Imagine lo siguiente. Una organización invierte cientos de miles de euros al año en ciberseguridad. Tiene un SOC, realiza pruebas de penetración y cuenta con un amplio programa de concienciación. El CISO informa con confianza al consejo: la organización está bien protegida. Hasta que alguien llama.
El déficit de atención
Cuando un CISO analiza el panorama de amenazas, el ransomware, los ataques a la cadena de suministro y las malas configuraciones en la nube ocupan los primeros lugares. El vishing rara vez aparece. No porque la amenaza sea pequeña, sino porque el fenómeno queda fuera del dominio tradicional de la seguridad informática.
Cinco razones por las que se subestima el vishing
Queda fuera del mundo medible, no existe una solución puramente técnica, se percibe como algo de bajo nivel técnico, los incidentes no se reconocen ni se notifican, y el factor humano no encaja bien en el marco de control.
La brecha entre percepción y realidad
De media, solo el 30 al 40% de los empleados responde correctamente en una primera prueba de vishing. Eso significa que entre seis y siete de cada diez personas revelan información.
Del punto ciego a la elección consciente
Mida su resiliencia actual, integre el vishing en su programa de concienciación y conviértalo en algo medible y reportable.
