Investigadores del Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos han desarrollado un nuevo método que podría usarse para evaluar con precisión por qué los empleados hacen clic en ciertos correos electrónicos de phishing. La herramienta, denominada Phish Scale, utiliza datos reales para evaluar la complejidad y la calidad de los ataques de phishing para ayudar a las organizaciones a comprender dónde se encuentran sus vulnerabilidades (humanas).

Lectura relacionada: Por qué los ataques de phishing siguen siendo tan efectivos

Recordemos que, en su forma más simple, el phishing es un correo electrónico no solicitado, o cualquier otra forma de comunicación electrónica, en la que los ciberdelincuentes se hacen pasar por una organización confiable para engañar a los usuarios y de esta manera intentar robar sus datos. La información robada, como pueden ser las credenciales de acceso a una cuenta o servicio, pueden ser utilizadas por los cibercriminales para realizar más ataques o pueden venderlos en la dark web para cometer fraude o robo de identidad.

Por lo tanto, cualquier empresa u organización que se tome en serio la seguridad de sus activos realiza periódicamente capacitaciones o entrenamientos sobre phishing para ver si sus empleados pueden distinguir entre correos electrónicos legítimos y de phishing. Estas capacitaciones tienen como objetivo aumentar la atención y vigilancia de los empleados y enseñarles a detectar aquellos elementos que permiten identificar los ataques de phishing disfrazados de correos electrónicos legítimos, lo que ayuda a evitar que caigan en la trampa y a la vez protege a las organizaciones de cualquier daño, ya sea monetario o que afecte a su reputación.

Estos ejercicios suelen ser supervisados ​​por los directores de seguridad de la información (CISO) de la organización, que evalúan el éxito o el fracaso de estos ejercicios en función de las tasas de clics; es decir, la frecuencia con la que los empleados hacen clic en un correo electrónico de phishing. Sin embargo, los resultados no explican el problema en su totalidad.

Lectura relacionada: Google publicó test de phishing para que usuarios aprendan a reconocer correos fraudulentos

"Phish Scale tiene como objetivo ayudar a proporcionar una comprensión más detallada de si un correo electrónico de phishing en particular es más difícil o más fácil de detectar para un público objetivo en particular", dijo la investigadora del NIST, Michelle Steves, en el comunicado de prensa que anuncia la nueva herramienta.

Phish Scale analiza dos elementos principales a la hora de evaluar qué tan difícil es detectar un potencial correo de phishing. La primera variable que evalúa la herramienta son las 'señales de un correo electrónico de phishing'; es decir, signos observables como errores ortográficos, uso de direcciones de correo electrónico personales en lugar de correos electrónicos corporativos, entre otras.

Mientras tanto, la segunda variable tiene en cuenta la 'alineación del contexto del correo electrónico con el usuario' y aprovecha un sistema de calificación para evaluar si el contexto es relevante para el objetivo: cuanto más relevante es, más difícil se vuelve identificarlo como un correo electrónico de phishing. Basándose en una combinación de estos factores, Phishing Scale clasifica la dificultad de detectar el phishing en tres categorías: mínima, moderada y muy difícil.

Estas categorías pueden proporcionar información valiosa sobre los ataques de phishing en sí mismos, así como ayudar a determinar por qué es más o menos probable que las personas hagan clic en estos correos electrónicos.

Phish Scale tiene como objetivo proporcionar a los CISO una mejor comprensión de los datos que se desprenden de la tasa de clics, por lo que no se basan únicamente en el resultado numérico. “Una tasa de clics baja para un correo electrónico de phishing en particular puede tener varias causas: los correos electrónicos utilizados como parte de la capacitación sobre phishing son demasiado fáciles de detectar o no brindan un contexto relevante para el usuario, o el correo electrónico de phishing es similar a uno utilizado en un ejercicio anterior. Por lo tanto, si la tasa de clic se analiza por sí misma sin comprender la dificultad del correo electrónico de phishing, la interpretación de los datos puede llevar a una falsa sensación de seguridad”, dijo NIST.

Si bien todos los datos que se utilizaron para alimentar la herramienta Phish Scale se han originado en el NIST, el instituto espera probar la herramienta en otras organizaciones y empresas para evaluar su funcionamiento. Una vez que puedan refinar la herramienta, esperan poder sacar Phis Scale del entorno de la investigación y ofrecerla para su utilización.

Para obtener más información sobre la herramienta y la investigación detrás de ella, puede leer el artículo Categorizing human phishing difficulty: a Phish Scale, publicado por los investigadores Michelle Steves, Kristen Greene y Mary Theofanos.