Los empleados casi triplicaron los clics en enlaces de phishing en 2024

  • Endpoint
phishing-general

Más de ocho de cada mil usuarios hicieron clic en un enlace de phishing cada mes, lo cual supone un incremento del 190% con respecto a 2023. En 2024, el 88% de las organizaciones descargaron contenido malicioso a través de aplicaciones populares en la nube al menos una vez al mes.

Netskope ha publicado un nuevo estudio que revela un continuo aumento de los problemas de seguridad relacionados con el aumento del éxito de las campañas de phishing, el uso persistente de apps personales en la nube y la adopción generalizada de herramientas de IA generativa (genAI) en el lugar de trabajo, lo que subraya la necesidad de adoptar una seguridad de datos moderna para gestionar proactivamente ese riesgo.

El porcentaje de éxito del phishing se triplicó

A pesar de los repetidos intentos de las organizaciones por concienciar e informar sobre la seguridad, haciendo hincapié en cómo los empleados pueden evitar ser víctimas de phishing, en 2024 los usuarios empresariales hicieron clic en falsos enlaces a un ritmo casi tres veces mayor que el año anterior. Más de ocho de cada mil usuarios hicieron clic en un enlace de phishing cada mes, lo cual supone un incremento del 190% con respecto al año anterior, cuando menos de tres de cada mil trabajadores fueron víctimas de intentos de phishing.

El principal propósito de las campañas de phishing en las que los usuarios hicieron clic en 2024 fueron las apps en la nube, que representaron un 27% de todos los clics de phishing. Entre las citadas aplicaciones, Microsoft fue, con diferencia, la más atacada, con un 42%, dirigiéndose los atacantes a credenciales de Microsoft Live y Microsoft 365.

El alojamiento de las cargas maliciosas por parte de los agresores es un componente de ingeniería social. Los atacantes quieren introducir contenido malicioso en plataformas en las que las víctimas depositen cierta confianza tácita, entre las que se encuentran aplicaciones populares en la nube como GitHub, Microsoft OneDrive y Google Drive. En 2024, el 88% de las organizaciones descargaron contenido malicioso a través de aplicaciones populares en la nube al menos una vez al mes.

Las apps personales ponen en riesgo los datos

La ubicuidad de las apps personales en la nube empresarial ha creado un entorno en el que los empleados, a veces de forma consciente y otras no, las utilizan para procesar o almacenar información confidencial, lo que lleva a la pérdida de control de los datos por parte de la organización y a posibles violaciones de la normativa de protección de datos. Entre las principales apps personales a las que los usuarios envían datos se encuentran las de almacenamiento en la nube, correo web, genAI, redes sociales y calendario personal.

En 2024, el 88% de los empleados utilizaban aplicaciones personales en la nube mensualmente y un 26% de los usuarios cargaba, publicaba o enviaba datos a dichas apps. La fuga de datos confidenciales a través de aplicaciones personales es una de las principales preocupaciones de la mayoría de las organizaciones y el tipo más común de infracción de la política de datos es el de los datos regulados (60%), que incluyen datos personales, financieros o sanitarios cargados en aplicaciones personales. Los otros tipos de datos implicados en violaciones son propiedad intelectual (16%), código fuente (13%), contraseñas y claves (11%) y datos cifrados (1%).

Gestión del riesgo de los datos de la IA generativa

A medida que las aplicaciones de genAI se consolidaban como un componente esencial de la empresa (el 94% de las organizaciones ya las utilizan), en 2024 quedó claro que las empresas todavía estaban en las primeras etapas de implementación de controles para habilitar de manera segura la IA generativa y ayudar a mitigar los riesgos de datos planteados por estas aplicaciones.

 El 45 % de las organizaciones utilizan DLP para controlar el flujo de datos en aplicaciones genAI. La adopción de DLP para genAI en el sector varía mucho, siendo el de las telecomunicaciones el más alto, con un 64%. Además, el 34% de las organizaciones utilizan el coaching interactivo del usuario en tiempo real para capacitar a los individuos para que tomen decisiones apropiadas e informadas. El 73% de las veces, cuando se les advierte de una posible violación de la política de la empresa, los usuarios optan por no seguir adelante tras recibir la información de coaching correspondiente.

El 73% de las organizaciones bloquea al menos una aplicación genAI, con una tasa constante de 2,4 aplicaciones genAI bloqueadas de media al año. El número de aplicaciones bloqueadas por el 25% organizaciones que bloquean aplicaciones genAI se ha más que duplicado, pasando de 6,3 a 14,6 en el último año.