El phishing es uno de los temas que más escuchamos sobre el cibercrimen. Tanto es así que puede parecer mundano; sin embargo, es cualquier cosa menos eso. 9 de cada 10 de los ataques cibernéticos más dañinos de la actualidad comienzan con un mensaje de phishing, lo que hace que la capacitación en phishing sea una herramienta de seguridad vital. El phishing es la puerta de entrada a las pesadillas de la ciberseguridad, como el compromiso de correo electrónico comercial (BEC), el malware y el compromiso de credenciales. Para el Puerto de Seattle, el phishing también fue la puerta de entrada a la pérdida de $500k.

• 2 ataques de phishing le costaron al Puerto de Seattle medio millón de dólares

Un informe recientemente publicado de una auditoría realizada por el estado de Washington arroja luz sobre dos costosos y dañinos ataques de phishing que afectaron al Puerto de Seattle por medio millón de dólares en 2021. El Puerto finalmente recuperó parte del dinero e hizo un reclamo de seguro por otro trozo Sin embargo, los auditores estatales determinaron que el puerto debería haber hecho más para evitar que ocurrieran los ataques en primer lugar.

La saga comenzó en octubre de 2021 cuando el departamento de Diversidad, Equidad e Inclusión del Puerto de Seattle fue víctima de lo que los auditores clasificaron como una estafa de phishing clásica en la que los malos actores se hicieron pasar por un proveedor de servicios no identificado que debía dinero al Puerto. En el primer incidente, los empleados de esa oficina reenviaron el correo electrónico a la oficina de cuentas por pagar del Puerto para el pago y en tres pagos, los ciberdelincuentes se llevaron $184,676.

El segundo incidente tuvo lugar en diciembre de 2021. Una vez más, los delincuentes atacaron la oficina de Diversidad, Equidad e Inclusión del Puerto de Seattle con una estafa de phishing y, una vez más, tuvieron éxito. Usaron la misma premisa básica para este ataque de phishing: la estafa común de facturas. Sin embargo, esta vez, buscaron una puntuación mucho mayor. Para cuando se produjeron los daños, el Puerto había realizado cinco pagos por un total de $388.007.

En total, el Puerto de Seattle fue golpeado por alrededor de $500K. Afortunadamente, los funcionarios recuperaron la mayor parte del dinero robado a través de varios medios. Gracias al trabajo de detective y un buen seguro cibernético, el Puerto pudo recuperar todo menos $50,000 de los fondos perdidos, con $356,520 del banco y $166,163 del seguro. Sin embargo, el resultado de este escenario podría haber sido mucho peor. Los empleados que caen en los trucos de phishing son un camino rápido hacia una pesadilla de ransomware para cualquier empresa.

• La negligencia en el entrenamiento conduce al desastre

¿Qué sucedió para causar estos dos desastres cibernéticos? Los auditores tenían algunas cosas en mente en su informe. En primer lugar, los auditores notaron que el personal no detectó signos aparentes de mensajes fraudulentos, incluidos errores ortográficos y gramaticales. Esa ineptitud condujo a que el correo electrónico de phishing pasara con éxito no por uno sino por dos departamentos, incluido uno que debería haber tenido un nivel de capacitación más alto debido a su proximidad al delito cibernético. Los auditores también culparon al personal por no seguir de manera consistente los procedimientos adecuados del puerto para una transferencia electrónica de fondos.

Esta no fue la primera pérdida por ciberdelincuencia del Puerto de Seattle. La respuesta del puerto a la auditoría señaló que no habían sufrido una pérdida monetaria por un esquema ciberdelincuente en los 15 meses anteriores a este desastre. El estado de Washington ha experimentado pérdidas por delitos cibernéticos, por un total de $28 millones desde 2016 . Sin embargo, incluso en ese entorno, donde el phishing y el consiguiente daño que podía causar era un riesgo bien conocido, se cometieron errores y se descuidaron los medios para prevenirlos.

Después de este incidente, se exigió a los departamentos involucrados en el escándalo que tomaran un entrenamiento obligatorio de concientización sobre seguridad con simulaciones de phishing. El puerto también estaba obligado a asegurarse de que todos los empleados tuvieran una capacitación actualizada sobre seguridad que incluyera capacitación sobre phishing para mantenerlos al tanto de las amenazas de phishing y evitar este problema en el futuro. Ese programa se implementó en 2022. Capacitar a los empleados regularmente es vital para garantizar que mantengan un alto nivel de conciencia sobre el phishing y los ataques cibernéticos transmitidos por correo electrónico.

• La capacitación en phishing genera enormes beneficios

La capacitación en concientización sobre seguridad que incluye simulación de phishing reduce drásticamente la posibilidad de que los empleados caigan en una tentación de phishing. En un estudio, el 80 % de las organizaciones dijeron que la formación sobre seguridad había reducido sustancialmente la posibilidad de que un empleado fuera víctima de una estafa de phishing. En última instancia, los investigadores determinaron que la capacitación en concientización sobre seguridad no funciona de la noche a la mañana. Sin embargo, logra un progreso constante que se mantiene con el tiempo, reduciendo el riesgo de phishing de una empresa del 60 % al 10 % en los primeros 12 meses . Esa es una gran mejora de seguridad sin un impacto masivo en el presupuesto de una empresa.

Estos son algunos otros beneficios de la capacitación regular sobre seguridad y concientización sobre phishing:

1. La capacitación en concientización sobre seguridad reduce el costo del phishing en más del 50 % .
2. La capacitación en concientización sobre seguridad mejora la concientización sobre el phishing en aproximadamente un 40 %.
3. Los riesgos relacionados con la seguridad se reducen en un 70 % cuando las empresas invierten en formación sobre ciberseguridad.
4. Las empresas que reciben formación regular sobre concienciación en seguridad tienen un 70 % menos de incidentes de seguridad .
5. Incluso una inversión modesta en concientización y capacitación sobre seguridad tiene un 72 % de posibilidades de reducir significativamente el impacto comercial de un ataque cibernético.

Fuente: ID Agent