El otro día estaba participando en una reunión de empleados de una empresa cuando el director ejecutivo reveló que había sido «atrapado» esa mañana por un correo electrónico de ataque de phishing real .
Ni siquiera fue particularmente complicado. Era algo que él y cualquier otra persona deberían haber captado fácilmente. Simplemente estaba distraído, o simplemente se trataba del discurso de phishing adecuado en el momento adecuado.
De cualquier manera, hizo clic en el enlace fraudulento incluido. Inmediatamente reconoció el error y lo informó debidamente.
¡Estaba impresionado! Este director ejecutivo no dejó que su ego se interpusiera en su camino. Inmediatamente les dijo a todos en la empresa que había sido víctima de phishing con éxito y que lo había denunciado. No puso excusas. No parecía avergonzado. Él era solo un ser humano.
Cómo desearía que más directores ejecutivos tuvieran el mismo tipo de liderazgo.
Este es un director ejecutivo que predica con el ejemplo y demuestra que él también es susceptible a ataques de phishing. Luego les dijo a todos que lo había informado y que el personal de seguridad de TI estaba respondiendo de manera adecuada. Fue un momento maravilloso y educativo.
Cuando un director ejecutivo u otra persona respetada en su organización comparte que fue víctima de phishing con éxito, creo que hace muchas cosas buenas. En primer lugar, muestra a todos los empleados que cualquiera es susceptible. Luchar contra el phishing no es simplemente una cuestión de inteligencia, sentido común o inteligencia. Cualquiera es susceptible al ataque de phishing adecuado en el momento adecuado.
Esto no quiere decir que los directores ejecutivos sean brillantes por naturaleza. Muchos no lo son. Pero creo que la mayoría de la gente estaría de acuerdo en que se necesita algo especial para convertirse en director ejecutivo de una empresa exitosa, liderando a muchas otras personas… e incluso las personas con ese conjunto de habilidades especiales son susceptibles al phishing.
Hace años, yo era empleado de otra empresa, donde una de las personas más brillantes de la empresa, una persona respetada por su inteligencia y liderazgo intelectual en todo el mundo, había caído en un ataque de phishing en el mundo real.
Fue un ataque de phishing. Según Barracuda Networks, aunque los ataques de phishing solo representan menos del 0,1% de todos los ataques de correo electrónico, representan el 66% de las filtraciones de datos exitosas.
El phisher se había apoderado de la cuenta de correo electrónico de otra empresa y encontró un hilo en curso que involucraba un proyecto sobre el que ambas partes intercambiaban mensajes con frecuencia. Luego, el atacante envió un correo electrónico con un documento con una trampa explosiva utilizando el mismo asunto del hilo. El destinatario, el brillante tipo, abrió el documento, pero se sorprendió al ver que en realidad no tenía nada que ver con el proyecto.
Cerró el correo electrónico confundido en cuanto a por qué el remitente se lo había enviado. Unas horas más tarde, nada menos que el día del Super Bowl, el extraño mensaje comenzó a molestarlo. Le preocupaba haber sido víctima de un phishing. Así lo informó. Y efectivamente, era un mensaje de phishing real y había colocado malware en su sistema con éxito. Pero el atacante aún no había podido aprovechar su éxito. El equipo de TI de la empresa lo eliminó antes de que pudiera causar más daño.
Esa empresa hizo de ese ejemplo una parte central de su video anual de concientización sobre seguridad ese año. Fue, como el ejemplo anterior del CEO, uno de los mejores ejemplos para compartir con el resto de la empresa, por las mismas razones.
La segunda lección que estos ejemplos enseñan, más allá de que cualquiera puede ser susceptible, es informarlo (de manera apropiada según las políticas de una organización), incluso si no está seguro, incluso si es más tarde cuando llegue a esa conclusión. Mejor tarde que nunca. Por ejemplo, muchos grupos de ransomware que obtienen acceso inicial a una empresa no utilizan ese acceso durante días, semanas o incluso meses.
En general, creo que cuando los mejores y más brillantes de una empresa informan públicamente (al menos a sus empleados) que ellos también fueron víctimas de un ataque de phishing, demuestra cuán comprometida está la empresa a detener la ingeniería social y los ataques de phishing. Dice: «¡Estamos todos juntos en esto!» y que es necesario dejar de lado la inteligencia y el ego. Pocas cosas dicen más sobre la empresa y el compromiso de sus líderes en la lucha contra el phishing.
Si el director ejecutivo de su empresa es víctima de phishing y lo comparte, considérese en un gran lugar que se preocupa más por disminuir el riesgo de ciberseguridad que por proteger la autoestima de los líderes.
Fuente: Stu Sjouwerman