Con un ataque de phishing dirigido es donde empieza la primera brecha de seguridad de la red privada de una empresa. Un phishing es un correo que con lleva una URL maliciosa o un programa maligno. El objetivo de este ataque es conseguir credenciales de las víctimas. También, conseguir una puerta trasera la cual permitirá al atacante tener una conexión segura entre él y la infraestructura de la empresa. Estos tipos de ataques usualmente van con el objetivo de hacerse pasar por una persona que la víctima conozca o que tenga cierta influencia que logre convencer a la persona que esta siendo atacada. Usualmente los atacantes se enfocan en temas actuales como el caso de la pandemia global que ocurre al momento y a la vez ofrece alguno bono adicional si realiza clic o descarga el programa que le envían, siempre maligno.
La manera que podemos protegernos de estos ataques de phishing es a través de ejercicios sobre estos tipos de campañas. Mantener una constancia de al menos una vez al año o semestral puede ayudar a mantener a las personas en alerta a los correos maliciosos. La razón por la cual ayuda a identificar estos phishing es porque son realizados en un entorno controlado que al momento de finalizar la campaña los usuarios reciben un curso de concientización de la seguridad de la información. Es de suma importancia notificarle al usuario que participo en una campaña phishing controlada para proveerle una retroalimentación; también, no ocasionar un impacto negativo en la empresa por estos tipos de pruebas.
Tenemos que entender al realizar estos tipos de pruebas que quienes son afectados son personas, y por tanto siempre es profesional informar a los usuarios, al final de la campaña phishing, que se realiza en un entorno controlado. Si el usuario no llega a ser notificado que fue una campaña phishing es muy probable que ocasione un impacto negativo. Especialmente en casos cuando utiliza un phishing que se trata de un bono u otro beneficio ficticio; porque tenemos que entender que los usuarios son seres humanos y no computadoras. Al final, una buena campaña de phishing dirigida y junto a una concientización de seguridad de la información es la mejor solución para protegernos contra estos tipos de ataques. Algo muy importante que hay que entender es que el ser humano no funciona como una computadora, por ende, una constancia de estos ejercicios mantendría en alerta a los usuarios frente a estos tipos de ataques.