Efectividad de campañas anti-phishing

Abstract

El phishing es un tipo de ataque informático cuyo objetivo más habitual es robar información personal del usuario. El presente trabajo tiene como objetivo conocer el nivel de preparación de los usuarios para reconocer páginas web que formen parte de un ataque de phishing y medir la eficacia de una variedad de instrumentos utilizados en campañas de concientización. Con este objetivo se desarrolló un aplicativo que invitaba a los participantes a identificar sitios maliciosos, proponía distintas instancias de capacitación y volvía a evaluar si se habían registrado mejoras. El estudio se realizó sobre 250 participantes, con un promedio de edad de 40 años y un nivel de educación universitario o superior. Un 29% se dedicaba a la seguridad de la información, mientras que un 14% nunca había escuchado el término phishing. El estudio demostró que un grupo importante de participantes desconocía cómo protegerse frente a este tipo de ataque y que su capacidad de detección de sitios falsos mejoraba considerablemente luego de una breve capacitación. No se encontraron diferencias significativas entre los tipos de instrumentos utilizados. En conclusión, el estudio mostró que todo esfuerzo, por mínimo que sea, para mejorar el nivel de preparación de los usuarios, resultará en mejoras en sus habilidades para evitar ser víctimas del phishing.