Guía gratuita
16 preguntas que DEBE hacer antes de contratar cualquier empresa de TI
Al observar los riesgos de ataques cibernéticos que enfrentan las empresas hoy en día, el phishing encabeza la tabla. Es un problema que también sigue empeorando: el 84% de las empresas en un nuevo estudio dijeron que fueron víctimas de un ataque de phishing exitoso en 2021, un aumento del 15% durante el mismo período de 12 meses en 2020. Los ataques de phishing también son cada vez más sofisticado gracias en parte a los abundantes datos de la dark web que ayudan a los malos a dar forma a campañas efectivas. En esta avalancha de phishing, es fundamental que los empleados sean conscientes de las amenazas de phishing y puedan tomar las decisiones correctas cuando se enfrenten a un correo electrónico sospechoso. Desafortunadamente, con demasiada frecuencia ese no es el caso, lo que lleva a una pesadilla de seguridad cibernética para sus empleadores.
Se estima que el 65% de los incidentes de amenazas internas son causados por acciones de los empleados relacionadas con el phishing. Comprender los factores de riesgo que pueden impulsar la toma de decisiones buenas y malas de los empleados en torno al phishing puede ayudar a las organizaciones a obtener una imagen clara de su riesgo de phishing.
El error humano es el culpable de aproximadamente el 90 % de las infracciones de seguridad según el índice de inteligencia de amenazas X-Force de IBM. Esos errores pueden ir desde enviar a un compañero de trabajo un archivo que no está autorizado a ver hasta descargar un archivo adjunto malicioso de un correo electrónico de phishing. Una quinta parte de los empleados admite haber cometido errores como caer en trucos de phishing que los llevaron a interactuar con mensajes maliciosos en el trabajo, y estos siete factores de riesgo pueden afectar el comportamiento de los empleados en torno al phishing.
Al igual que cualquier otro negocio, las bandas de delincuentes cibernéticos siempre están buscando formas de maximizar la eficiencia, y el phishing cumple con los requisitos. Es la forma más barata, fácil y efectiva de penetrar la seguridad de una empresa. Por supuesto, también es algo que evoluciona como cualquier otro proceso comercial, con técnicas cambiantes, sofisticación creciente y nuevas trampas que dificultan que las empresas se mantengan al día. También es difícil para todos los demás mantenerse al día: el 97% de los empleados no pueden detectar un correo electrónico de phishing sofisticado. Hacer clic en un correo electrónico de phishing es la forma más probable de que un empleado provoque una brecha de seguridad. En un estudio de la Universidad de Stanford, los investigadores determinaron:
La pesadilla de los equipos de TI, los empleados se enfrentan regularmente a esquemas de phishing convincentes que utilizan archivos adjuntos. Se estima que el 48 % de los archivos adjuntos de correo electrónico maliciosos se disfrazan como un archivo de rutina, que va desde un aviso de finalización hasta una lista de recursos benéficos. Esto fue ilustrado recientemente por una avalancha de phishing en torno a la ayuda caritativa para los ucranianos a raíz de la invasión rusa. Los formatos de Microsoft Office como Word, PowerPoint y Excel son extensiones de archivo populares para que los ciberdelincuentes las utilicen cuando transmiten malware por correo electrónico, lo que representa el 38 % de los ataques de phishing. El siguiente método de entrega más popular: archivos con extenciones .zip y .jar, que representan alrededor del 37 % de las transmisiones maliciosas.
Más de la mitad de las empresas no participan en capacitaciones periódicas de concientización sobre seguridad, y eso es un gran error que al final les cuesta. En un estudio del Reino Unido sobre empresas que ejecutan simulaciones de phishing, los investigadores descubrieron que es probable que entre el 40 y el 60 % de los empleados no capacitados abran enlaces o archivos adjuntos maliciosos. Después de unos 6 meses de entrenamiento, ese número se redujo al 20% o 25%. Después de 3 a 6 meses más de capacitación, el porcentaje de empleados que abrieron mensajes de phishing se desplomó a solo 10% a 18%. Accenture sitúa el número ideal de cursos de formación para empleados cada año en 11 , o poco menos de uno al mes.
Demasiados empleados no son juiciosos al hacer clic en los enlaces de los mensajes de correo electrónico. CyberNews informa que es probable que 1 de cada 3 empleados haga clic en los enlaces de los correos electrónicos de phishing y que 1 de cada 8 empleados comparta la información solicitada en un correo electrónico de phishing. Aún más alarmante, el 67% de los empleados evaluados en una simulación de phishing que hicieron clic en el sitio web malicioso ficticio enviaron sus credenciales de inicio de sesión, frente a un escaso 2% en 2019.
El tipo de negligencia que ayuda a que los errores prosperen puede surgir de una empresa que tiene una mala cultura de seguridad. La seguridad es tarea de todos, pero no todos entienden eso. El 45% de los encuestados en una encuesta de HIPAA Journal dijeron que no necesitan preocuparse por las medidas de seguridad cibernética porque no trabajan en el departamento de TI. Eso es un desastre esperando a suceder. Esa ignorancia puede verse agravada por las actitudes de liderazgo hacia la seguridad. En una encuesta de CNBC , el 56 % de los propietarios de pymes dijeron que “no les preocupa mucho” ser víctimas de un ciberataque en los próximos 12 meses, y el 24 % dijo que “no les preocupa en absoluto”.
Ninguna empresa se beneficia cuando se mantiene a los empleados en la oscuridad acerca de la seguridad o se les hace pensar en ella como una pesadilla grande, complicada y peligrosa. Además, todos los equipos de tecnología preferirían enterarse de un incidente de seguridad cuando es solo una pequeña dificultad, no cuando se ha convertido en un gran desastre. Pero con demasiada frecuencia, los empleados se comportan de manera peligrosa porque tienen miedo de pedir ayuda o una aclaración, y eso no ayuda a nadie.
Fuente: ID Agent