Phishing: Cómo los sistemas de salud pueden reevaluar la capacitación en seguridad de los empleados
En medio de una avalancha de correos electrónicos de phishing, el CISO de UC San Diego Health, Scott Currie, sabe que los ataques exitosos son inevitables, por lo que se centra en minimizar los riesgos a través de la tecnología y la capacitación.
Con unos 23.000 empleados, el sistema de salud recibe unos 30 millones de correos electrónicos al mes, la mitad de los cuales son bloqueados por una puerta de enlace segura. Pero incluso con una tasa de éxito del 99,9 %, aproximadamente 15.000 correos electrónicos potencialmente maliciosos podrían filtrarse. Es responsabilidad de los empleados reconocer estas amenazas, y es aquí donde la formación del usuario cobra una importancia crucial .
“Es un problema complejo y, francamente, no tiene solución”, afirma Currie. “Se trata de minimizar los riesgos por diversos medios para disminuir la probabilidad de un incidente de seguridad. Nos ocupamos principalmente de las personas como vector de ataque”.
Los ataques de ingeniería social a las organizaciones de atención médica son cada vez más sofisticados y más difíciles de detectar debido a que los atacantes usan inteligencia artificial para hacerlos parecer más realistas y legítimos, afirman los líderes de TI de atención médica.
Aunque los correos electrónicos de phishing siguen siendo la amenaza más común , los ataques de ingeniería social a través de la manipulación humana se han expandido para incluir mensajes de texto (smishing) y phishing de voz (vishing).
Para combatir estas amenazas cambiantes, los proveedores están implementando tecnologías avanzadas de seguridad de correo electrónico y nuevos procedimientos de verificación (como requerir que los empleados validen las solicitudes a través de diferentes herramientas de comunicación confiables) y programas de capacitación integrales para ayudar a los empleados a reconocer comunicaciones sospechosas .
Complete el formulario a continuación para acceder al informe de investigación exclusivo de CDW sobre ciberseguridad. Una vez enviado, se le suscribirá a nuestro flujo de correo electrónico sobre seguridad.
Los actores maliciosos saben que los empleados son su punto de entrada más fácil, afirma el analista de Enterprise Strategy Group, John Grady.
“Los empleados son, sin duda, el eslabón más débil, sin tener la culpa. Tienen otras áreas de enfoque, especialmente en el sector sanitario”, afirma Grady. “Con el ransomware, basta con que un usuario haga clic en algo por error. Es necesario un cambio de mentalidad fundamental, y la única manera de lograrlo es mediante la educación del usuario”.
Es cierto que las organizaciones de todos los sectores señalan que una capacitación deficiente de los usuarios puede afectar la ciberseguridad: el 31 % de los tomadores de decisiones de TI mencionaron la capacitación insuficiente o ineficaz de los empleados como una de las principales preocupaciones para su estrategia, según el Informe de investigación de ciberseguridad CDW 2024 .
Mejorar la capacitación para prevenir intentos exitosos de phishingAl igual que todos los campus de la Universidad de California, UC San Diego Health exige una capacitación anual en ciberseguridad, la cual se imparte mediante un sistema de gestión del aprendizaje. La organización la complementa con simulacros mensuales de phishing; por ejemplo, enviando correos electrónicos falsos de phishing a modo de prueba.
Más recientemente, Currie ha intensificado una tercera experiencia de capacitación: sesiones en persona personalizadas para departamentos específicos .
Esto responde a un estudio reciente sobre empleados de UC San Diego Health que reveló que dos tipos comunes de capacitación —la capacitación anual de concienciación sobre seguridad y los simulacros de ataques de phishing— ofrecen un valor limitado. De hecho, en estos simulacros de phishing, los usuarios capacitados tuvieron, en promedio, una tasa de fallos solo un 1,7 % menor que la de los usuarios sin capacitación.
Currie colaboró en el estudio porque quería comprender la mejor manera de capacitar a los empleados. Ahora, está incrementando las sesiones presenciales para mejorar la capacitación. Imparte estas capacitaciones específicas para cada departamento, ya sea en persona o por videollamada, y las adapta a los riesgos laborales específicos.
Por ejemplo, un socio comercial comprometido puede enviar un correo electrónico solicitando información bancaria relacionada con el pago de una factura. "Estamos intentando realizar más sesiones presenciales de este tipo. Creo que es, sin duda, la forma más eficaz de que la gente comprenda los riesgos", afirma.
LEER MÁS: Comprenda el phishing personalizado en la era de la IA generativa.
Currie aún ve la utilidad de los simulacros de phishing, por lo que continúa realizándolos. "Aunque sean mínimos o insignificantes, la capacitación sigue teniendo cierto valor porque, como mínimo, nos permite seguir dialogando y concienciando al personal y al profesorado durante todo el año", afirma.
UC San Diego Health ha implementado la puerta de enlace de correo electrónico seguro de Proofpoint , que inspecciona el correo electrónico y bloquea el spam y el correo malicioso. Proofpoint también permite a Currie y a su equipo realizar simulaciones mensuales de phishing.
“Quienes hacen clic son dirigidos a una explicación sobre lo que debería haberles alertado de que se trataba de un intento falso de phishing”, afirma.
La mayor cobertura mediática de las filtraciones y las experiencias personales de los empleados con intentos de ingeniería social ayudan a reforzar la capacitación formal, añade Currie. Como resultado, ahora más empleados reenvían correos electrónicos sospechosos al equipo de seguridad informática, como se ha recomendado en la capacitación.
"Lo analizaremos y le daremos un veredicto", dice. "No le daremos un tirón de orejas. Le felicitaremos por su cautela".
En Strive Health , proveedor de atención renal que ha crecido de 100 empleados en 2020 a 650 en la actualidad, los ejecutivos de TI han integrado la capacitación en ciberseguridad en la cultura de la empresa desde el principio. Como parte del proceso de incorporación, los nuevos empleados deben completar un módulo de capacitación de 20 minutos sobre phishing antes de obtener acceso a la computadora.
"Hemos estado brindando capacitación desde el principio, por lo que hemos podido comenzar desde cero con una fuerza laboral consciente de la seguridad", dice Gabe Stapleton, CISO de Strive Health.
Los médicos y enfermeros de la empresa, con sede en Denver, trabajan a distancia, principalmente ofreciendo consultas de telesalud a los pacientes. La capacitación en seguridad de Strive Health incluye capacitación anual obligatoria por video para todos los empleados y pruebas periódicas de phishing que Stapleton y su equipo realizan con software de seguridad de correo electrónico.
El equipo de TI se enfoca en diferentes áreas de la empresa cada mes para reforzar los buenos hábitos de seguridad . Para anticiparse a los atacantes, también realizan pruebas a los empleados con phishing selectivo, un ataque más personalizado.
La capacitación anual tiene un límite. La gente lo olvida después de varias semanas. No podemos esperar que un profesional clínico recuerde una capacitación de 20 minutos que se realiza anualmente, afirma.
Cuando los empleados no superan estas pruebas, reciben retroalimentación de TI con una breve capacitación correctiva. "Les enviaremos un mensaje para decirles que estén atentos. Así es como podrían haber sabido que era una prueba", dice Stapleton.
La empresa complementa la capacitación con herramientas de seguridad. Utiliza autenticación multifactor y una herramienta de gestión de la postura de seguridad de datos que categoriza los datos del proveedor para que pueda aplicarles políticas de seguridad adecuadas, afirma.
Haga clic en el banner a continuación para suscribirse al boletín semanal de HealthTech.
Los servicios de asistencia informática son objetivos principales de los ataques de ingeniería social, por lo que Luminis Health, con sede en Maryland, ofrece capacitación adicional para el personal de su servicio de asistencia, afirma el director de TI, Ron Nolte.
Los empleados del servicio de asistencia técnica, por supuesto, quieren ayudar a sus compañeros, afirma. Sin embargo, los hackers pueden hacerse pasar por cirujanos y contactarlos con solicitudes urgentes, como la necesidad de restablecer sus contraseñas porque tienen un paciente en el quirófano.
DESCUBRE: ¿Cómo aborda IAM los desafíos de los entornos de TI cada vez más complejos?
Para evitar ser detectados, los hackers que se hacen pasar por médicos de Luminis pueden enviar correos electrónicos, realizar llamadas telefónicas o desenfocar sus cámaras durante videoconferencias. Para evitar estas situaciones, Nolte implementó estrictos protocolos de verificación de identidad para el restablecimiento de contraseñas.
Luminis Health sufre cada vez más ataques a través de diversas herramientas de comunicación, como los mensajes de texto. El equipo de TI capacita al personal para verificar cualquier mensaje sospechoso mediante métodos de comunicación conocidos. Si un mensaje de texto afirma ser de un compañero con un nuevo número de teléfono, los empleados reciben capacitación para llamar al número original de la persona o verificarlo por correo electrónico o Microsoft Teams , añade.
En un estudio de correos electrónicos de phishing personalizados, el porcentaje de correos electrónicos de phishing generados por IA en los que se hizo clic, en comparación con el 12 % de los correos electrónicos no deseados de una base de datos en línea.
Luminis Health utiliza una puerta de enlace de correo electrónico segura para bloquear correos maliciosos y autenticación multifactor para proteger las identidades. La organización también exige capacitación en ciberseguridad para los nuevos empleados y capacitación anual para todo el personal. El departamento de TI también realiza simulacros de phishing mensuales.
Si el personal hace clic en ellos, verá inmediatamente una página de inicio explicando su error. «Creemos firmemente en la capacitación microtransaccional y puntual», afirma Nolte.
Si un empleado falla tres veces una prueba de phishing, el departamento de TI notifica tanto al empleado como a su supervisor. Tras cinco fallos, debe completar una capacitación obligatoria en video con ejercicios.
El objetivo es capacitar al personal para que sea extremadamente escéptico. Si bien el estudio de UC San Diego Health podría indicar que la capacitación no funciona, Nolte argumenta que vale la pena.
“La capacitación es absolutamente crucial”, afirma. “Se trata de gestionar el riesgo. No se trata de absolutos. Capacitar a los usuarios es la última línea de defensa”.
healthtechmagazine
