Los usuarios no deben cargar con la culpa de los ataques de phishing, según experto

Los usuarios no deben ser culpados por los ataques de phishing exitosos, dice un experto en  conciencia de seguridad.

Ira Winkler, presidente de Secure Mentem, le dijo a los asistentes de la RSA Conference 2015, en San Francisco, que los humanos representan solo dos de los diez puntos potenciales para eliminar los ataques de phishing. Un ataque de phishing solo puede tener éxito si ocho posibles capas de controles tecnológicos están ausentes o han fracasado.

"Los ataques de phishing representan una combinación de fallas de usuarios y tecnológicos", dijo Winkler.

Antes de que el usuario sea confrontado con un correo electrónico de phishing, hay oportunidades de bloquear el ataque en la etapa anterior al servidor de correo y en la etapa del servidor de correo.

Tecnologías para detectar y eliminar correos electrónicos de phishing se pueden implementar en la infraestructura de internet para bloquear estos ataques antes de que lleguen a los servidores de correo.

En el servidor de correo hay otra oportunidad para implementar tecnologías para poner en cuarentena los correos electrónicos de phishing.

Solo si estas dos primeras capas no han logrado bloquear un ataque de phishing es que un usuario se involucra.

"Los usuarios solo fallan si las tecnologías han fracasado primero o si los controles adecuados no han sido implementados por los proveedores de servicios de internet o en los servidores de correo", dijo Winkler.

Sin embargo, dijo que si los usuarios han sido entrenados adecuadamente para reconocer y denunciar los ataques de phishing, estos ataques pueden ser bloqueados en esta tercera etapa.

Los programas de concientización de los usuarios deben ser diseñados para garantizar que los usuarios son capaces de reconocer los posibles ataques de phishing y saber dónde reportarlos.

"Pero la conciencia, al igual que todas las contramedidas, no es perfecta y puede fallar porque incluso las personas inteligentes cometen errores cuando se enfrentan a un correo electrónico de phishing bien elaborado", dijo Winkler.

Sin embargo, incluso si un usuario hace clic en un enlace malicioso en un correo electrónico de phishing, no todo está perdido, porque existen tecnologías para advertir a los usuarios de los enlaces y archivos adjuntos potencialmente dañinos.

"El usuario tiene la oportunidad de reportar intentos de ataques de phishing  para permitir a los administradores eliminar cualquier correo electrónico asociado de phishing sin abrir en el servidor de correo electrónico", dijo Winkler.

"Pero si un usuario decide abrir un correo electrónico a pesar de que ha sido puesto en cuarentena, el cliente de correo electrónico aún debería ser capaz de evitar que el código malicioso se ejecute", dijo.

Incluso si el cliente de correo electrónico impide la ejecución del código malicioso, la red debería ser capaz de detectar y bloquear la actividad maliciosa.

"La red puede estar equipada para ser una capa de defensa. Debe ser capaz de prevenir la actividad maliciosa, identificar a los clientes deshonestos y prevenir que cualquier infección se propague", dijo Winkler.

"Y si un código malicioso se ejecuta, la red debería ser capaz de bloquear los datos que se envíen fuera de la red y detener cualquier intento de inicio de sesión ilícita", dijo.

Aunque Winkler admite que, en muchos casos, los programas de concientización sobre seguridad deben mejorarse, él dijo que las empresas deben reconocer que el éxito de los ataques de phishing no se debe solamente a fallas de usuario.

"Los ataques de phishing son inevitables, pero pueden prevenirse poniendo detección tecnológica y bloqueando capacidades en cada capa", dijo Winkler.