El informe State of the Phish de Proofpoint destaca la Necesidad de Formación para el Usuario y el Reporting de correo electrónico a medida que Aumentan los Ataques Dirigidos

29 enero, 2020
2 Compartido 770 Visualizaciones

Un nuevo estudio revela que casi el 90% de las organizaciones se enfrentaron a correo electrónico corporativo comprometido (BEC) y a ataques de suplantación de identidad en 2019

Proofpoint ha publicado hoy su sexto informe global anual State of the Phish, que realiza un análisis profundo al conocimiento, vulnerabilidad y resistencia de los usuarios al phishing. Entre las principales conclusiones, casi el 90 por ciento de las organizaciones globales encuestadas fueron objeto de ataques de business email compromise -BEC- y ataques de suplantación de identidad, lo que refleja la insistencia de los ciberdelincuentes en comprometer a los usuarios finales individuales. El 78 por ciento también informó que las actividades de formación sobre concienciación de la seguridad dieron como resultado reducciones cuantificables en la susceptibilidad al phishing.

El informe anual State of the Phish de Proofpoint examina los datos de casi 50 millones de ataques simulados de phishing enviados por los clientes de Proofpoint durante el período de un año, junto con las respuestas a encuestas de terceros de más de 600 profesionales de la seguridad en los Estados Unidos, Australia, Francia, Alemania, Japón, España y el Reino Unido. El informe también analiza los conocimientos fundamentales sobre ciberseguridad de más de 3,500 usuarios en activo profesionalmente y que fueron encuestados en esos mismos siete países.

«Una formación efectiva sobre concientización de seguridad debe centrarse en los temas y comportamientos que más importan para la misión de una organización«, dice Joe Ferrara, vicepresidente senior y gerente general de formación sobre concientización de seguridad de Proofpoint. «Recomendamos adoptar un enfoque de ciberseguridad centrado en las personas mediante la combinación de iniciativas de capacitación de concienciación en toda la organización, con una educación dirigida a las amenazas. El objetivo es capacitar a los usuarios para que reconozcan e informen sobre los ataques«.

En el informe de este año también se examinan las notificaciones de correo malicioso de los usuarios, una métrica crítica para medir el comportamiento positivo de los empleados. El volumen de mensajes reportados como maliciosos aumenta significativamente año tras año, con los usuarios reportando más de nueve millones de correos electrónicos sospechosos en 2019, un incremento del 67 por ciento sobre 2018. El aumento es una señal positiva para los equipos de seguridad de la información, ya que el servicio de inteligencia de amenazas de Proofpoint ha mostrado una tendencia hacia ataques más dirigidos y personalizados en comparación con las campañas masivas. Los usuarios deben estar cada vez más atentos para identificar sofisticados señuelos de phishing, mientras los mecanismos de notificación permiten a los empleados alertar a los equipos de protección contra infecciones de mensajes potencialmente peligrosos que evaden las defensas del perímetro de seguridad.

Entre los hallazgos globales adicionales del informe State of the Phish se incluyen los siguientes puntos. En el informe también se detallan los datos específicos sobre Norteamérica, EMEA y APAC.

  • Más de la mitad (55 por ciento) de las organizaciones encuestadas se enfrentaron al menos a un ataque de phishing exitoso en 2019, y los profesionales de ciberseguridad informaron de una alta frecuencia de ataques basados en ingeniería social mediante diversos métodos: el 88 por ciento de las organizaciones de todo el mundo informó de ataques de suplantación de identidad, el 86 por ciento informó de ataques de BEC, el 86 por ciento informó de ataques de redes sociales, el 84 por ciento informó de phishing de SMS/texto (smishing), el 83 por ciento informó de phishing de voz (vishing), y el 81 por ciento informó de USB maliciosos.
  • El sesenta y cinco por ciento de los profesionales de ciberseguridad encuestados dijo que su organización experimentó una infección de ransomware en 2019; el 33 por ciento optó por pagar el rescate, mientras que el 32 por ciento no lo hizo. De aquellos que negociaron con los atacantes, el nueve por ciento recibió peticiones de rescate posteriores, y el 22 por ciento nunca recuperó el acceso a sus datos, incluso después de pagar un rescate.
  • Las organizaciones se están beneficiando de los modelos de consecuencias. A nivel mundial, el 63 por ciento de las organizaciones toman medidas correctivas con los usuarios que cometen repetidamente errores relacionados con los ataques de phishing. La mayoría de los encuestados dijeron que la concienciación de los empleados mejoró tras la implementación de un modelo de consecuencias.
  • Muchos trabajadores y profesionales no siguen las mejores prácticas de ciberseguridad. El 45 por ciento admite la reutilización de contraseñas, más del 50 por ciento no protege las redes domésticas con contraseña y el 90 por ciento dice que utiliza dispositivos proporcionados por el empleador para actividades personales. Además, el 32% de los adultos que trabajan no están familiarizados con los servicios de redes privadas virtuales (VPN).
  • Muchos usuarios no reconocen los términos comunes de ciberseguridad. En la encuesta mundial, se pidió a los trabajadores que identificaran las definiciones de los siguientes términos de ciberseguridad: phishing (61% correcto), ransomware (31% correcto), smishing (30% correcto) y vishing (25% correcto). Estos hallazgos ponen de manifiesto una brecha de conocimiento entre algunos usuarios y una posible barrera lingüística para los equipos de seguridad que intentan educar a los empleados sobre estas amenazas. Es fundamental que las organizaciones se comuniquen de forma eficaz con los usuarios y les permitan ser una sólida línea final de defensa.
  • Los milenials siguen teniendo un rendimiento inferior al de otros grupos de edad en lo que respecta a la concienciación básica sobre el phishing y el ransomware, una advertencia para que las organizaciones no asuman que los trabajadores más jóvenes tienen una comprensión innata de las amenazas a la ciberseguridad. Los milenials solo tuvieron el mejor reconocimiento de un solo término: smishing.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Más de la mitad del phishing en 2017 fue financiero
Soluciones Seguridad
43 compartido2,642 visualizaciones
Soluciones Seguridad
43 compartido2,642 visualizaciones

Más de la mitad del phishing en 2017 fue financiero

José Luis - 28 marzo, 2018

En 2017 las tecnologías anti phishing de Kaspersky Lab detectaron más de 246 millones de intentos de hacer que los…

Los desafíos de la Nube: Inteligencia Artificial y gestión de riesgos de terceros
Eventos
23 compartido2,377 visualizaciones
Eventos
23 compartido2,377 visualizaciones

Los desafíos de la Nube: Inteligencia Artificial y gestión de riesgos de terceros

Vicente Ramírez - 11 octubre, 2019

En la sesión se debatirá sobre la aplicación de la Inteligencia Artificial a la ciberseguridad y la gestión de riesgos…

Se triplican los ataques DDoS a centros educativos y administrativos durante la pandemia
Actualidad
7 compartido1,573 visualizaciones
Actualidad
7 compartido1,573 visualizaciones

Se triplican los ataques DDoS a centros educativos y administrativos durante la pandemia

Aina Pou Rodríguez - 20 mayo, 2020

Los actores DDoS están aprovechando la situación actual de confinamiento, en la que las personas dependen en gran medida de…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.