A pesar de ser uno de los trucos más antiguos del libro, los ataques por correo electrónico siguen siendo una de las formas más populares y eficientes de ciberdelincuencia, según afirma una nueva investigación.
La última edición del informe anual «State of the Phish» de Proofpoint también encontró que siguiendo de cerca a estos ataques está el ransomware, una forma devastadora de malware cuya popularidad aún no muestra signos de disminuir.
Según la telemetría de la empresa (más de 18 millones de correos electrónicos informados por usuarios finales; 135 millones de ataques de phishing simulados en un año), así como una encuesta de 7500 empleados y 1050 profesionales de seguridad en todo el mundo, el informe encontró que casi la mitad (44 % de los empleados confiaría en un correo electrónico con una «marca familiar», mientras que casi dos tercios (63 %) piensa que una dirección de correo electrónico siempre corresponde al sitio web o la marca correspondiente.
Compromiso de correo electrónico comercial
Sabiendo esto, no es de extrañar que las tres cuartas partes de las empresas globales incluidas en la investigación informaron un ataque de Business Email Compromise (BEC) el año pasado. La mayoría de las veces, los atacantes persiguen empresas de habla inglesa, pero las que no hablan inglés también están comenzando a ver mayores volúmenes de ataques, dijeron los investigadores.
El ransomware también es una gran amenaza, dice el documento. A nivel mundial, más de las tres cuartas partes (76 %) experimentaron uno de esos ataques el año pasado, y dos tercios (64 %) fueron víctimas. Alrededor de la mitad (52 %) recuperó el acceso a sus datos después de realizar el pago del rescate.
Quizás el hallazgo más sorprendente del informe es que, incluso hoy en día, las ciberamenazas básicas no se entienden tan bien. Muchos de los encuestados no pudieron definir correctamente malware, phishing o ransomware. Además, solo alrededor de la mitad (56 %) de las empresas globales con un programa de concientización sobre seguridad capacitan a su personal en las mejores prácticas de seguridad cibernética, y solo un tercio (35 %) ejecuta simulaciones de phishing.
Esta falta de conciencia es también el eslabón más débil de la cadena de ciberseguridad, argumentan los expertos.
“Las brechas de concienciación y los comportamientos de seguridad laxos demostrados por los empleados crean un riesgo sustancial para las organizaciones y sus datos”, dijo Adenike Cosgrove, vicepresidenta de estrategia de seguridad cibernética, EMEA Proofpoint. “Dado que el correo electrónico sigue siendo el método de ataque favorito de los ciberdelincuentes y se ramifican hacia técnicas mucho menos familiares para los empleados, existe un claro valor en construir una cultura de seguridad que abarque a toda la organización”.