Entrenamiento anti-Phishing avanzado y gratuito con SecurityIQ

No es la primera vez que os propongo entrenamientos para detectar una de las principales amenazas de internet en nuestros días, el Phishing. Los números hablan por sí solos, basta una pequeña tasa de éxito entre varios millones de usuarios para que sea rentable a los atacantes.

Hace algunos meses hice una review de GoPhish, otro servicio auto-gestionado y potente para evaluar el conocimiento de trabajadores y expertos a la hora de localizar intentos de suplantación de identidad.

Intento siempre traeros recursos que sean gratuitos -o al menos se puedan probar sin coste- así que os invito a leer sobre como detectar el Phishing con Infosec Institute. Al mismo tiempo, es posible además entrenar a los empleados para que sean consecientes de peligros y medidas a tomar.

Entrenamiento frente a Phishing con Infosec Institute

Infosec Institute es una entidad globa líder en formación en ciberseguridad, que cuenta con millones de alumnos en todo el mundo y que pone a nuestra disposición una completísimo catálogo de cursos de seguridad informática, que incluyen los tan populares Certified Ethical Hacker, CISSP, CISM y otros como ITIL, MCSA, CCNA, etc.

Hechas las presentaciones, desde aquí podéis daros de alta en SecurityIQ de manera gratuita. De hecho, la herramienta puede ser usada sin coste para siempre, aunque es evidente que hay limitaciones. En este escalón, solo podremos entrenar a un máximo de 30 personas y tener 5 campañas en funcionamiento a la vez.

Cuando nos registremos, se nos enviará un email malicioso a nuestro buzón de contacto. Una curiosa carta de presentación, al principio pensé «what the f..» pero me dí cuenta de qué iba la cosa.

Esta es una muestra sencilla de lo que podremos hacer con la herramienta. Se pueden hacer cosas bastante más elaboradas, dependiendo del tiempo y ganas que tengamos de invertir en ello.

Como utilizar SecurityIQ Anti-phishing

Para crear nuestra nueva campaña desde cero, elegiremos un nombre que la identifique y el tipo de usuarios con los que vamos a realizar la prueba.

En mi caso he escogido probar con los bots de SecurityIQ. Es muy interesante contar con esta posibilidad, porque además el índice de aperturas de estos bots (según el perfil de usuario que representen) está avalado con datos estadísticos reales.

Escogeremos también la fecha, duración, repeticiones…en mi caso tuve que bajar las repeticions a 4 para poder proceder. Importante es también decidir qué acción se sugerirá al usuario que resulte infectado con phishing de forma efectiva. Por defecto, le enviaremos un recordatorio de entrenamiento en la materia.

Si no lo hemos hecho ya, antes de continuar con el proceso se nos pedirá que añadamos a la lista blanca los servidores dedicados a las pruebas. Si estos emails resultan filtrados por seguridad, no habrá prueba de emails malintencionados que valga.

Existen varias formas de hacerlo (dependiendo de la plataforma, si es cliente-servidor, etc). Consulta cómo Añadir servidores a la lista blanca. En Gmail, por ejemplo, bastaría con buscar el email recibido en primer lugar y añadirlo a contactos.

Acciones posteriores

Tras poner en marcha la campaña subversiva, las estadísticas empezarán a alimentarse y las veremos en tiempo real en el panel.

En este sentido no hay mucho más que contar, salvo que disponemos de números ampliados con todos los datos.

He utilizado un modelo de correo fraudulento ya incluído en la aplicación, para que veáis el ejemplo. Lo bueno de SecurityIQ es que posee una extensa variedad de plantillas destinadas al engaño, segmentadas de varias formas (por ejemplo sector banca, tecnología, seguros, etc).

Recordad que uno de los puntos fuertes de la aplicación es que podemos conectar estos entrenamientos con acciones formativas posteriores, y así ver la evolución de los equipos a la hora de reconocer intentos de phishing en el futuro.

Palabras finales

La herramienta para formación y detección de Phishing que nos propone Infosec Institute es bastante potente, mezclando un alto grado de personalización con facilidad de uso, revisión de informes y despliegue de un plan formación para evitar que los usuarios de nuestra organización o pequeña empresa caigan en la trampa.