El phishing es una de las mayores amenazas a las que se enfrenta cualquier organización hoy en día. Se estima que el 80% de las empresas afirman haber experimentado un aumento en el número de ataques de phishing a los que se enfrentaron en 2021, y nadie espera que esto disminuya pronto. El precursor de los ciberataques perjudiciales como el compromiso del correo electrónico empresarial, el ransomware, la toma de posesión de cuentas y más, una fuerte defensa contra el phishing es un elemento fundacional importante de cualquier ciberdefensa sólida. Estos datos sobre el phishing ayudan a ilustrar la importancia de crear una sólida defensa contra el phishing.

Esto es lo que hace que el comportamiento de los empleados en relación con el phishing sea tan importante para mantener a las organizaciones a salvo de la ciberdelincuencia. Desgraciadamente, el comportamiento de los empleados puede ser imprevisible y es inevitable que cometan errores. Las causas de los errores humanos, como la apertura de un correo electrónico dudoso por parte de un empleado, son responsables de un 90% de las violaciones de seguridad en organizaciones de todos los tamaños, según el Índice de Inteligencia de Amenazas X-Force de IBM. Aprender más sobre el comportamiento de los empleados y el riesgo interno del phishing puede ayudar a mantener a las organizaciones alejadas de los problemas de phishing.

10 datos de phishing sobre el comportamiento peligroso de los empleados:

1. Una quinta parte de los empleados de un estudio interactuó con correos electrónicos espurios.
2. El 45% de los empleados hace clic en correos electrónicos que consideran sospechosos “por si acaso es importante”.
3. 1 de cada 3 empleados es probable que haga clic en los enlaces de los correos electrónicos de phishing.
4. El 41% de los empleados no se dio cuenta de un mensaje de phishing porque estaba cansado.
5. El 47% de los trabajadores citó la distracción como el principal factor para no detectar los intentos de phishing.
6. El 30% de los mensajes de phishing son abiertos por los usuarios objetivo.
7. 1 de cada 8 empleados es probable que comparta la información solicitada en un correo electrónico de phishing.
8. El 60% de los empleados abrieron correos electrónicos de los que no estaban totalmente seguros.
9. El 45% de los empleados nunca informa de los mensajes sospechosos a TI para que los revise.
10. El 97% de los empleados no puede detectar un correo electrónico de phishing sofisticado.

Es un hecho triste pero cierto sobre el phishing: los empleados se encuentran con el fraude de marca y la suplantación de identidad todos los días:

Todos los días, los empleados reciben un volumen cada vez mayor de mensajes de correo electrónico, y la forma en que se manejan esos mensajes puede hacer que la seguridad y el presupuesto de una empresa se vean afectados. Especialmente cuando esos mensajes son ataques de phishing: se estima que el 65% de los incidentes de amenazas internas son causados por acciones de los empleados en torno al phishing. Muchos de esos mensajes de correo electrónico son supuestamente de marcas conocidas. Pero no todos esos mensajes son fiables.

La suplantación de marcas es una táctica común de los ciberdelincuentes: el 25% de todos los mensajes de correo electrónico de marcas que reciben las empresas son falsos o intentos de suplantación de marcas. Tradicionalmente, Microsoft ocupa el primer puesto. Pero DHL les superó a finales de 2021. Microsoft se situó en el número dos, la marca que los ciberdelincuentes imitaron en una quinta parte de los esquemas de phishing. El gigante de la comunicación WhatsApp quedó en tercer lugar, con Google pisándole los talones. LinkedIn sigue siendo una opción para los ciberdelincuentes, pero Facebook (ahora con el nombre de Meta) salió del top 10 en 2021.

¿Dónde están los malos que envían esos mensajes dentro de una organización? Un estudio de phishing muestra que la respuesta es: Por todas partes. Ningún departamento está a salvo de las tentaciones de los sofisticados mensajes de phishing. Sorprendentemente, el 75% de los encuestados indicaron que los objetivos de muchos intentos de phishing eran los propios miembros del personal de TI, que uno pensaría que estarían al tanto de estos ataques, excepto que el 40% de esos miembros del personal de TI cayeron en el anzuelo.

Departamentos con más probabilidades de ser el objetivo del phishing:

Porcentaje del total de ataques que sufre una empresa

1. TI = 75%
2. Ventas =35%
3. Ejecutivos = 27%
4. Marketing = 25%
5. Atención al cliente = 21%

Los ataques de ransomware suelen comenzar con un mensaje de phishing. El IC3 recibió 3.729 reclamaciones identificadas como ransomware en 2021, lo que supone un aumento del 51% respecto a las 2474 de 2020. Esas denuncias también costaron a las víctimas mucho más dinero que en años anteriores. Las víctimas de ransomware sufrieron pérdidas de más de 49,2 millones de dólares. Esto supone un aumento del 69% respecto a los 29.157.405 dólares registrados en 2020.

Con mucho, el resultado potencial más perjudicial desde el punto de vista financiero del phishing es el compromiso del correo electrónico empresarial (BEC). El FBI lo declaró 64 veces peor que el ransomware para las empresas. Hubo un crecimiento del 28% en las pérdidas por BEC entre 2020 y 2021. La categoría BEC/EAC registró una dolorosa cifra de 2.395.953.296 dólares en pérdidas. Esto supone una pérdida media de 120.000 dólares por víctima, frente a los 96.700 dólares del año pasado. Las estafas de inversión ocuparon el segundo lugar, con un asombroso aumento del 333% respecto a 2020.

Fuente: ID Agent