Cómo una simulación de vishing transformó la cultura de ciberseguridad del departamento de Cher
Entrevista realizada a Aurélien LALEVEE, RSSI del departamento de Cher.
Objetivo: poner a prueba la vigilancia frente al vishing... y demostrar que «no solo les pasa a los demás».
Cuando se le pregunta por qué lanzar una campaña de simulación, Aurélien lo tiene claro:
«Nuestro objetivo principal era poner a prueba la vigilancia de nuestros empleados ante un intento de vishing (llamada fraudulenta), en concreto, un escenario de falsa orden de transferencia internacional (FOVI)».
Aurélien LALEVEE, RSSI del departamento de Cher
La idea: evaluar la capacidad de los equipos para reconocer un intento de ingeniería social por teléfono y por correo electrónico y, sobre todo, comprobar que adoptan los reflejos adecuados.
Pero detrás de este objetivo operativo, también había un mensaje que transmitir: los ataques no solo afectan a los demás, y es mucho más fácil de lo que se cree engañar a alguien por teléfono.
Escenario: un falso agente, un número suplantado y un guion muy creíble.
Para llevar a cabo el ejercicio, el departamento se basó en la solución de Hucency («Avant de Cliquer» en el momento del lanzamiento).
El guion era sencillo sobre el papel, pero tremendamente realista.
Un falso agente, que se presentaba como un nuevo colaborador del servicio de ejecución presupuestaria, llamaba a los agentes seleccionados para pedirles que actualizaran sus datos bancarios a través de un enlace enviado por correo electrónico, utilizando un dominio casi idéntico al dominio oficial.
«El escenario era realista, ya que habíamos suplantado un número de teléfono del servicio de ejecución presupuestaria, pero sin consecuencias técnicas: no se produjo ningún cambio real».
Aurelien LALEVEE, RSSI del departamento de Cher
Esta puesta en situación se inscribía en un proceso existente en la organización, lo que reforzaba la credibilidad del llamamiento.
Un punto clave del proyecto: el apoyo incondicional de la dirección, y en particular de la directora financiera, que permitió eliminar todos los obstáculos.
Durante el ejercicio: estrés, desconfianza... y unos cuantos clics
La simulación se llevó a cabo durante cuatro días, un día menos de lo previsto. Muy pronto aparecieron comportamientos contrastantes:
- Algunos empleados detectan inmediatamente la estafa y cuelgan el teléfono.
- Otros continúan la conversación y acaban haciendo clic en el enlace.
Una enseñanza memorable:
«Estadísticamente, los primeros jugadores fueron los que cayeron más fácilmente en la trampa. Después, el boca a boca y la comunicación autónoma hicieron que aumentara el nivel de vigilancia».
Aurelien LALEVEE, RSSI del departamento de Cher
A medida que el rumor interno circulaba, los equipos se volvían más desconfiados, más atentos.
Después del ejercicio: toma de conciencia y debates espontáneos.
El ejercicio provocó numerosos debates espontáneos entre los equipos.
La toma de conciencia fue inmediata: sí, incluso un escenario sencillo puede parecer creíble, sobre todo cuando juega con los códigos internos.
Algunas reacciones fueron muy intensas: agentes estresados, convencidos de haber cometido un error real, a los que hubo que tranquilizar... sin revelar demasiado pronto que se trataba de una prueba.
La dirección ha aplaudido esta iniciativa, que ha puesto de relieve aspectos susceptibles de mejora en materia de formación y vigilancia.
Las enseñanzas: nada sustituye a la formación, la realidad y el factor humano.
¿Qué se desprende de esta experiencia? Que la sensibilización nunca se da por sentada.
«El ejercicio demostró que incluso los escenarios más sencillos pueden engañar a los usuarios si el contexto parece creíble. También demostró que este tipo de ejercicio no es imposible de llevar a cabo, a pesar de los temores sobre los riesgos psicosociales».
Aurelien LALEVEE, RSSI del departamento de Cher
Un punto clave: explicar la prueba presencialmente, con transparencia y un poco de humor, permite convertirla en un momento pedagógico en lugar de una fuente de estrés.
Hucency: una colaboración «profesional, reactiva y pedagógica»
¿Cómo resumir la colaboración con Hucency? El responsable del proyecto no se anda con rodeos:
«Hucency supo adaptar el guion a nuestras limitaciones técnicas y jurídicas, garantizando al mismo tiempo un alto nivel de realismo. Las llamadas fueron muy realistas, hasta el punto de recrear un ambiente sonoro».
Aurelien LALEVEE, RSSI del departamento de Cher
Ya satisfechos con las campañas sobre phishing y USB dropping (suplantación de identidad mediante llaves USB), la decisión de renovar la colaboración fue algo natural.
«Hoy en día, los elegiría por su experiencia en ingeniería social, su capacidad para crear escenarios realistas y su enfoque pedagógico. Su solución permite medir de forma concreta las reacciones de los usuarios».
Aurelien LALEVEE, RSSI del departamento de Cher
¿Un consejo para los directores de sistemas de información y los responsables de seguridad de los sistemas de información?
«Atrévete a dar el paso. Estas simulaciones son reveladoras poderosas de comportamientos de riesgo. Permiten iniciar debates concretos y mejorar las prácticas internas».
Aurelien LALEVEE, RSSI del departamento de Cher
¿Y después?
El departamento no tiene intención de quedarse ahí.
Ya se han lanzado nuevas campañas simuladas: phishing, smishing (ataques por SMS) y otros escenarios variados, con el fin de seguir reforzando la cultura de la ciberseguridad.
