernética sea abierta y honesta? Recuerda, todos somos un poco vulnerables, y está bien admitirlo. Pero, si podemos aprender a reconocer las trampas y trabajar juntos para defendernos, tal vez no tengamos que preocuparnos tanto. ¿No sería eso, al final, lo que todos queremos?
