Usando la técnica de “Ethical phishing”, Orión realizó una investigación sobre el comportamiento de los usuarios ante un correo potencialmente sospechoso. La minoría entregó sus datos personales igual.
Junio 2022.- Aunque ha pasado tiempo desde que se conocen estas metodologías, e incluso teniendo mayor difusión de las medidas preventivas, los métodos de estafa vía internet siguen funcionando: mensajes de texto, links por redes sociales, enlaces por WhatsApp y, uno de los más conocidos, el mailing.
Para conocer cómo se comportan los usuarios ante un mail sospechoso, Orión realizó una investigación basada en la metodología de “Ethical phishing” al interior de una empresa tipo. Esta técnica consiste en un engaño simulado, autorizado dentro de una organización, que permite analizar si las personas realizan acciones que no deberían y así evaluar sus fortalezas y debilidades.
En la recolección de antecedentes, a partir de dos campañas de mailing, con diferentes llamados a la interacción, enviadas a más de 5.000 personas en cuatro países de Sudamérica, el 83% de los receptores abrió el correo a pesar de los potenciales riesgos. Y entre quienes leyeron el correo, el 34% visitó el enlace al sitio supuestamente malicioso del estudio, sin hacer caso a la advertencia.
Según la investigación de Orión, en los usuarios que visitaron el enlace, el 25% entregó los datos personales solicitados por la web y en la mayoría de los casos fidedignos. De haber sido una ciberestafa real, casi 350 personas habrían tenido graves problemas.
Ofertas engañosas
En la primera campaña, el mail enviado anunciaba el premio de una giftcard de $100 dólares en una reconocida marca de pago en línea y se invitaba a seguir el link para poder reclamar la recompensa. Uno de los mayores problemas que tuvo la campaña es que el mail avisaba que podía tratarse de algo fraudulento, además de avisos en el enlace y un anuncio antes de entrar al sitio web.
La segunda campaña, utilizó un correo suplantando a una empresa de logística de envíos. La comunicación, indicaba que el usuario tenía una encomienda que no pudo ser entregada y debía coordinar su despacho ingresando su dirección y un número de teléfono. En este caso, las barreras que existían eran menores y la entrega de datos era mucho más cercana.
En ambos casos, el objetivo de Orión era analizar el comportamiento de los usuarios y ver cuántos entregaban sus datos personales, tales como dirección del hogar y oficina, RUT o DNI, teléfono o mails.
Los resultados confirman que, hoy en día, los riesgos que trae el mundo digital son aún más grandes que los que existían antes de la pandemia. Las brechas que hay dentro de las empresas en temas de digitalización y ciberseguridad son enormes y es por esto que se debe poner mayor énfasis a la concientización de los ciudadanos, empresas y emprendimientos.
Orión ofrece diferentes servicios que podrían ayudar a prevenir, reforzar y analizar los diferentes riesgos a los que pueden estar expuestos las diversas instituciones. Cuenta con servicios de análisis y pruebas, educación a los usuarios, construcción de políticas de seguridad, soluciones de protección en aplicaciones que se mantienen en la nube, entre otros. Estos permiten tener mayor control de la empresa y los problemas que podrían llegar a surgir.
Es por esto que es necesario hacer una evaluación dentro de la compañía y preguntarse ¿Qué tan
preparados se encuentran para enfrentar un problema de ciberseguridad? ¿Qué tan vulnerables están ante esto? ¿Qué tan conscientes de la ciberseguridad son sus usuarios y trabajadores? Y así,
sabiendo en qué estado se encuentra poder tomar acciones correctivas para evitar posibles estafas y
vulneraciones a los sistemas.