El phishing se está convirtiendo en un gran problema que crece a medida que los ciberdelincuentes encuentran nuevas formas de atacar. Con amenazas provenientes de todas las direcciones (correos electrónicos de empresa, mensajes de texto y de voz en dispositivos móviles y en canales de comunicación personal, sitios maliciosos de typosquatting, códigos QR de marketing falsos, etc.), es solo cuestión de tiempo de que alguien pinche, abra o haga clic donde no debiera. En este supuesto, si se produce una brecha de datos dañina, ¿de quién sería la culpa?

En el mundo físico, la vigilancia pública es fundamental, pero no se espera que los ciudadanos se conviertan en policías y agentes de la ley. Sin embargo, en el mundo digital, los empleados (muchos de ellos ajenos al departamento de seguridad de TI) se han convertido en guardianes del phishing y tienen un listado enorme con órdenes acerca de dónde hacer clic y dónde no. 

La seguridad es un juego de equipo y la educación sobre phishing es fundamental. De hecho, los líderes de seguridad identifican la capacitación en concienciación sobre seguridad como uno de los tres componentes más efectivos de una estrategia de defensa en profundidad para combatir el ransomware. Asimismo, numerosas investigaciones muestran que formar regularmente sobre phishing puede promover la mentalidad de juego en equipo. Por otro lado, educar a los usuarios sobre las consecuencias de un comportamiento arriesgado, como reenviar correos electrónicos personales a cuentas de trabajo, también puede ayudar a disipar el mito de que los equipos de seguridad son como cinturones de seguridad todopoderosos: están para proteger a las personas de cualquier daño. 

Pero, ¿es necesario controlar cada clic?

Los ciberdelincuentes están constantemente innovando para llevar a cabo sus ataques, de ahí que la estrategia Zero Trust esté afianzándose en las compañías, ya que se basa en la suposición de que cualquier identidad o endpoint podría verse comprometido. Debido a esto, la seguridad debe comenzar con una mentalidad de suposición de incumplimiento, que reconoce que todos los empleados, independientemente del departamento en el que trabajen, pueden sufrir phishing. Así, en lugar de tratar de controlar cada clic, el foco está puesto en controlar lo que realmente se puede controlar. Por ejemplo, al hacer cumplir una autenticación sólida en todas partes, poner en marcha una “buena higiene” respecto a las credenciales y seguir de manera constante el principio de privilegio mínimo (tanto para identidades humanas como no humanas) puede ayudar a prevenir el robo de credenciales. 

En este enfoque de seguridad no se trata de culpar, sino de concienciar y de colocar las defensas en las capas adecuadas para encontrar y detener a los atacantes con rapidez. Con ese fin, el NCSC ofrece una guía de defensa en profundidad destinada a prevenir la entrega de correos electrónicos de phishing, la ejecución inicial del código y posibles daños futuros. 

Y aunque los humanos estamos biológicamente desarrollados para culpar, en el caso del phishing nos estamos perdiendo (o ignorando) el punto más importante. Es decir, la culpa se refiere a la responsabilidad; la responsabilidad está enraizada en la confianza; y la confianza inherente, en cualquier persona o cosa, debe eliminarse por completo de la ecuación de seguridad moderna.