Las tres claves del panorama actual del ‘phishing’ en las organizaciones

Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal

2 agosto, 2019
19 Compartido 3,143 Visualizaciones

Proofpoint es una compañía de ciberseguridad que protege los activos más importantes y de mayor riesgo para organizaciones y empresas: las personas. Gracias a una suite integrada de soluciones basadas en la nube, Proofpoint ayuda a empresas de todo el mundo a detener las amenazas dirigidas, a salvaguardar sus datos y a hacer a los usuarios más resilientes frente a ciberataques.

Cada año realizamos una encuesta entre nuestra base de datos de profesionales de seguridad de la información para conocer sus experiencias y cómo afectan las ciberamenazas a sus empresas. Son muchas las organizaciones que se ven afectadas por distintos ataques de ingeniería social, como phishing, spear phishing, mediante mensajes SMS (smishing) o de voz (vishing), entre otros. 

A partir de ahí, elaboramos el informe State of the Phish en torno a tres pilares clave del panorama del phishing en la actualidad: una evaluación del conocimiento sobre ciberseguridad por parte de los usuarios, la experiencia de profesionales de seguridad de la información en ataques de ingeniería social, así como resultados y oportunidades de formar a los empleados en ciberseguridad para gestionar mejor posibles riesgos. A continuación, detallamos las principales conclusiones:    

1. Aumentan los ataques de ingeniería social de forma generalizada

En total, un 83% de los encuestados afirmó haber sufrido ataques de phishing en 2018, lo que supone un aumento del 76% respecto a 2017. Sin embargo, este método de ataque no fue el único que tuvo mayor incidencia durante el año pasado, ya que la encuesta revela cómo año tras año crecen en frecuencia todo tipo de ataques de ingeniería social. 

Tampoco ha decaído el uso de los USB como vehículo para los ciberataques. Así se desprende de este otro estudio, donde se detallan 29 formas diferentes en las que estos gadgets pueden comprometer la seguridad de los dispositivos de una organización. Hay que tener en cuenta que los usuarios suelen confiar en los USB, sobre todo, si nadie les ha alertado de lo contrario. El incremento, aunque moderado, de ataques de ingeniería social en empresas a través de unidades infectadas demuestra la tenacidad de los cibercriminales a la hora de emplear cualquier posible vía para aprovecharse del comportamiento de los usuarios finales.

2. Los casos de credenciales corporativas se disparan desde 2016

En el último informe, hemos detectado una tendencia interesante: las cuentas comprometidas sortearon las infecciones por malware, el impacto más común entre los casos de phishing con éxito.   

En 2018, el número de cuentas comprometidas creció un 70% respecto a 2017, disparándose un 280% desde 2016. Los resultados de la encuesta reafirman el repunte en suplantación de identidad basada en credenciales, a la que ya hicieron referencia los investigadores de Proofpoint en su informe Protecting People de mediados de año.  

Asimismo, resulta curioso observar cómo pocas organizaciones llevan a cabo simulaciones de phishing de introducción de datos, que imitan el phishing de credenciales, y por el que se solicita a los usuarios que envíen nombres de inicio de sesión, contraseñas u otros datos sensibles. De ahí, nuestra recomendación a los equipos de seguridad de la información para que hagan este tipo de pruebas, con el objetivo de aumentar las defensas contra este tipo de ataques que, a menudo, es muy tenido en cuenta por los cibercriminales, ya que el robo de credenciales puede proporcionar acceso a múltiples fuentes de contenido confidencial.

3. Los ‘baby boomers’ superan a todos los demás grupos demográficos en conocimiento básico del ‘phishing’ y el ‘ransomware’

Los equipos de seguridad deben tener presente que muchos de los trabajadores hoy en activo no están familiarizados con términos como phishing y ransomware, lo que podría impactar negativamente en cualquier iniciativa de formación sobre ciberseguridad. 

En este estudio, queríamos ahondar en las diferencias que existen a nivel generacional, en particular aquellas relacionadas con los millennials, ya que desempeñan un papel destacado actualmente en la fuerza laboral de todo el mundo. A menudo, creemos que estos usuarios, al ser «nativos digitales», tienen un alto conocimiento cibernético y, por tanto, son más conscientes de los riesgos digitales y entienden cuáles son las mejores prácticas de ciberseguridad.

No obstante, los resultados de la encuesta demuestran que esa destreza que tienen los millennials en el entorno digital no se traduce en una mayor conciencia en torno a los principios básicos de ciberseguridad. De hecho, los usuarios de esta generación se sitúan muy por detrás, al menos, de uno de los grupos de edad en todas las preguntas. Aun así, los baby boomers, nacidos entre 1956 y 1970, componen sin duda el grupo demográfico con menos conocimiento sobre ciberseguridad de nuestra encuesta, aunque superan a todos los demás en nociones básicas de phishing y ransomware.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

CES Unveiled en París presentó los aspectos más importantes de la tecnología y la inteligencia artificial
Actualidad
16 compartido1,915 visualizaciones
Actualidad
16 compartido1,915 visualizaciones

CES Unveiled en París presentó los aspectos más importantes de la tecnología y la inteligencia artificial

Alicia Burrueco - 25 octubre, 2019

Muchos ejecutivos, medios influyentes y celebridades de la industria se reunieron en París para hablar de las innovaciones europeas y…

Rosa Díaz Moles, nueva Directora General de INCIBE
Actualidad
20 compartido1,399 visualizaciones
Actualidad
20 compartido1,399 visualizaciones

Rosa Díaz Moles, nueva Directora General de INCIBE

Vicente Ramírez - 19 noviembre, 2019

El Consejo de Administración del Instituto Nacional de Ciberseguridad (INCIBE) ha nombrado a Rosa Díaz Moles nueva directora general. Díaz…

Madrid acogerá el primer curso realizado en España para obtener la certificación PCI ISA del PCI Council
Actualidad
8 compartido1,313 visualizaciones
Actualidad
8 compartido1,313 visualizaciones

Madrid acogerá el primer curso realizado en España para obtener la certificación PCI ISA del PCI Council

Aina Pou Rodríguez - 26 febrero, 2020

Formación dirigida a profesionales responsables de la validación y cumplimiento del estándar PCI DSS (Data Security Standard) en su organización.…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.