Los ataques de phishing ahora le cuestan de media a sus víctimas más de un millón de dólares. Así lo ha revelado un informe de Barracuda, que además informa de que, para la mayoría de las empresas afectadas por esta amenaza cibernética en los últimos 12 meses (8 de cada 10), el coste ha sido significativamente superior.
Para realizar este estudio, la compañía de ciberseguridad solicitó la ayuda de Vanson Bourne, que encuestó a profesionales de distintos rangos del sector TI pertenecientes a empresas de entre 100 y 2.500 empleados en todo el mundo.
La ciberseguridad está mejorando, pero también los ciberdelincuentes
Ya sabíamos que el phishing y todos los problemas derivados de él, como el robo de credenciales y la distribución de malware, se han convertido en un verdadero dolor de cabeza para muchas organizaciones, especialmente tras el inicio de la pandemia. Sin embargo, no conocíamos la auténtica magnitud de este problema. Según los datos presentados por Barracuda, nada menos que el 75% de las empresas ha sido víctimas de la menos un ataque de correo electrónico en los últimos 12 meses.
Sin duda, se trata de una cifra devastadora. Si bien es cierto que las compañías cuentan con sistemas de seguridad cada vez más eficaces, los ciberdelincuentes no se están quedando de brazos cruzados. Y es que estos últimos están perfeccionando con mucho ingenio sus técnicas de ingeniería social a través de correos electrónicos que cada vez parecen más legítimos.
“El correo electrónico es un canal de comunicación confiable y ubicuo, y eso lo convierte en un objetivo atractivo para los ciberdelincuentes. Esperamos que los ataques basados en correo electrónico se vuelvan cada vez más sofisticados, aprovechando la IA y la ingeniería social avanzada en sus intentos de obtener los datos o el acceso que desean y evadir las medidas de seguridad”, dijo Don MacLennan, vicepresidente sénior de ingeniería y administración de productos en Barracuda.
Debido a ello, muchos sistemas de seguridad no son capaces de detectar algunas campañas de phishing y, simplemente, se escapan de su control; ya que no solo basta con aplicar algunos de los métodos tradicionales para saber si nos encontramos ante un mensaje fraudulento. Y a esto hay que sumarle que, en la mayoría de los casos, los ciberataques se deben a un error humano.
En definitiva, en pleno 2023, las campañas de phishing siguen suponiendo una gran fuente de ingresos para los ciberdelincuentes. Y nadie está a salvo. Ni siquiera las grandes compañías que, en muchos casos, suelen ser utilizados como cebo por los actores de amenazas. Y si no que se lo digan a Microsoft, LinkedIn o DHL.
Las consecuencias del phishing
Aparte del aumento de los costes y del impacto del phishing, hay otros datos del informe que merece la pena mencionar, como sus consecuencias. El 44% de las víctimas del phishing señaló que esto supuso la interrupción de su negocio durante una temporada, el 43% reportó una “pérdida de datos sensibles, confidenciales y críticos” y el 41% informó sobre que su reputación se vio perjudicada; uno de los principales motivos por los que muchas compañías prefieren ocultar los incidentes de este tipo.
De igual manera, los efectos son distintos en cada sector. De esta forma, las empresas financieras fueron las que más se enfrentaron a filtraciones de datos confidenciales y pérdidas económicas, mientras que los servicios sanitarios sufrieron más para restaurar sus sistemas y, por ende, poder recuperar su normalidad.
Como ya sabemos, el teletrabajo ha propiciado un escenario ideal para los ciberdelincuentes. La pandemia obligó a las compañías a apostar por esta modalidad, pero, debido a la falta de previsión, no pudieron preparar adecuadamente sus sistemas de seguridad, algo que supieron aprovechar muy bien los actores de amenazas. El informe vuelve hacer hincapié en esa relación entre la proliferación de malware y el trabajo remoto.
La mayoría de las empresas aún se ven indefensas, pero al menos, muchas han incrementado sus gastos en seguridad
Ya han pasado 3 años desde entonces, pero las empresas siguen mostrándose temerosas ante esta amenaza. Y es que el 97% de las organizaciones encuestadas creen que aún no están completamente preparadas para abordar este problema. Para más inri, el 34% considera que no cuenta con los recursos necesarios para lidiar con la pérdida de datos o el malware, y el 27% piensa igual en lo relativo al ransomware. Incluso, el 28% dice que no está ni siquiera preparado para hacer frente a “algunas amenazas menos complejas como el correo no deseado”.
“Los ataques basados en correo electrónico pueden ser el punto de acceso inicial para una amplia gama de ciberamenazas, incluidos ransomware, ladrones de información, spyware, criptominería, otro malware y más. No sorprende que los equipos de TI de todo el mundo no se sientan completamente preparados para defenderse contra muchas amenazas basadas en el correo electrónico,” afirma Don MacLennan.
A pesar de ello, también hay una brizna de esperanza. El 26% de los encuestados aseguran haber incrementado sus gastos en seguridad de correo electrónico y casi 9 de cada 10 (89%) consideran que sus sistemas y datos son ahora más seguros que hace 12 meses.
