Editor Top
Los investigadores descubrieron que no había una relación significativa entre si los usuarios habían completado recientemente una capacitación anual y obligatoria de ciberseguridad y la probabilidad de caer en los correos electrónicos de phishing. Crédito: Ioana Patringenaru/University of California San Diego
Los programas de capacitación de ciberseguridad implementados hoy por la mayoría de las grandes empresas hacen poco para reducir el riesgo de que los empleados caigan en estafas de phishing, la práctica de enviar correos electrónicos maliciosos que se hacen pasar por las víctimas para compartir información personal, como sus números de seguridad social.
Esa es la conclusión de un estudio que evalúa la efectividad de dos tipos diferentes de entrenamiento de ciberseguridad durante un experimento controlado aleatorizado de ocho meses. El experimento incluyó 10 campañas de correo electrónico de phishing diferentes desarrolladas por el equipo de investigación y enviado a más de 19,500 empleados en UC San Diego Health.
El equipo presentado su investigación en la Conferencia Blackhat del 2 al 7 de agosto en Las Vegas. El equipo originalmente compartió su trabajo en el 46º Simposio IEEE sobre seguridad y privacidad en mayo en San Francisco.
Los investigadores descubrieron que no había una relación significativa entre si los usuarios habían completado recientemente una capacitación anual y obligatoria de ciberseguridad y la probabilidad de caer en los correos electrónicos de phishing.
El equipo también examinó la eficacia de la capacitación de phishing integrada, la práctica de compartir información anti-phishing después de que un usuario participa con un correo electrónico de phishing enviado por su organización como prueba. Para este tipo de capacitación, los investigadores encontraron que la diferencia en las tasas de fracaso entre los empleados que habían completado la capacitación y los que no lo hicieron era extremadamente baja.
«Tomados en conjunto, nuestros resultados sugieren que es poco probable que los programas de capacitación anti-phishing, en sus formas actuales y comúnmente implementadas, ofrezcan un valor práctico significativo para reducir los riesgos de phishing», escriben los investigadores.
¿Por qué es importante combatir el phishing?
Si el entrenamiento de phishing es efectivo es una pregunta importante. A pesar de los 20 años de investigación y desarrollo sobre técnicas de filtrado de correo electrónico maliciosos, un estudio de IBM de 2023 identifica el phishing como la fuente más grande de infracciones exitosas de seguridad cibernética, 16% en general, escriben los investigadores.
Esta amenaza es particularmente desafiante en el sector de la atención médica, donde las violaciones de datos dirigidas han alcanzado los máximos récord. Solo en 2023, el Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) informó más de 725 grandes eventos de violación de datos, que cubrió más de 133 millones de registros de salud e 460 incidentes de ransomware asociados.
Como resultado, se ha convertido en estándar en muchos sectores para exigir la capacitación de seguridad formal anualmente y participar en ejercicios de phishing no programados, en los que los empleados reciben correos electrónicos de phishing simulados y luego brindan capacitación «integrada» si hacen clic erróneamente en los enlaces del correo electrónico.
Los investigadores intentaban comprender cuál de estos tipos de capacitación es más efectivo. Resulta que, como se administra actualmente, que ninguno de ellos lo es.
¿Por qué no son efectivos los entrenamientos de ciberseguridad?
Una razón por la cual los entrenamientos no son efectivos es que la mayoría de las personas no se involucran con los materiales de capacitación integrados, dijo Grant Ho, coautor del estudio y miembro de la facultad de la Universidad de Chicago, quien hizo parte de este trabajo como investigador postdoctoral en UC San Diego.
En general, el 75% de los usuarios se dedicaron a los materiales de capacitación integrados por un minuto o menos. Un tercio cerró inmediatamente la página de entrenamiento integrado sin comprometerse con el material.
El equipo examinó la eficacia de la capacitación de phishing integrada, la práctica de compartir información anti-phishing después de que un usuario participa con un correo electrónico de phishing enviado por su organización como prueba. Para este tipo de capacitación, los investigadores encontraron que la diferencia en las tasas de fracaso entre los empleados que habían completado la capacitación y los que no lo hicieron era extremadamente baja. Crédito: Ioana Patringenaru/University of California San Diego
«Esto le da alguna sugerencia de que estos entrenamientos, en su forma actual, no sean efectivos», dijo Ariana Mirian, otra coautora de documentos, que hizo el trabajo como Ph.D. Estudiante en el grupo de investigación de los profesores de informática de UC San Diego Stefan Savage y Geoff Voelker.
Un estudio de 19,500 empleados durante ocho meses
Hasta la fecha, este es el estudio más grande de la efectividad de la capacitación anti-phishing, que cubre a 19,500 empleados en UC San Diego Health. Además, es uno de los dos únicos estudios que utilizaron un método de ensayo de control aleatorio para determinar si los empleados recibirían capacitación y qué tipo de correos electrónicos de phishing, o señuelos, recibirían.
Después de enviar 10 tipos diferentes de correos electrónicos de phishing en el transcurso de ocho meses, los investigadores descubrieron que la capacitación de phishing integrada solo redujo la probabilidad de hacer clic en un enlace de phishing en un 2%. Esto es particularmente sorprendente dado el gasto en el tiempo y el esfuerzo que requieren estos entrenamientos, señalan los investigadores.
Los investigadores también encontraron que más empleados cayeron por los correos electrónicos de phishing a medida que pasaba el tiempo. En el primer mes del estudio, solo el 10% de los empleados hicieron clic en un enlace de phishing. Para el octavo mes, más de la mitad había hecho clic en al menos un enlace de phishing.
Además, los investigadores encontraron que algunos correos electrónicos de phishing eran considerablemente más efectivos que otros. Por ejemplo, solo el 1.82% de los destinatarios hicieron clic en un enlace de phishing para actualizar su contraseña de Outlook. Pero el 30.8% hizo clic en un enlace que pretendía ser una actualización de la política de vacaciones de UC San Diego Health.
Dados los resultados del estudio, los investigadores recomiendan que las organizaciones reenvien sus esfuerzos para combatir el phishing en las contramedidas técnicas. Específicamente, dos medidas tendrían un mejor retorno de la inversión: autenticación de dos factores para hardware y aplicaciones, así como administradores de contraseñas que solo trabajan en dominios correctos, escriben los investigadores.
Más información:
Grant Ho et al, entendiendo la eficacia del entrenamiento de phishing en la práctica, 2025 Simposio IEEE sobre seguridad y privacidad (SP) (2025). Doi: 10.1109/sp61157.2025.00076
Citación: Los programas de capacitación de seguridad cibernética no evitan que los empleados se caigan a las estafas de phishing (2025, 17 de septiembre) Recuperado el 17 de septiembre de 2025 de https://techxplore.com/news/2025-09-cybersecurity-dont-employees-falling-phishing.html
Este documento está sujeto a derechos de autor. Además de cualquier trato justo con el propósito de estudio o investigación privada, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona solo para fines de información.
