Proofpoint ha publicado su sexto informe global anual State of the Phish, que realiza un análisis al conocimiento, vulnerabilidad y resistencia de los usuarios al phishing. Entre las principales conclusiones, casi el 90% de las organizaciones globales encuestadas fueron objeto de ataques de ‘business email compromise’ (BEC) y ataques de suplantación de identidad, lo que refleja la insistencia de los ciberdelincuentes en comprometer a los usuarios finales individuales. El 78% también informó que las actividades de formación sobre concienciación de la seguridad dieron como resultado reducciones cuantificables en la susceptibilidad al phishing.
El informe examina los datos de casi 50 millones de ataques simulados de phishing enviados por los clientes de Proofpoint durante el período de un año, junto con las respuestas a encuestas de terceros de más de 600 profesionales de la seguridad en los Estados Unidos, Australia, Francia, Alemania, Japón, España y el Reino Unido. El informe también analiza los conocimientos fundamentales sobre ciberseguridad de más de 3.500 usuarios en activo profesionalmente y que fueron encuestados en esos mismos siete países.
Los usuarios reportando más de nueve millones de correos electrónicos sospechosos en 2019
En el informe de este año también se examinan las notificaciones de correo malicioso de los usuarios, una métrica crítica para medir el comportamiento positivo de los empleados. El volumen de mensajes reportados como maliciosos aumenta significativamente año tras año, con los usuarios reportando más de nueve millones de correos electrónicos sospechosos en 2019, un incremento del 67% sobre 2018. El aumento es una señal positiva para los equipos de seguridad de la información, ya que el servicio de inteligencia de amenazas de Proofpoint ha mostrado una tendencia hacia ataques más dirigidos y personalizados en comparación con las campañas masivas. Los usuarios deben estar cada vez más atentos para identificar sofisticados señuelos de phishing, mientras los mecanismos de notificación permiten a los empleados alertar a los equipos de protección contra infecciones de mensajes potencialmente peligrosos que evaden las defensas del perímetro de seguridad.
Principales hallazgos
- Más de la mitad (55%) de las organizaciones encuestadas se enfrentaron al menos a un ataque de phishing exitoso en 2019, y los profesionales de ciberseguridad informaron mediante diversos métodos: el 88% de las organizaciones de todo el mundo informó de ataques de suplantación de identidad, el 86% informó de ataques de BEC, el 86% informó de ataques de redes sociales, el 84% informó de phishing de SMS/texto (smishing), el 83% informó de phishing de voz (vishing), y el 81% informó de USB maliciosos.
- El 65% de los profesionales de ciberseguridad encuestados dijo que su organización experimentó una infección de ransomware en 2019; el 33% optó por pagar el rescate, mientras que el 32% no lo hizo. De aquellos que negociaron con los atacantes, el nueve por ciento recibió peticiones de rescate posteriores, y el 22% nunca recuperó el acceso a sus datos, incluso después de pagar un rescate.
- Las organizaciones se están beneficiando de los modelos de consecuencias. A nivel mundial, el 63% de las organizaciones toman medidas correctivas con los usuarios que cometen repetidamente errores relacionados con los ataques de phishing.
- Muchos trabajadores y profesionales no siguen las mejores prácticas de ciberseguridad. El 45% admite la reutilización de contraseñas, más del 50% no protege las redes domésticas con contraseña y el 90% dice que utiliza dispositivos proporcionados por el empleador para actividades personales. Además, el 32% de los adultos que trabajan no están familiarizados con los servicios de redes privadas virtuales (VPN).
- Muchos usuarios no reconocen los términos comunes de ciberseguridad. En la encuesta mundial, se pidió a los trabajadores que identificaran las definiciones de los siguientes términos de ciberseguridad: phishing (61% correcto), ransomware (31% correcto), smishing (30% correcto) y vishing (25% correcto).
- Los milenials siguen teniendo un rendimiento inferior al de otros grupos de edad en lo que respecta a la concienciación básica sobre el phishing y el ransomware. Los milenials solo tuvieron el mejor reconocimiento de un solo término: smishing.