Proofpoint ha lanzado la décima edición de su informe anual State of the Phish. Este informe revela que más del 67% de los empleados en España están conscientemente poniendo en riesgo a sus organizaciones, lo que podría resultar en infecciones de ransomware o malware, filtraciones de datos, o pérdidas económicas.
Aunque la incidencia de ataques de phishing ha mostrado una ligera disminución (el 67% de las organizaciones encuestadas en España experimentó al menos un ataque exitoso en 2023, en comparación con el 90% del año anterior), las consecuencias negativas se han intensificado. Se ha observado un aumento del 25% en las sanciones financieras, como multas por incumplimientos regulatorios, y un incremento del 56% en los daños a la reputación reportados.
Estas conclusiones ponen en tela de juicio la noción convencional de que los comportamientos arriesgados en materia de ciberseguridad se deben únicamente a la falta de conocimientos, y sugieren que la formación en concienciación sobre este tema no es suficiente para eliminar por completo tales comportamientos. Además, se cuestiona la suposición de que la mayoría de los empleados son conscientes de su responsabilidad en la protección de la empresa, lo que señala una brecha entre las capacidades de la tecnología de seguridad individual y la educación de los usuarios.
“Los ciberdelincuentes saben que es fácil aprovecharse de las personas, ya sea por una negligencia, comprometiendo su identidad o, en algunos casos, porque actúan con malas intenciones”, afirma Ryan Kalember, director de estrategia de Proofpoint. “Las personas desempeñan un papel fundamental en la seguridad de una organización, ya que el 74% de los incidentes todavía se centra en el factor humano. Aunque fomentar una cultura de la seguridad es importante, la formación por sí sola no es suficiente. Saber lo que hay que hacer y hacerlo son dos cosas distintas. El reto ahora no es sólo la concienciación, sino el cambio de comportamiento”.
Seguridad de la empresa
Estos son algunos de los datos clave del informe State of the Phish de Proofpoint referentes a las organizaciones españolas encuestadas:
- Los empleados no actúan de manera arriesgada por falta de concienciación en seguridad: Un estudio revela que el 73% de los profesionales encuestados en España admitieron haber realizado acciones arriesgadas, como reutilizar o compartir contraseñas, hacer clic en enlaces de remitentes desconocidos o compartir credenciales con fuentes no confiables. Sorprendentemente, el 94% de ellos lo hizo a pesar de conocer los riesgos, lo que significa que un considerable 67% de los empleados españoles debilitó deliberadamente la seguridad de sus organizaciones. Las razones detrás de estos actos incluyen el ahorro de tiempo (42%), la comodidad (27%) y la sensación de urgencia (25%)
El informe ‘State of the Phish 2024’ de Proofpoint revela que las amenazas centradas en las personas siguen afectando a las organizaciones en España, reportando un aumento de sanciones económicas directas por phishing del 25% y daños a la reputación en un 56%
- Desconexión entre los equipos de TI y los empleados en el impulso de un verdadero cambio de comportamiento: Aunque el 86% de los profesionales de seguridad afirma que la mayoría de los empleados comprende su responsabilidad en seguridad, el 55% de los empleados encuestados no está seguro o no se siente responsable en absoluto. Aunque casi todos los empleados que realizaron acciones arriesgadas eran conscientes de los peligros (94%), existen notables discrepancias entre lo que los profesionales de seguridad creen efectivo (más formación y controles más estrictos) y lo que los empleados desean (controles simplificados y fáciles de usar)
- La MFA sigue proporcionando una falsa sensación de seguridad, dejando a las empresas expuestas: A pesar de más de un millón de ataques EvilProxy al mes para eludir la MFA, el 84% de los profesionales de seguridad españoles todavía considera que la MFA ofrece una protección completa contra la apropiación de cuentas
- La vulneración de correo electrónico de empresas (BEC) se beneficia de la IA: Aunque menos organizaciones informaron intentos de fraude por correo electrónico, el volumen de ataques BEC creció en países como Japón (+35%), Corea del Sur (+31%) y Emiratos Árabes Unidos (+29%), impulsado por la IA generativa que permite a los atacantes crear emails más convincentes y personalizados en varios idiomas
- La ciberextorsión persiste como forma lucrativa de ataque: El 69% de las organizaciones españolas experimentó una infección exitosa de ransomware el último año, con el 55% de los profesionales de TI reportando múltiples infecciones. Solo el 21% recuperó el acceso a sus datos tras un único pago
- Los ataques por teléfono (TOAD) siguen aumentando: Con un promedio mensual de 10 millones de ataques TOAD, estos ataques se activan cuando empleados desprevenidos llaman a call centers fraudulentos, proporcionando sus credenciales o concediendo acceso remoto a los ciberdelincuentes