Anagram adopta un enfoque gamificado para la capacitación de los empleados en ciberseguridad

A pesar de que los empleadores exigen a sus empleados que completen cursos anuales de capacitación en ciberseguridad, aún se producen violaciones de seguridad provocadas por humanos. El problema podría incluso empeorar sustancialmente a medida que la IA generativa aumenta la escala y la personalización de las campañas de ingeniería social.

Anagram , anteriormente conocida como Cipher, está adoptando un nuevo enfoque para la capacitación de los empleados en ciberseguridad que la empresa espera pueda mantenerse al día con la naturaleza cambiante de estas campañas.

La empresa con sede en Nueva York ha creado una plataforma que ofrece formación práctica en seguridad para empresas. La formación incluye vídeos breves y rompecabezas interactivos personalizados para enseñar a los empleados a detectar correos electrónicos y comunicaciones sospechosas. Estas formaciones están diseñadas para ser más frecuentes y más atractivas que el estándar actual de una larga sesión de formación anual.

Harley Sugarman, cofundador y director ejecutivo de Anagram, dijo a TechCrunch que estas actividades incluyen tareas como hacer que los empleados creen sus propios correos electrónicos de phishing personalizados para enseñarles cómo detectar campañas sofisticadas en su contra.

“Nos inspiramos muy poco, prácticamente nada, de lo que ya había disponible”, dijo Sugarman en relación con la capacitación en ciberseguridad. “Lo que realmente aprendimos fueron lecciones de TikTok, Duolingo y Khan Academy. Analizamos estas plataformas que han tenido un desempeño muy bueno en la interacción y el cambio del comportamiento de los usuarios fuera del ámbito de la seguridad y nos dijimos: ¿cómo podemos aplicar esas lecciones dentro del ámbito de la seguridad?”.

Desarrollar una formación en ciberseguridad gamificada no era lo que Sugarman, ex VC de Bloomberg Beta, se propuso hacer cuando lanzó inicialmente la empresa.

La primera idea de Sugarman fue una forma de adoptar el enfoque de capacitación de la industria de la ciberseguridad, el de “capturar la bandera”, para mejorar las habilidades de los empleados de ciberseguridad de las empresas. Este enfoque de capacitación implica desarrollar software con vulnerabilidades y hacer que los investigadores de seguridad lo examinen para encontrar los errores y descubrir cómo escribir código sin caer en las mismas trampas.

Esa empresa se lanzó como Cipher en 2022 y ganó algo de impulso. Pero los directores de ciencias de la información (CISO) comenzaron a decirle a Sugarman que sus empresas en realidad tenían un problema de seguridad más grande que querían abordar: sus empleados no relacionados con la seguridad. Sugarman dijo que los CISO describen a sus empleados como su eslabón más débil en materia de ciberseguridad.

“Lo que más me sorprendió fue la cantidad de desesperanza que percibí en sus voces”, dijo Sugarman. “Para ellos, este era un problema irresoluble”.

En enero de 2024, Cipher cambió de rumbo para centrarse en resolver ese problema. Ahora, la startup está cambiando su nombre a Anagram para reflejar su nuevo enfoque y está en proceso de desmantelar su producto original. Anagram ha experimentado un fuerte crecimiento desde su cambio de rumbo y ha conseguido clientes como Thomson Reuters, MassMutual y Disney, entre otros.

Anagram recaudó recientemente una ronda de financiación Serie A de 10 millones de dólares liderada por Madrona con la participación de General Catalyst, Bloomberg Beta y Operator Partners, entre otros. La empresa planea utilizar los fondos para desarrollar su equipo de ventas y seguir mejorando el producto. Sugarman dijo que hasta ahora han podido reducir las tasas de fallos de phishing de la empresa del 20% al 6%, pero cree que pueden seguir acercándose a cero.

Sugarman dijo que Anagram lanzó su producto en un punto de inflexión realmente interesante para la industria de la ciberseguridad. Con los avances de la IA generativa, las campañas de ingeniería social pueden ser más personalizadas que nunca, lo que hará que sea cada vez más difícil para las personas distinguir qué es real y qué no.

“Creo que el efecto secundario de esto es que las plataformas de seguridad de correo electrónico tradicionales tendrán muchas más dificultades para detectar estos ataques de phishing generados por IA”, dijo Sugerman. “Esa capacidad de generar y aleatorizar es muy fuerte y, desde una perspectiva de ingeniería, es muy, muy difícil defenderse de eso”.

Anagram también está trabajando para desarrollar un agente de inteligencia artificial que se ubicará en los correos electrónicos de los empleados de la empresa y estará capacitado para detectar posibles errores de ciberseguridad antes de que ocurran. Sugarman dijo que el agente haría cosas como aparecer en una ventana emergente para preguntarle a alguien si realmente quiere enviar la información de su tarjeta de crédito por correo electrónico y otras medidas de seguridad similares.

Mientras tanto, Anagram espera que sus rompecabezas y videos de capacitación estilo TikTok sigan teniendo un impacto.

“Los humanos no somos tontos, construimos rascacielos y podemos viajar al espacio”, dijo Sugarman. “Podemos descubrir cómo no hacer clic en un enlace sospechoso en un correo electrónico”.