Proofpoint, compañía de ciberseguridad y cumplimiento normativo, ha publicado la séptima edición de su informe anual State of the Phish, en el cual analiza las experiencias de las organizaciones en cuanto al phishing y a la vez profundiza en la concienciación, vulnerabilidad y resistencia de los usuarios frente a estas amenazas.
Esta nueva edición se ha elaborado a partir de encuestas a más de 600 profesionales de seguridad de la información de España, Alemania, Francia, Reino Unido, Estados Unidos, Japón y Australia, reflejando además distintos datos sobre la situación de unos 3.500 empleados en cada uno de estos países. El informe también investiga los resultados de más de 60 millones de ataques de phishing simulados enviados durante un año a profesionales por parte de los clientes corporativos de Proofpoint, junto con las características de aproximadamente unos 15 millones de correos electrónicos reportados a través de PhishAlarm por usuarios.
Según ha destacado Proofpoint en un comunicado, una de sus principales conclusiones es que más del 75% de los profesionales de seguridad encuestados afirma que sus empresas registraron ataques de phishing generalizados —tanto exitosos como fallidos— a lo largo de 2020. Asimismo, muestra que las infecciones por ransomware alcanzaron al 66% de los participantes.
"En todo el mundo los ciberdelincuentes están atacando a personas a través de comunicaciones ágiles, relevantes y sofisticadas, manteniendo el correo electrónico como principal vector de ataque", ha advertido Fernando Anaya, Country Manager de Proofpoint.
España ejemplifica la necesidad de formar a los empleados
La compañía también resalta que este estudio global subraya la necesidad de adoptar "un enfoque centrado en las personas en protección de la ciberseguridad, además de concienciar a los usuarios para hacer frente a unas circunstancias cambiantes tal y como han podido experimentar las organizaciones el año pasado debido a la pandemia". Sobre este último punto en concreto, Proofpoint afirma que su estudio evidencia una falta de formación a medida para los usuarios sobre las amenazas. Por ejemplo, en 2020 el 87% de empresas españolas requirió o solicitó a gran parte de su fuerza laboral que se acogiese al teletrabajo, pero solo el 36% capacitó a estos usuarios para trabajar en remoto de forma segura.
"Es fundamental para las organizaciones garantizar que sus usuarios sepan cómo detectar y reportar cualquier intento de ciberataque, especialmente aquellos empleados que trabajan en remoto desde entornos menos seguros. Pese a que algunas empresas imparten ya esta formación sobre seguridad a su plantilla, los datos de esta encuesta nos demuestran que la mayoría de empresas no está haciendo lo suficiente", ha indicado Anaya.
Para el Country Manager de Proofpoint, los datos del teletrabajo en España "son ciertamente reveladores" y ha detallado lo siguiente: "La mayoría de los profesionales de seguridad encuestados en España apoya un modelo de trabajo en remoto para al menos la mitad de la plantilla de su organización y, sin embargo, poco más de un tercio de esos empleados recibió formación específica en ciberseguridad relacionada con el teletrabajo. También nos hemos encontrado con que los trabajadores españoles utilizan sus dispositivos de trabajo para responder emails personales, buscar ofertas y comprar productos, entre otras prácticas, lo cual puede generar ciertos riesgos, de ahí que sea necesario reforzar iniciativas de formación adaptadas a empleados en remoto para concienciarles sobre las actuales amenazas".
Otros datos de este informe específicos de España
En su comunicado, Proofpoint ha ofrecido otros datos específicos de España que ha recabado en su último informe State of the Phish. Con ellos, indica que se puede observar las variaciones en torno a prácticas y comportamientos en ciberseguridad entre distintas regiones.
- El 66% de los profesionales de seguridad de la información encuestados en España contó que su organización sufrió un ataque de ransomware en 2020. No obstante, el 41% de las organizaciones españolas se negó a pagar un rescate tras el incidente. Esto las convierte en las menos predispuestas a negociar con los atacantes por delante de compañías en Australia (38%), Japón (36%), Francia (35%), Alemania y Reino Unido (ambas con un 31%), alejándose todas bastante de las de Estados Unidos (10%).
- El 22% de los empleados en España piensa que sus organizaciones van a bloquear automáticamente los correos maliciosos. Por otro lado, el 64% sabe que hay archivos adjuntos que pueden contener malware, mientras que el 60% es consciente de que debe sospechar ante cualquier mensaje electrónico no solicitado.
- En cuanto al contenido de las formaciones en ciberseguridad, las simulaciones de phishing son menos habituales en las organizaciones españolas (11%) que en la media global (29%). Por el contrario, se enfocan en el aprendizaje de los empleados en las mejores prácticas, principalmente a través de sesiones presenciales o por ordenador (44%).
- El 35% de los encuestados en España afirma que su organización sanciona a aquellos empleados que caen regularmente ante ataques de phishing ya sean simulados o reales. Estas consecuencias para las víctimas "reincidentes" se dan en menor medida que en el resto de países participantes en el estudio, donde la media global se sitúa en el 55%.
- Entre las sanciones que aplican las organizaciones españolas a sus mayores infractores se incluyen sesiones de asesoramiento por parte de los equipos de seguridad (60%), distintas acciones disciplinarias como recibir una advertencia por escrito del departamento de recursos humanos (51%) o la retirada de permisos de acceso a sistemas (43%). Para el 80% de los encuestados, la implementación de este modelo de consecuencias conduce hacia una mejora en la concienciación de los empleados en ciberseguridad.
Las tendencias del phishing
Además de consejos prácticos sobre ciberseguridad, el informe de Proofpoint ofrece un análisis detallado sobre el panorama del phishing con el objetivo de a ayudar a las organizaciones a reducir su exposición a estos ataques. Estas son algunas de sus principales conclusiones a nivel global:
- En 2020, el 57% de las organizaciones experimentaron ataques de phishing exitosos, frente a un 55% en 2019. Asimismo, el compromiso del correo electrónico corporativo (BEC) se mantiene como unas de las mayores preocupaciones.
- De entre los dos tercios de encuestados cuya organización tuvo una infección por ransomware en 2020, más de la mitad decidió pagar el rescate con la esperanza de acceder de nuevo a sus datos rápidamente. El 60% de las empresas que lo pagaron, consiguieron recuperar sus datos y/o sistemas tras el primer pago. En cambio, cerca del 40% recibió nuevas peticiones de rescate, lo que supone un aumento del 320% respecto a 2019. Con todo, hubo un 32% que accedió a pagar esas solicitudes adicionales, representando un incremento del 1.500% frente a lo que sucedió en el ejercicio anterior.
- El 80% de las organizaciones encuestadas indicó que la formación en ciberserguridad consiguió recudir su susceptibilidad de caer víctima del phishing. Aun así, aunque el 98% de los profesionales de seguridad participantes en el estudio afirma que su organización cuenta con programas de concienciación en esta materia, únicamente un 64% ofrece sesiones formativas a usuarios de manera formal como parte de esas iniciativas en ciberseguridad.
- De media, el 11% de los clientes corporativos de Proofpoint no superó las simulaciones de phishing, situándose algo por debajo del 12% obtenido en 2019. Mientras, el factor de resistencia fue de 1,2, lo que indica que los trabajadores de esas organizaciones son más propensos a reportar un correo sospechoso que a interactuar con dicho mensaje.
- La industria manufacturera se enfrentó de media al mayor volumen de ataques reales de phishing durante 2020, según Proofpoint Threat Research. Las organizaciones de dicho sector también fueron de las más activas a la hora de probar el comportamiento de sus usuarios ante amenazas simuladas, reportando en general una incidencia del 11%. Por departamentos, los equipos de compras tuvieron mejores resultados con una incidencia media del 7%. Por el contrario, los profesionales de mantenimiento e instalaciones quedaron últimos con unos porcentajes del 15% y del 17% respectivamente.
Proofpoint concluye su comunicado animando a las organizaciones a desarrollar de manera proactiva estrategias de ciberseguridad centradas en las personas que no solo consideren aquellas experiencias compartidas entre regiones, sectores o departamentos de trabajo, sino también aquellas amenazas de carácter único que puedan impactar a su plantilla, misiones y objetivos.