Proofpoint ha publicado su sexto informe global anual State of the Phish, que realiza un análisis profundo al conocimiento, vulnerabilidad y resistencia de los usuarios al phishing. Entre las principales conclusiones, casi el 90 por ciento de las organizaciones globales encuestadas fueron objeto de ataques debusiness email compromise -BEC- y ataques de suplantación de identidad, lo que refleja la insistencia de los ciberdelincuentes en comprometer a los usuarios finales individuales. El 78 por ciento también informó que las actividades de formación sobre concienciación de la seguridad dieron como resultado reducciones cuantificables en la susceptibilidad al phishing.
El informe anual State of the Phish de Proofpoint examina los datos de casi 50 millones de ataques simulados de phishing enviados por los clientes de Proofpoint durante el período de un año, junto con las respuestas a encuestas de terceros de más de 600 profesionales de la seguridad en los Estados Unidos, Australia, Francia, Alemania, Japón, España y el Reino Unido. El informe también analiza los conocimientos fundamentales sobre ciberseguridad de más de 3,500 usuarios en activo profesionalmente y que fueron encuestados en esos mismos siete países.
“Una formación efectiva sobre concientización de seguridad debe centrarse en los temas y comportamientos que más importan para la misión de una organización”, dice Joe Ferrara, vicepresidente senior y gerente general de formación sobre concientización de seguridad de Proofpoint.“Recomendamos adoptar un enfoque de ciberseguridad centrado en las personas mediante la combinación de iniciativas de capacitación de concienciación en toda la organización, con una educación dirigida a las amenazas. El objetivo es capacitar a los usuarios para que reconozcan e informen sobre los ataques”.
En el informe de este año también se examinan las notificaciones de correo malicioso de los usuarios, una métrica crítica para medir el comportamiento positivo de los empleados. El volumen de mensajes reportados como maliciosos aumenta significativamente año tras año, con los usuarios reportando más de nueve millones de correos electrónicos sospechosos en 2019, un incremento del 67 por ciento sobre 2018. El aumento es una señal positiva para los equipos de seguridad de la información, ya que el servicio de inteligencia de amenazas de Proofpoint ha mostrado una tendencia hacia ataques más dirigidos y personalizados en comparación con las campañas masivas. Los usuarios deben estar cada vez más atentos para identificar sofisticados señuelos de phishing, mientras los mecanismos de notificación permiten a los empleados alertar a los equipos de protección contra infecciones de mensajes potencialmente peligrosos que evaden las defensas del perímetro de seguridad.
Entre los hallazgos globales adicionales del informe State of the Phish se incluyen los siguientes puntos. En el informe también se detallan los datos específicos sobre Norteamérica, EMEA y APAC.
- Más de la mitad (55 por ciento) de las organizaciones encuestadas se enfrentaron al menos a un ataque de phishing exitoso en 2019, y los profesionales de ciberseguridad informaron de una alta frecuencia de ataques basados en ingeniería social mediante diversos métodos: el 88 por ciento de las organizaciones de todo el mundo informó de ataques de suplantación de identidad, el 86 por ciento informó de ataques de BEC, el 86 por ciento informó de ataques de redes sociales, el 84 por ciento informó de phishing de SMS/texto (smishing), el 83 por ciento informó de phishing de voz (vishing), y el 81 por ciento informó de USB maliciosos.
- El sesenta y cinco por ciento de los profesionales de ciberseguridad encuestados dijo que su organización experimentó una infección de ransomware en 2019; el 33 por ciento optó por pagar el rescate, mientras que el 32 por ciento no lo hizo. De aquellos que negociaron con los atacantes, el nueve por ciento recibió peticiones de rescate posteriores, y el 22 por ciento nunca recuperó el acceso a sus datos, incluso después de pagar un rescate.
- Las organizaciones se están beneficiando de los modelos de consecuencias. A nivel mundial, el 63 por ciento de las organizaciones toman medidas correctivas con los usuarios que cometen repetidamente errores relacionados con los ataques de phishing. La mayoría de los encuestados dijeron que la concienciación de los empleados mejoró tras la implementación de un modelo de consecuencias.
- Muchos trabajadores y profesionales no siguen las mejores prácticas de ciberseguridad. El 45 por ciento admite la reutilización de contraseñas, más del 50 por ciento no protege las redes domésticas con contraseña y el 90 por ciento dice que utiliza dispositivos proporcionados por el empleador para actividades personales. Además, el 32% de los adultos que trabajan no están familiarizados con los servicios de redes privadas virtuales (VPN).
- Muchos usuarios no reconocen los términos comunes de ciberseguridad. En la encuesta mundial, se pidió a los trabajadores que identificaran las definiciones de los siguientes términos de ciberseguridad: phishing (61% correcto), ransomware (31% correcto), smishing (30% correcto) y vishing (25% correcto). Estos hallazgos ponen de manifiesto una brecha de conocimiento entre algunos usuarios y una posible barrera lingüística para los equipos de seguridad que intentan educar a los empleados sobre estas amenazas. Es fundamental que las organizaciones se comuniquen de forma eficaz con los usuarios y les permitan ser una sólida línea final de defensa.
- Los milenials siguen teniendo un rendimiento inferior al de otros grupos de edad en lo que respecta a la concienciación básica sobre el phishing y el ransomware, una advertencia para que las organizaciones no asuman que los trabajadores más jóvenes tienen una comprensión innata de las amenazas a la ciberseguridad. Los milenials solo tuvieron el mejor reconocimiento de un solo término: smishing.