Los empleados no saben distinguir un phishing

Los empleados no son tan buenos detectando el phishing como se creen. Esa es la primera conclusión de un informe lanzado recientemente por Webroot. Titulado Hook, Line and Sinker: Why Phishing Attacks Work, el estudio busca determinar qué saben los usuarios sobre los ataques de phishing y qué factores psicológicos intervienen en la decisión de los individuos para pinchar sobre un correo electrónico de phishing, así como otros hábitos de seguridad.

Este contenido fue publicado en el número de Octubre de la revista IT Digital Security, disponible desde este enlace.

También te puede interesar... Formación y concienciación para mejorar la seguridad Especial Ciberseguridad Industrial Especial Cloud

Resulta curioso que a pesar de que el 79% de los usuarios dice ser capaz de distinguir un mensaje de phishing de otro legítimo, casi la mitad admite haber pinchado sobre un enlace de un remitente desconocido mientras estaba en el trabajo. Y eso teniendo en cuenta que casi la mitad, un 48%, asegura que su información personal o financiera se ha visto comprometida por un mensaje de phishing. Y seguimos engordando la bola, porque de este porcentaje, más un tercio (35%) no dio el paso básico, y lógico, de cambiar sus contraseñas. Dice Webroot en su informe que esta falsa confianza “no solo es potencialmente dañina para los datos personales y financieros de un empleado, sino que también crea riesgos para las empresas y sus datos”.

De aquellos que hicieron clic en un enlace de un remitente desconocido en el trabajo, la mayoría (74%) lo hizo por correo electrónico; un 34% lo hizo a través de redes sociales; un 34% hizo clic en enlaces a través de las redes sociales; un 29% pinchó sobre enlaces enviados por mensaje de texto o SMS y del 67% de los encuestados que saben que han recibido un mensaje de phishing en el trabajo, el 39% no lo denunció.

El estudio también demuestra que el phishing es una gran oportunidad para los ciberdelincuentes: el 85% de los encuestados afirman hacer clic en al menos un enlace en un email durante un día laboral determinado, y un 70% pincha en enlaces en correos electrónicos fuera del trabajo.

Alrededor del 81% de los participantes son conscientes de que se pueden producir intentos de phishing a través del correo electrónico, pero no reconocen las muchas otras formas en que pueden llegar estos ataques: el 60% cree que los intentos de phishing pueden llegar a través de las redes sociales; el 59% cree que el phishing puede venir a través de mensajes de texto; un 43% cree que los intentos de phishing se realizan a través de llamadas telefónicas; y solo el 22% cree que los intentos de phishing pueden venir a través del chat de video.

Casi dos tercios de los encuestados tienen más probabilidades de abrir primero un correo electrónico de su jefe, en comparación con: el 55% que primero abriría un mensaje de un familiar o amigo; 31% que primero abriría una solicitud de su banco para confirmar una transacción; y el 28% de las personas abrirían primero un mensaje con una oferta de descuento de una tienda, según el informe.

BEC, la forma de phishing que triunfa

BEC, o Business Email Compromise, también conocido como suplantación de CEO, se define como “una forma de ataque de phishing donde un ciberdelincuente se hace pasar por un ejecutivo e intenta hacer que un empleado, cliente o vendedor transfiera fondos o información confidencial al phisher”.

Este tipo de ataques, con un fuerte componente de ingeniería social preocupa cada vez más a los responsables de seguridad, o debería hacerlo. A primeros de septiembre se conocía que una subsidiaria de Toyota había perdido 37 millones de dólares en un ataque BEC.

Explicaba la compañía que se había producido un pago fraudulento a un tercero; “junto con la filial europea, nos dimos cuenta de que las instrucciones eran fraudulentas poco después de la filtración”, dice la compañía después de reportar el incidente a las autoridades y establecer un equipo de profesionales para investigar la brecha de seguridad.

De manera más genérica, según datos del FBI, las empresas estadounidenses perdieron 1.300 millones de dólares en 2018 por estafas o ataques BEC, el doble con respecto a los datos de 2017.

Se espera que las pérdidas por estafas de BEC aumenten aún más en los próximos años. Esto se debe a que requieren pocas habilidades técnicas para llevar a cabo, y también son notoriamente difíciles de detectar, ya que la mayoría de los correos electrónicos tienden a provenir de cuentas legítimas, pero comprometidas, en las que las víctimas tienden a confiar.