|
concienciación en ciberseguridad de tu equipo

RMM

Proporcione un entorno de aprendizaje seguro a sus empleados

Prepárese para los ataques de phishing con simulaciones y cursos de formación

Lucy permite a las organizaciones asumir el papel de un atacante (simulación de phishing) e identificar las lagunas tanto en la infraestructura técnica como en la concienciación sobre la seguridad y resolverlas a través de un completo programa de aprendizaje electrónico.

Cree plantillas de phishing personalizadas en minutos

Crea tus propias plantillas de phishing con nuestro editor y simula cualquier tipo de ataque de phishing. No son necesarios conocimientos técnicos especiales.

 

Entonces, ¿cómo funciona un ataque de ataque de phishing simulado?

PRIMER PASO: Analice sus necesidades
Hable de sus necesidades

Las simulaciones de phishing proporcionan resultados cuantificables que pueden medirse. Nuestras simulaciones disponibles incluyen SMS Phishing, Corporate Phishing (correos electrónicos simulados que parecen proceder de “dentro” de su propia organización), Board Member Spear Phishing (dirigido a un puñado de personas de alto nivel en una posición de influencia) Ransomware Simulation, Personal Phishing (simulaciones dirigidas a utilizar marcas conocidas como Amazon, Apple, eBay, etc.), y muchas más técnicas. Estas mediciones permiten identificar y seguir las mejoras. El enfoque consultivo que adopta nuestro equipo garantizará que todas las simulaciones y campañas de phishing se adapten a las amenazas a las que se enfrenta su organización. Antes del simulacro de phishing, se aclaran las necesidades y los objetivos y se coordinan con las actividades previstas. El objetivo es definir los elementos clave de la campaña:

  • ¿Atacar o educar primero? Una prueba de simulación puede comenzar con una formación introductoria en la que se eduque a los empleados sobre la seguridad del correo electrónico y las implicaciones del phishing. Una organización también puede crear una cuenta de correo electrónico contra el phishing en la que los empleados puedan compartir fácilmente sus experiencias, sospechas y otros requisitos relativos a las ciberamenazas antes de comenzar el simulacro.
  • Frecuencia del simulacro: La frecuencia de los simulacros debe ajustarse en función de las amenazas percibidas. La cobertura de los usuarios y la frecuencia del simulacro deben determinarse en correlación con el riesgo percibido (por ejemplo, Finanzas y Pagos – 2 temas / X meses, altos cargos – 1 tema / X meses). Las funciones/departamentos de alto riesgo y los individuos que desempeñan papeles importantes en la organización deben ser cubiertos con mayor frecuencia como parte de la simulación.
  • Duración del simulacro: La mayoría de las pruebas de simulación de phishing suelen estar planificadas para un periodo de 12 meses. Sin embargo, puede haber ciertas campañas ad-hoc que son situadas.
  • Momento: ¿cuándo enviar los correos electrónicos? Al planificar la campaña para cada función / departamento o individuo, los correos electrónicos de phishing deben iniciarse con los elementos “Día de la semana” y “Hora del día”.
  • Seguimiento: Una campaña de simulación de phishing puede necesitar un seguimiento mediante correos electrónicos pertinentes del departamento de TI que informen a los empleados implicados sobre la realidad de los correos electrónicos de phishing y lo que se espera de ellos a cambio. Si los usuarios fallan repetidamente, planifique una discusión con ellos para entender qué dificultades están experimentando y por qué. En consecuencia, organice sesiones de concienciación y formación para esos usuarios.
  • Coherencia con las políticas actuales: Una vez implantado, el proceso debe ser ejecutado de forma homogénea para todos los que están en el ámbito de aplicación. La integración en las políticas y procedimientos de seguridad de la información existentes también contribuirá a dar más importancia a la campaña.
  • Elija el tema de phishing adecuado: Consulte la siguiente sección.
  • Comunicación corporativa: Antes de iniciar la campaña de simulación de phishing, elabore un plan de comunicación sobre la simulación de phishing con el jefe de la función / departamento. Es necesario que los empleados conozcan el nuevo proceso, cuáles son las expectativas, qué consecuencias tiene el incumplimiento y cuándo entra en vigor.
  • Grupo objetivo: Si la campaña se dirige a un gran grupo de usuarios que pertenecen a la misma función / departamento, podrían informar a otros del grupo. Por lo tanto, los mensajes de correo electrónico de phishing no deben reenviarse a toda la empresa, ya que despiertan sospechas. En su lugar, el proceso debe ser orgánico y debe dirigirse a un pequeño grupo de empleados seleccionados en un momento dado.
  • Garantizar el compromiso del más alto nivel: El apoyo de la dirección es fundamental para garantizar la eficacia del proceso. Por lo tanto, los usuarios de alto nivel deben tener la voluntad de seguirlo.
  • Preparativos técnicos: Las listas blancas de dominios de phishing, la creación de cuentas de prueba y las pruebas de entrega de correo son algunas de las actividades que deben planificarse cuidadosamente.

En toda actividad de simulación de phishing, el tema desempeña un papel importante para cumplir el objetivo final de educar a los usuarios sobre las amenazas reales. Para proporcionar una experiencia y concienciación del mundo real, el tema seleccionado para el simulacro de phishing debe coincidir con un evento o contexto relevante para el individuo o grupo al que va dirigido. A continuación se indican algunos puntos que deben tenerse en cuenta para que las actividades de simulación sean eficaces:

  • Cualquier tema elegido para una simulación de phishing debe estar alineado con el contexto empresarial y el riesgo percibido para el papel / función / departamento del usuario.
  • El tema del simulacro de phishing seleccionado debe tener relevancia para el individuo o grupo al que va dirigido.
  • Para lograr mejores resultados y experiencia de aprendizaje, la complejidad del tema seleccionado debe llevarse gradualmente a un nivel superior.
  • Empezar con un tema de phishing muy complejo hará que muchos fracasen y no consigan el objetivo final.
  • Cada elemento engañoso de un correo electrónico de phishing debe combinarse con otros trucos que suelen utilizar los atacantes (por ejemplo, un dominio de apariencia con un hipervínculo camuflado, un dominio falsificado con un archivo de doble extensión, etc.).
  • Cada actividad de simulación debe estar limitada en el tiempo; los temas contextuales realizados fuera de un calendario definido perderán su valor.

La simulación de phishing LUCY puede combinarse con servicios que ayuden a la empresa a evaluar mejor el riesgo. He aquí algunos ejemplos:

  • Formación individual: Cada empleado puede recibir una formación individual previa o directamente como seguimiento del simulacro de ataque. Los contenidos de los cursos de formación pueden adaptarse a las políticas existentes en la empresa. Las pruebas interactivas pueden registrar el nivel de conocimientos.
  • Prueba del filtro de correo y de la web: Proporciona un análisis técnico de los posibles canales de entrada del malware. ¿Qué tipos de archivos pueden enviarse por correo electrónico? ¿Qué tipos de archivos peligrosos pueden descargarse?
  • Prueba de seguridad local: ¿Cuál es el riesgo efectivo si un empleado ejecuta un tipo de archivo peligroso? ¿En qué medida funciona la protección técnica para evitar la fuga de datos?
  • Análisis del potencial de ataque: ¿Qué información sensible de los empleados puede verse en Internet? ¿Qué comunican los empleados a través de una dirección de correo electrónico de la empresa cuando están en Internet?
  • Análisis de la cultura de seguridad: La cultura de seguridad actual se registrará y evaluará mediante entrevistas, encuestas y análisis de las directrices existentes.
  • Análisis de la Darknet: Buscamos en la Darknet las fugas de datos existentes y mostramos así una imagen de riesgo completa, que no sólo incluye la visión interna.
  • Campañas recurrentes totalmente gestionadas: ¿Prefiere que las campañas recurrentes sean completamente gestionadas por nosotros? Le invitamos a externalizar el tema de la concienciación sobre la seguridad informática completamente con nosotros.

Empiece hoy mismo con Lucy

Protegiendo a las empresas de América Latina desde hace más de 13 años. Ofrecemos soluciones integrales de ciberseguridad, asesoría técnica especializada y soporte personalizado para garantizar la continuidad de tu negocio frente a las amenazas digitales.

Linkedin Facebook Instagram X-twitter Youtube Spotify Tiktok

Nuestra Certificación ISO/IEC

(hacer clic en sellos)

Nuestros sitios

Nuestros sitios

Ubicación

Contacto

Nuestra Certificación ISO/IEC

(hacer clic en sellos)

Seguridad América.

Copyright © 2025. Todos los derechos reservados.