Eso nos lleva de nuevo al consejo básico para los usuarios: nunca hagas clic en ningún enlace inesperado ni abras ningún archivo adjunto inesperado. No hay excepciones, a menos que el usuario pueda recurrir a un medio de comunicación confiable para verificar la legitimidad, como llamar al número que figura en el reverso de una tarjeta de pago.
Allan Alford, consultor de TI, dijo que no es fácil eliminar mensajes similares a phishing.
“Entrenamos a nuestros usuarios para que no hagan clic en cosas malas o sospechosas. O cosas que se parecen a nuestra gente, pero que en realidad no son nuestra gente”, dijo. “Y luego, un producto SaaS de recursos humanos subcontratado envía un correo electrónico a toda la empresa haciéndose pasar por el jefe de recursos humanos. Y luego marketing envía lo mismo y ventas envía lo mismo. La conclusión es que ‘no hacer clic’ es un consejo poco práctico”.
Alford dijo que la única respuesta es “enseñar a los usuarios finales a comunicarse con el remitente fuera de banda y verificarlo. Y luego necesitamos capacitar a la empresa para que no haga lo que estamos capacitando a los usuarios para que no hagan”.
Gran parte de esto se debe a desconexiones internas entre unidades de negocios dentro de la misma empresa, dijo Padraic O’Reilly, director ejecutivo de la empresa de gestión de riesgos cibernéticos CyberSaint. «A menudo hay una desconexión entre las funciones de seguridad y TI y los departamentos operativos», dijo O’Reilly. «Esas funciones a veces son más discretas de lo que deberían ser».
Bryce Austin, director ejecutivo de TCF Strategy, fue un poco más directo: “Cualquier empresa que envíe a alguien un mensaje de texto por correo electrónico o cualquier otra cosa que diga que haga clic en su enlace necesita repensar realmente sus procesos comerciales.«
El mayor problema, según Pearson, tiene que ver con el retorno de la inversión (ROI) asociado a la solución de problemas de phishing por correo electrónico.
“Cuando calculan el panorama de riesgos, ¿es esto una prioridad suficientemente alta?” Dijo Pearson, sugiriendo que la respuesta es que no, no es una prioridad especialmente alta.
Eso necesita cambiar.