Al observar los riesgos de ataques cibernéticos que enfrentan las empresas hoy en día, el phishing encabeza la tabla. Es un problema que también sigue empeorando:  el 84% de las empresas en un nuevo estudio  dijeron que fueron víctimas de un ataque de phishing exitoso en 2021, un aumento del 15% durante el mismo período de 12 meses en 2020. Los ataques de phishing también son cada vez más sofisticado gracias en parte a los abundantes datos de la dark web que ayudan a los malos a dar forma a campañas efectivas. En esta avalancha de phishing, es fundamental que los empleados sean conscientes de las amenazas de phishing y puedan tomar las decisiones correctas cuando se enfrenten a un correo electrónico sospechoso. Desafortunadamente, con demasiada frecuencia ese no es el caso, lo que lleva a una pesadilla de seguridad cibernética para sus empleadores.

Se estima que el 65% de los incidentes de amenazas internas  son causados ​​por acciones de los empleados relacionadas con el phishing. Comprender los factores de riesgo que pueden impulsar la toma de decisiones buenas y malas de los empleados en torno al phishing puede ayudar a las organizaciones a obtener una imagen clara de su riesgo de phishing.

1. El factor X permanente: error humano:

El error humano es el culpable de  aproximadamente el 90 %  de las infracciones de seguridad según el índice de inteligencia de amenazas X-Force de IBM. Esos errores pueden ir desde enviar a un compañero de trabajo un archivo que no está autorizado a ver hasta descargar un archivo adjunto malicioso de un correo electrónico de phishing. Una quinta parte de los empleados  admite haber cometido errores como caer en trucos de phishing que los llevaron a interactuar con mensajes maliciosos en el trabajo, y estos siete factores de riesgo pueden afectar el comportamiento de los empleados en torno al phishing.

2. El atractivo de las trampas de ingeniería social:

Al igual que cualquier otro negocio, las bandas de delincuentes cibernéticos siempre están buscando formas de maximizar la eficiencia, y el phishing cumple con los requisitos. Es la forma más barata, fácil y efectiva de penetrar la seguridad de una empresa. Por supuesto, también es algo que evoluciona como cualquier otro proceso comercial, con técnicas cambiantes, sofisticación creciente y nuevas trampas que dificultan que las empresas se mantengan al día. También es difícil para todos los demás mantenerse al día: el  97% de los empleados  no pueden detectar un correo electrónico de phishing sofisticado. Hacer clic en un correo electrónico de phishing es la forma más probable de que un empleado provoque una brecha de seguridad. En un  estudio de la Universidad de Stanford, los investigadores determinaron:

• Uno de cada cuatro empleados (25 %)  dijo que hizo clic en un correo electrónico de phishing en el trabajo.
• Casi el 45% de los encuestados  mencionaron la distracción como la principal razón para caer en una estafa de phishing.
• Alrededor del 50% de los empleados está seguro de haber cometido un error que provocó un incidente de seguridad.

3. Manejo descuidado de los archivos adjuntos:

La pesadilla de los equipos de TI, los empleados se enfrentan regularmente a esquemas de phishing convincentes que utilizan archivos adjuntos. Se estima que  el 48 % de los archivos adjuntos de correo electrónico maliciosos  se disfrazan como un archivo de rutina, que va desde un aviso de finalización hasta una lista de recursos benéficos. Esto fue ilustrado recientemente por una avalancha de phishing en torno a la ayuda caritativa para los ucranianos a raíz de la invasión rusa. Los formatos de Microsoft Office como Word, PowerPoint y Excel son  extensiones de archivo populares para que los ciberdelincuentes las utilicen cuando transmiten malware por correo electrónico, lo que representa el 38 % de los ataques de phishing. El siguiente método de entrega más popular: archivos con extenciones .zip y .jar, que representan alrededor del 37 % de las transmisiones maliciosas.

4. Capacitación de concientización sobre seguridad irregular o inexistente:

Más de la mitad de las empresas no participan en capacitaciones periódicas de concientización sobre seguridad, y eso es un gran error que al final les cuesta. En un estudio del Reino Unido  sobre empresas que ejecutan simulaciones de phishing, los investigadores descubrieron que es probable que entre el 40 y el 60 % de los empleados no capacitados abran enlaces o archivos adjuntos maliciosos. Después de unos 6 meses de entrenamiento, ese número se redujo al 20% o 25%. Después de 3 a 6 meses más de capacitación, el porcentaje de empleados que abrieron mensajes de phishing se desplomó a solo 10% a 18%. Accenture sitúa el número ideal de cursos de formación para empleados cada año en 11 , o poco menos de uno al mes.

5. Falta de precaución al hacer clic en enlaces:

Demasiados empleados no son juiciosos al hacer clic en los enlaces de los mensajes de correo electrónico.  CyberNews informa  que es probable que 1 de cada 3 empleados haga clic en los enlaces de los correos electrónicos de phishing y que 1 de cada 8 empleados comparta la información solicitada en un correo electrónico de phishing. Aún más alarmante, el 67% de los empleados  evaluados en una simulación de phishing que hicieron clic en el sitio web malicioso ficticio enviaron sus credenciales de inicio de sesión, frente a un escaso 2% en 2019.

• En una simulación de phishing, los usuarios de América del Norte fueron los que más lucharon, publicando una tasa de clics del 25,5% y una tasa general de envío de credenciales del 18%.
• Esto significa que un poco más de 7 de cada 10 usuarios  comprometieron voluntariamente sus inicios de sesión.
• Los usuarios en Europa exhibieron tasas más bajas de clics y envíos de 17% y 11%, respectivamente.

6. Una cultura de seguridad débil:

El tipo de negligencia que ayuda a que los errores prosperen puede surgir de una empresa que tiene una mala cultura de seguridad. La seguridad es tarea de todos, pero no todos entienden eso. El 45% de los encuestados  en una encuesta de HIPAA Journal dijeron que no necesitan preocuparse por las medidas de seguridad cibernética porque no trabajan en el departamento de TI. Eso es un desastre esperando a suceder. Esa ignorancia puede verse agravada por las actitudes de liderazgo hacia la seguridad. En una encuesta de CNBC , el 56 % de los propietarios de pymes dijeron que “no les preocupa mucho” ser víctimas de un ciberataque en los próximos 12 meses, y el 24 % dijo que “no les preocupa en absoluto”.

7. Miedo a las repercusiones:

Ninguna empresa se beneficia cuando se mantiene a los empleados en la oscuridad acerca de la seguridad o se les hace pensar en ella como una pesadilla grande, complicada y peligrosa. Además, todos los equipos de tecnología preferirían enterarse de un incidente de seguridad cuando es solo una pequeña dificultad, no cuando se ha  convertido en un gran desastre. Pero con demasiada frecuencia, los empleados se comportan de manera peligrosa porque tienen miedo de pedir ayuda o una aclaración, y eso no ayuda a nadie.

• Un poco menos  del 30% de los empleados  no informan los errores de ciberseguridad por miedo.
• Más del  40 % de los empleados  no denuncian un posible phishing por miedo a meterse en problemas.
• Alrededor  del 45% de los empleados  hacen clic en correos electrónicos que consideran sospechosos “por si acaso es importante”.

Fuente: ID Agent