Los equipos de TI fatigados están perdiendo la guerra contra el phishing

  • Endpoint

Casi tres cuartas partes de las organizaciones han sido víctimas de un ataque de phishing en el último año, y el 34% culpa de los ataques exitosos a la falta de capacitación de los empleados. Los efectos de los ataques de phishing se han visto exacerbados por la escasez de talento de TI.

Recomendados: 

Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar

7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer

Anatomía del ataque a una cuenta privilegiada Leer 

Ivanti ha publicado los resultados de una encuesta de Aberdeen que encontró que el cambio global hacia el trabajo remoto ha exacerbado la sofisticación y el impacto de los ataques de phishing. Casi tres cuartas partes (74%) de los encuestados dijeron que sus organizaciones han sido víctimas de un ataque de phishing en el último año, con el 40% confirmando que han experimentado uno en el último mes.

El 80% ha sido testigo de un aumento en el volumen de intentos de phishing y el 85% dijo que esos intentos se están volviendo más sofisticados. De hecho, el 73% de los encuestados dijo que su personal de TI había sido blanco de intentos de phishing, y el 47% de esos intentos tuvieron éxito. Las estafas smishing y vishing son las últimas variantes para ganar tracción y dirigirse a los usuarios móviles. Según una investigación reciente de Aberdeen, los atacantes tienen una tasa de éxito más alta en los puntos finales móviles que en los servidores, un patrón que tiende a más.

Los hackers están explotando las brechas de seguridad de la empresa ahora que los trabajadores remotos utilizan dispositivos móviles más que nunca para acceder a los datos corporativos. El 37% de los encuestados citaron la falta de tecnología y de formación de los empleados como las principales causas de los ataques de phishing exitosos. Sin embargo, el 34% culpó de los ataques exitosos a la falta de capacitación de los empleados. Mientras que el 96% de los profesionales de TI informaron que su organización ofrece capacitación en ciberseguridad para enseñar a los empleados sobre ataques comunes como phishing y ransomware, solo el 30% de los encuestados dijo que el 80-90% de los empleados habían completado la capacitación.

La encuesta de Ivanti también encontró que los efectos de los ataques de phishing se han visto exacerbados por la escasez de talento de TI. Más de la mitad (52%) de los encuestados afirmaron que su organización ha sufrido escasez de personal en el último año y, de esos encuestados, el 64% confirmó que la falta de recursos es la causa de tiempos de remediación de incidentes más largos. Con menos personal, la capacidad de mitigar rápidamente los problemas de seguridad se ha reducido enormemente. Cualquier tiempo de inactividad causado por un incidente de seguridad cuesta dinero a una organización y daña la productividad. Además, el 46% citó el aumento de los ataques de phishing como resultado directo de la escasez de personal.

"Reducir el riesgo de ataques de phishing es una carrera contra el tiempo, en más de una dimensión. Los profesionales de TI empresariales deben mantenerse por delante no solo de los atacantes que constantemente están creando nuevos ataques, sino también de sus propios usuarios, que son sorprendentemente rápidos a la hora de hacer clic en enlaces maliciosos", señala Derek E. Brink, vicepresidente e investigador de Aberdeen Strategy &Research. "Si bien muchas organizaciones han hecho inversiones en iniciativas de capacitación en seguridad, también deberían priorizar y aplicar tecnologías avanzadas de automatización, inteligencia artificial y aprendizaje automático para identificar, verificar y remediar de manera más rápida y consistente las amenazas de phishing".

"Cualquier persona, independientemente de su experiencia o conocimiento de la ciberseguridad, es susceptible a un ataque de phishing. Después de todo, la encuesta encontró que casi la mitad de los profesionales de TI han sido engañados", dijo Chris Goettl, director senior de gestión de productos de Ivanti. "Para combatir eficazmente los ataques de phishing, las organizaciones deben implementar una estrategia de seguridad de confianza cero que incorpore la administración unificada de endpoints con capacidades de detección de amenazas y antiphishing en el dispositivo. Las organizaciones también deben considerar deshacerse de las contraseñas aprovechando la autenticación de dispositivos móviles con acceso basado en datos biométricos para eliminar el punto principal de compromiso en los ataques de phishing".

TAGS Phishing