El phishing cuesta a las grandes empresas 14,8 millones de dólares al año de media

El coste del phishing casi se ha cuadruplicado en los últimos seis años. Así lo indica un nuevo estudio de Proofpoint y el Instituto Ponemon, que revela que en Estados Unidos las grandes empresas pierden de media unos 14,8 millones de dólares al año, o unos 1.500 dólares por empleado, debido a estos ataques, frente a los 3,8 millones de dólares registrados en 2015. Según este estudio, los ataques Business Email Compromise (BEC) y de ransomware son las amenazas más costosas para las empresas, aunque el impacto en dichas organizaciones va mucho más allá de los fondos transferidos a los atacantes. De acuerdo con el estudio, la formación en concienciación sobre seguridad reduce de media los gastos por phishing en más de un 50%.

“Cuando una organización paga millones para resolver un problema de ransomware, la gente asume que el coste de arreglarlo implica solo el rescate. Pero el rescate en sí mismo representa menos del 20% del coste que supone un ataque de ransomware", señala Larry Ponemon, presidente y fundador del Instituto Ponemon. “Dado que los ataques de phishing aumentan la probabilidad de que se produzca una filtración de datos y se interrumpa el negocio, la mayor parte de los costes para las empresas proviene más de la pérdida de productividad y de la reparación del problema que del rescate que se ha pagado a los atacantes”.

El phishing es un delito que emplea tanto la ingeniería social como subterfugios técnicos para robar datos personales y credenciales de cuentas financieras. El phishing no crece de forma gradual, sino que lo hace exponencialmente, llegando a duplicarse solo en 2020.

La pérdida de productividad es una de las consecuencias del phishing que implica mayor coste. En una mediana empresa de Estados Unidos con unos 9.567 empleados se perderían cada año unas 63.343 horas de trabajo. Cada trabajador perdería de media unas siete horas anuales debido a estas estafas, lo que supone un aumento frente a las cuatro horas de 2015.

Los ataques BEC cuestan casi seis millones de dólares anuales a una organización de gran tamaño. De esa cantidad, los pagos ilícitos a los atacantes serían 1,17 millones de dólares. Por su parte, el ransomware supone a las grandes organizaciones costes por valor de 5,66 millones de dólares al año. Unos 790.000 dólares corresponden únicamente al pago de rescates.

En 2021 solucionar ataques de malware cuesta de media unos 807.506 dólares en 2021, frente a los 338.098 dólares que suponía en 2015. El coste medio de contener compromisos de credenciales basados en phishing ha pasado de 381.920 dólares en 2015 a 692.531 dólares en 2021. Las organizaciones han experimentado una media de 5,3 incidentes de este tipo en un periodo de 12 meses.

Los líderes empresariales deben prestar atención a posibles escenarios de pérdidas máximas. Por ejemplo, los ataques BEC podrían ocasionar pérdidas por interrupción de negocio de hasta 157 millones de dólares si las organizaciones no están preparadas. El malware con exfiltración de datos podría asimismo costarles hasta 137 millones de dólares.

“Los ciberdelincuentes se dirigen ahora a los empleados en lugar de a las redes de una organización, de ahí que el compromiso de las credenciales se haya disparado en los últimos años dejando la puerta abierta a ataques mucho más devastadores como BEC y ransomware”, comenta Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad de Proofpoint. “Hasta que las organizaciones no desplieguen un enfoque de la ciberseguridad centrado en las personas, que incluya formación en materia de concienciación sobre seguridad y protección integrada para detener y solucionar amenazas, los ataques de phishing continuarán”.