9 de cada 10 organizaciones globales sufrieron ataques BEC y de phishing en 2019

Los ciberdelincuentes insisten en comprometer a los usuarios finales individuales. Prueba de ello son los datos recogidos en el informe State of the Phish elaborado por Proofpoint, que revela que casi el 90% de las organizaciones globales encuestadas fueron objeto de ataques de compromiso del email corporativo (BEC) y ataques de suplantación de identidad. El 78% también informó que las actividades de formación sobre concienciación de la seguridad dieron como resultado reducciones cuantificables en la susceptibilidad al phishing.

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Más de la mitad (55%) de las organizaciones de todo el mundo se enfrentaron al menos a un ataque de phishing exitoso en 2019, el 88% informó de ataques de suplantación de identidad, el 86% informó de ataques de BEC, el 86% informó de ataques de redes sociales, el 84% informó de phishing de SMS/texto (smishing), el 83% informó de phishing de voz (vishing), y el 81% informó de USB maliciosos.

El 75% de los profesionales de ciberseguridad dijo que su organización experimentó una infección de ransomware en 2019, de los que el 33% optó por pagar el rescate, mientras que el 32% no lo hizo. De aquellos que negociaron con los atacantes, el 9% recibió peticiones de rescate posteriores, y el 22% nunca recuperó el acceso a sus datos, incluso después de pagar.

El informe, indica que el volumen de mensajes reportados como maliciosos aumenta significativamente año tras año, con los usuarios reportando más de nueve millones de correos electrónicos sospechosos en 2019, un incremento del 67% sobre 2018. El aumento es una señal positiva para los equipos de seguridad de la información, ya que el servicio de inteligencia de amenazas de Proofpoint ha mostrado una tendencia hacia ataques más dirigidos y personalizados en comparación con las campañas masivas. Los usuarios deben estar cada vez más atentos para identificar señuelos de phishing, mientras los mecanismos de notificación permiten a los empleados alertar a los equipos de protección contra infecciones de mensajes potencialmente peligrosos que evaden las defensas del perímetro de seguridad.

A nivel mundial, el 63% de las organizaciones toman medidas correctivas con los usuarios que cometen repetidamente errores relacionados con los ataques de phishing. La mayoría de los encuestados dijeron que la concienciación de los empleados mejoró tras la implementación de un modelo de consecuencias.

El 45% de los trabajadores y profesionales admiten que reutilizan contraseñas, más del 50% no protege las redes domésticas con contraseña y el 90% dice que utiliza dispositivos proporcionados por el empleador para actividades personales. Además, el 32% no están familiarizados con los servicios de redes privadas virtuales (VPN).

Muchos usuarios no reconocen los términos comunes de ciberseguridad. En la encuesta se pidió a los trabajadores que identificaran las definiciones de los siguientes términos de ciberseguridad: phishing (61% correcto), ransomware (31% correcto), smishing (30% correcto) y vishing (25% correcto). Estos hallazgos ponen de manifiesto una brecha de conocimiento entre algunos usuarios y una posible barrera lingüística para los equipos de seguridad que intentan educar a los empleados sobre estas amenazas.