• Home /

  • Empresas /

  • El phishing supone a las grandes empresas unas pérdidas de 15 millones de dólares de media al año

El phishing supone a las grandes empresas unas pérdidas de 15 millones de dólares de media al año

Alberto Payo

Periodista

Guardar

Correos electrónicos falsos
Correos electrónicos falsos

El coste del phishing para las empresas se ha multiplicado por cuatro en los últimos seis años. En EE.UU. las grandes organizaciones tienen unas pérdidas de 14,8 millones de dólares al año o unos 1.500 dólares por trabajador debido a estas amenazas. En 2015 este coste se cifraba en 3,8 millones de dólares.

Estas son las principales conclusiones de un estudio llevado a cabo por la empresa de ciberseguridad Proofpoint y la organización de investigación sobre seguridad TI Instituto Ponemon. Para su trabajo, contaron con la participación de 600 profesionales de seguridad y TI.

En el estudio se pone de manifiesto que los ataques más costosos para las empresas son los de Business Email Compromise (BEC) y los de ransomware. Los de BEC suponen a las organizaciones de gran tamaño casi seis millones de dólares anuales. De esta cantidad hay que tener en cuenta los pagos ilícitos a los atacantes, que se llevarían 1,17 millones.

Por su parte, el ransomware conlleva 5,66 millones de dólares al año a las grandes organizaciones, de los cuales unos 790.000 dólares van dirigidos al pago de rescates.

Cuando una organización paga millones para resolver un problema de ransomware, la gente asume que el coste de arreglarlo implica solo el rescate. Pero el rescate en sí mismo representa menos del 20% del coste que supone un ataque de ransomware", explica en un comunicado de prensa Larry Ponemon, presidente y fundador del Instituto Ponemon.

Dado que los ataques de phishing aumentan la probabilidad de que se produzca una filtración de datos y se interrumpa el negocio, la mayor parte de los costes para las empresas proviene más de la pérdida de productividad y de la reparación del problema que del rescate que se ha pagado a los atacantes”, añade el responsable.

Un robo de credenciales o compromiso de datos puede ser un preludio para un ataque BEC o de ransomware, simplemente con un ataque de phising a un empleado.

Otros costes, además del económico

El estudio también arroja otras conclusiones interesantes, como que los ataques de phishing no solo conllevan pérdidas económicas, sino también pérdidas de productividad. Una mediana empresa de unos 9.567 empleados echaría por tierra cada año 63.343 horas de trabajo.

Es decir, cada empleado perdería un promedio de 7 horas al año por dichas estafas. Este intervalo allá por 2015 era de solo cuatro horas, así que prácticamente se habría duplicado.

Los costes por compromiso de credenciales han aumentado drásticamente desde 2015. Como resultado, las organizaciones gastan más dinero a la hora de responder ante estos ataques. El coste medio de contener compromisos de credenciales basados en phishing ha pasado de 381.920 dólares en 2015 a 692.531 dólares en 2021. Las organizaciones han experimentado una media de 5,3 incidentes de este tipo en un periodo de 12 meses.

Además, los ataques BEC pueden suponen pérdidas por interrupción de negocio de hasta 157 millones de dólares si las organizaciones no se han anticipado.

Sin embago, hay cierta esperanza. La formación en concienciación sobre seguridad reduciría los gastos de phishing de media en más de un 50%. Toda la plantilla debe estar preparada, porque los ataques ya no solo van dirigidos contra los directivos de las empresas.

Los ciberdelincuentes se dirigen ahora a los empleados en lugar de las redes de una organización, de ahí que el compromiso de las credenciales se haya disparado en los últimos años dejando la puerta abierta a ataques mucho más devastadores como BEC y ransomware”, comenta Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad de Proofpoint.