Un estudio encuentra una forma más inteligente de capacitar a los empleados para frustrar las estafas de phishing

Las empresas a menudo envían correos electrónicos de phishing simulados (o falsos) a los empleados para ver quién muerde el anzuelo y hace clic. Quienes caen en este tipo de estafas suelen recibir una lección inmediata destinada a ayudarles a reconocer mensajes sospechosos la próxima vez.

Estas simulaciones de phishing, conocidas como capacitación integrada porque una vez que los usuarios fallan, son enviados al modo de capacitación, se consideran ampliamente como una «mejor práctica» en la industria anti-phishing de ciberseguridad.

Pero una nueva investigación codirigida por la facultad de Muma College of Business de la Universidad del Sur de Florida encuentra que ese enfoque podría no ser la mejor manera de ayudar a los empleados a aprender de sus errores.

Los hallazgos fueron publicados en MIS trimestral. Los coautores del artículo son Dezhi Yin y Matthew Mullarkey de la Facultad de Negocios Muma de la USF, Gert-Jan de Vreede del Instituto de Tecnología Stevens y Moez Limayem, presidente y profesor de la Universidad del Norte de Florida, quien fue seleccionado este mes para convertirse en presidente electo de la USF.

Los investigadores identifican dos deficiencias asociadas con la formación integrada:

• La retroalimentación instantánea puede tener un alcance limitado. Sólo aquellos que fueron engañados recibieron capacitación, mientras que aquellos que la aprobaron pueden terminar cayendo en un verdadero ataque de phishing más adelante, mostró la investigación.

• Detectar a los empleados en el momento exacto del fracaso, lo que se conoce como capacitación «justo a tiempo», puede ser contraproducente. Esta formación in situ puede provocar reacciones negativas en los empleados, que se sienten expuestos y pueden ponerse a la defensiva.

En cambio, los investigadores recomiendan adoptar un enfoque no integrado. Descubrieron que al proporcionar retroalimentación a todos después de que finaliza toda la simulación, el ejercicio se convierte en una oportunidad de aprendizaje más amplia y positiva.

El estudio empleó tres experimentos a gran escala utilizando una plataforma de simulación de phishing real. Miles de estudiantes recibieron correos electrónicos de phishing realistas, pero simulados. Algunos proporcionaron comentarios inmediatos después de hacer clic, mientras que otros proporcionaron mensajes de seguimiento días después. Luego, el equipo rastreó la probabilidad de que los participantes cayeran en futuras estafas simuladas durante las próximas semanas y meses.

«Dar retroalimentación sólo a las personas que hicieron clic en el correo electrónico de phishing ‘falso’ pierde una gran oportunidad», afirmó Yin. «Descubrimos que los empleados aprenden mejor cuando todos, incluso aquellos que no cayeron en la trampa, reciben un mensaje de seguimiento que explica la prueba de phishing».

Entre las ideas clave del estudio, los investigadores descubrieron:

• Compartir lecciones con todo el grupo, no solo con aquellos que fueron engañados, ayudó a las personas a reconocer las estafas de manera más efectiva y a mantenerse alerta durante meses.
• No es necesario impartir la formación en el punto en que falla para que sea eficaz. Un enfoque demorado pero más inclusivo construye en última instancia una mejor defensa contra ataques reales.

«Las empresas de formación en phishing pueden utilizar directamente nuestros conocimientos clave para diseñar herramientas de software más eficaces, y hemos oído que KnowBe4 ya lo está haciendo», afirmó Mullarkey.

Los hallazgos del estudio podrían ayudar a las empresas a fortalecer sus defensas de ciberseguridad a medida que las estafas de phishing se vuelven más sofisticadas y utilizan cada vez más la inteligencia artificial.

«Los empleados son ampliamente considerados la última línea de defensa en la industria de la capacitación anti-phishing», dijo Yin. «El entrenamiento no integrado proporciona una alternativa más eficaz para fortalecer esta última defensa que el status quo».