A pesar de que las empresas exigen que sus empleados completen cursos anuales de capacitación en ciberseguridad, aún se producen violaciones de ciberseguridad provocadas por el ser humano. El problema podría incluso empeorar sustancialmente a medida que la IA generativa aumenta la escala y la personalización de las campañas de ingeniería social.
Anagram, anteriormente conocido como Cipher, está adoptando un nuevo enfoque para la capacitación de ciberseguridad de los empleados que la compañía espera que pueda mantenerse al día con la naturaleza cambiante de estas campañas.
La compañía con sede en Nueva York construyó una plataforma que incorpora capacitación práctica en seguridad para empresas. La capacitación incluye videos breves y rompecabezas interactivos personalizados para enseñar a los empleados cómo detectar correos electrónicos y comunicaciones sospechosas. Estos entrenamientos están diseñados para ser más frecuentes y más atractivos que el estándar actual de una sesión singular anual de entrenamiento.
Harley Sugarman, cofundador y CEO de Anagram, dijo que estas actividades incluyen tareas como hacer que los empleados creen sus propios correos electrónicos de phishing personalizados para enseñarles cómo detectar campañas sofisticadas contra ellos mismos.
«Tomamos muy poco de modelos formativos de cyberseguridad previos, de hecho, básicamente no se inspiró en los existentes», dijo Sugarman sobre el entrenamiento de seguridad cibernética existente. “Lo que realmente observamos fueron lecciones de Tiktok y de Duolingo y Khan Academy. Observamos estas plataformas que han hecho muy, muy atractivos y cambiantes en función del comportamiento del usuario en otros espacios diferentes al de seguridad y dijimos, OK, ¿cómo podemos aplicar esas lecciones dentro de la seguridad?
La construcción de capacitación en ciberseguridad gamificada no fue lo que Sugarman, un ex VC en Bloomberg Beta, se propuso hacer cuando inicialmente lanzó la compañía.
La primera idea de Sugarman fue un enfoque de capacitación al estilo de «captura de bandera» para los empleados respecto a la seguridad cibernética empresarial. Este enfoque de capacitación implica construir software con vulnerabilidades y hacer que los investigadores de seguridad usen al software para encontrar los errores y descubrir cómo escribir código sin caer en las mismas trampas.
La compañía se lanzó como Cipher en 2022 y ganó algo de tracción. Pero los principales directivos de ciencias de la información (CISO) comenzaron a decirle a Sugarman que sus negocios en realidad tenían un problema de seguridad mayor que buscaban abordar: sus empleados. Sugarman dijo que los CISO describen a sus empleados como su vínculo más débil de ciberseguridad.
«Lo que me sorprendió fue en realidad la cantidad de desesperanza que escuché en sus discursos», dijo Sugarman. «Era un problema insoluble para ellos».
Cipher pivotó en enero de 2024 para concentrarse en resolver ese problema. Ahora ha cambiado su nombre a Anagram para reflejar su nuevo enfoque y está en el proceso de reducir su producto original. Anagram ha visto un fuerte crecimiento desde su giro y con nuevos clientes, incluidos Thomson Reuters, Massmutual y Disney, entre otros.
Anagram recaudó una ronda Serie A de $10 millones dirigida por Madrona con la participación del General Catalyst, Bloomberg Beta y los socios operadores, entre otros. La compañía planea usar los fondos para construir su equipo de ventas y continuar mejorando el producto. Sugarman dijo que hasta ahora han podido reducir las tasas de errores por phishing al 20% al 6%, pero cree que pueden continuar aproximándose a cero.
Sugarman dijo que Anagram lanzó su producto en un punto de inflexión realmente interesante para la industria de la ciberseguridad. Con los avances de la IA generativa, las campañas de ingeniería social pueden ser más personalizadas que nunca, lo que hará que sea cada vez más difícil para las personas decir qué es real y qué no.
«Creo que el tipo de efecto secundario de eso es que las plataformas de seguridad de correo electrónico tradicionales en realidad tendrán mucho más tiempo detectar estos phishes generados por IA», dijo Sugerman. «Esa capacidad de generar y aleatorizar es tan fuerte, y es muy, muy difícil, desde una perspectiva de ingeniería, defenderse contra eso».
Anagram también está trabajando para desarrollar un agente de inteligencia artificial para los correos electrónicos de los empleados empresariales y recibirá capacitación para marcar posibles errores de ciberseguridad antes de que ocurran. Sugarman dijo que el agente haría cosas como aparecer para preguntarle a alguien si realmente quiere enviar su información de tarjeta de crédito por correo electrónico y otras salvaguardas similares.
Mientras tanto, Anagram espera que sus rompecabezas y videos de entrenamiento tipo Tiktok continúen mejorando el escenario.
«Los humanos no somos tontos, construimos rascacielos y podemos hacer viajes espaciales», dijo Sugarman. «Podemos descubrir cómo no hacer clic en un enlace sospechoso en un correo electrónico».
y selecciona 