Netskope, compañía especializada en SASE, ha publicado un estudio que muestra que, como resultado de la creciente prevalencia y sofisticación de los ataques de phishing, los empleados hicieron clic en señuelos de phishing casi tres veces más en 2024 que el año anterior.
Los resultados, basados en datos recopilados por Netskope de empresas de todo el mundo y publicados en el informe anual Cloud & Threat Report, revelan un continuo aumento de los problemas de seguridad relacionados con el uso persistente de aplicaciones personales en la nube y la adopción generalizada de herramientas de IA generativa (genAI) en el lugar de trabajo.
Índice de temas
El porcentaje de éxito del phishing se triplica
En 2024 los usuarios empresariales hicieron clic en falsos enlaces a un ritmo casi tres veces mayor que el año anterior. Más de ocho de cada mil usuarios hicieron clic en un enlace de phishing cada mes, lo cual supone un incremento del 190% con respecto al año pasado, cuando menos de tres de cada mil trabajadores fueron víctimas de intentos de phishing.
El alojamiento de las cargas maliciosas por parte de los agresores también es un componente de ingeniería social. Los atacantes quieren introducir contenido malicioso en plataformas en las que las víctimas depositen cierta confianza tácita, entre las que se encuentran aplicaciones populares en la nube como GitHub, Microsoft OneDrive y Google Drive. En 2024, el 88% de las organizaciones descargaron contenido malicioso a través de aplicaciones populares en la nube al menos una vez al mes.
En 2024, el 88% de los empleados utilizaban aplicaciones personales en la nube empresarial mensualmente y más de una cuarta parte (26%) de los usuarios cargaba, publicaba o enviaba datos a dichas apps
El principal propósito de las campañas de phishing en las que los usuarios hicieron clic en 2024 fueron las apps en la nube, que representaron más de una cuarta parte de todos los clics de phishing, con un 27%. Entre las citadas aplicaciones, Microsoft fue, con diferencia, la más atacada, con un 42%, dirigiéndose los atacantes a credenciales de Microsoft Live y Microsoft 365.
Apps personales, una brecha de seguridad para el phishing
La ubicuidad de las apps personales en la nube empresarial ha creado un entorno en el que los empleados, a veces de forma consciente y otras no, las utilizan para procesar o almacenar información confidencial, lo que lleva a la pérdida de control de los datos por parte de la organización y a posibles violaciones de la normativa de protección de datos. Entre las principales apps personales a las que los usuarios envían datos se encuentran las de almacenamiento en la nube, correo web, genAI, redes sociales y calendario personal.
En 2024, el 88% de los empleados utilizaban aplicaciones personales en la nube empresarial mensualmente y más de una cuarta parte (26%) de los usuarios cargaba, publicaba o enviaba datos a dichas apps. La fuga de datos confidenciales a través de apps personales es una de las principales preocupaciones de la mayoría de las organizaciones y el tipo más común de infracción de la política de datos es el de los datos regulados (60%), que incluyen datos personales, financieros o sanitarios cargados en aplicaciones personales. Los otros tipos de datos implicados en violaciones son propiedad intelectual (16%), código fuente (13%), contraseñas y claves (11%) y datos cifrados (1%).
Continúa la tendencia al alza de la IA generativa
En 2023, el 81% de las empresas utilizaban aplicaciones de IA generativa; esta cifra subió al 94% en 2024. ChatGPT sigue siendo la aplicación más popular, con un 84% de cuota de mercado.
El uso de aplicaciones genAI por parte de los empleados se ha triplicado, pasando del 2,6% al 7,8%. El comercio minorista y las empresas tecnológicas lideran todos los sectores con una media de más del 13% de empleados que utilizan aplicaciones IA generativa mensualmente.
Las organizaciones utilizan ahora una media de 9,6 aplicaciones de IA generativa, frente a las 7,6 de hace un año. El 25% de las mejores organizaciones utilizan ahora al menos 24 aplicaciones IA generativa, mientras que el 25% de las menos utilizan como máximo cuatro aplicaciones IA generativa.
Gestión del riesgo de los datos de la IA generativa
A medida que las aplicaciones de genAI se consolidaban como un componente esencial de la empresa (el 94% de las organizaciones ya las utilizan), en 2024 quedó claro que las empresas todavía estaban en las primeras etapas de implementación de controles para habilitar de manera segura la IA generativa y ayudar a mitigar los riesgos de datos planteados por estas aplicaciones.
El 94% de las organizaciones ya utilizan aplicaciones de genAI
El 45% de las organizaciones utilizan DLP para controlar el flujo de datos en aplicaciones genAI. La adopción de DLP para genAI en el sector varía mucho, siendo el de las telecomunicaciones el más alto, con un 64%.
El 34% de las organizaciones utilizan el coaching interactivo del usuario en tiempo real para capacitar a los individuos para que tomen decisiones apropiadas e informadas. Así, el 73% de las veces, cuando se les advierte de una posible violación de la política de la empresa, los usuarios optan por no seguir adelante tras recibir la información de coaching correspondiente.
El 73% de las organizaciones bloquea al menos una aplicación genAI, con una tasa constante de 2,4 aplicaciones genAI bloqueadas de media al año. El número de aplicaciones bloqueadas por el 25% organizaciones que bloquean aplicaciones genAI se ha más que duplicado, pasando de 6,3 a 14,6 en el último año.
