40 empresas del tejido industrial guipuzcoano han participado en ‘Spear Phishing’, el último proyecto experimental sobre ataques de ingeniería social llevado a cabo por ZIUR. El objetivo de esta iniciativa es concienciar a las empresas y a sus equipos profesionales de la importancia de llevar a cabo buenas prácticas de ciberseguridad en sus entornos de trabajo, así como identificar las amenazas más frecuentes. Diferentes pymes y micropymes del territorio han participado en este proyecto, que ha incluido simulaciones de ataques de ingeniería social junto con formaciones específicas para las plantillas.
Los resultados que arroja este estudio apuntan a que el nivel de concienciación en las pequeñas y medianas empresas respecto al peligro financiero o reputacional que suponen estos ataques sigue siendo bajo, y que las formaciones en esta materia en los centros de trabajo también obtienen una escasa participación. La directora técnica de ZIUR, Maria Penilla, insiste en que “la concienciación en ciberseguridad no debe ser una actividad puntual, sino que debe formar parte de un plan continuado de formación en todas las empresas, independientemente de su dimensión y su sector de actividad".
El correo electrónico continúa siendo uno de los principales vectores de ataque usado por los ciberdelincuentes. El objetivo del proyecto ‘Spear Phishing’ ha sido conocer cuál es la situación de las empresas industriales guipuzcoanas con respecto a los ciberataques que sufren en sus redes. La clave del proyecto ha sido saber cómo reaccionan las personas usuarias cuando reciben un correo de ‘phishing’ y, sobre todo, si están sensibilizadas para diferenciar uno legítimo de uno falso. 
El proyecto se dividió en tres campañas de ataques, con una duración de cuatro meses cada una, en las que se llevaron a cabo diferentes simulaciones de correo de ‘phishing’ dirigido a las personas usuarias de las 40 empresas. El resultado es mucho más preocupante de lo que cualquier CIO desearía, ya que el porcentaje de éxito que obtienen los ciberatacantes -cuando una persona usuaria pincha en el link del correo o abre el adjunto- es muy alto, entre un 72 % y un 93 %. Por otra parte, también se llevaron a cabo ataques tipo BEC, dirigidos, por un lado, a los equipos directivos de las empresas, y, por otro, al resto de la plantilla suplantando a la primera víctima. El porcentaje de éxito en el primer caso desciende notablemente (entre un 6 % y un 14 %), si bien en la segunda fórmula se mantiene en elevados porcentajes de entre el 85 % y el 93 %. 
Una vez detectada la brecha de seguridad, el proyecto incluye una segunda fase en la que se ha ofrecido formación específica para poder combatir la situación. Sin embargo, la participación de las personas usuarias en las sesiones formativas ha sido muy escasa en la mayoría de los casos. Entre un 11 % y un 42 % de las empresas no aplicaron ninguna formación y solamente en 4 de cada 10 casos un 40% de la plantilla completó alguna formación. Una situación que supone un riesgo para las industrias y una oportunidad para los cibercriminales.