En 2021, los ciberdelincuentes tuvieron más éxito que nunca. Esto se ilustra en el estudio de State of the Phish 2022, realizado por Proofpoint, que encontró que el 86 % de las empresas encuestadas afirmó haber experimentado ataques de phishing durante la implementación anterior y el 80% confirmó que los incidentes tuvieron consecuencias.
Estas cifras asumen un costo promedio de más de $1,500 por empleado, según el Insituto Ponemon. Fernando Anaya, country manager de Proofpoint para España y Portugal, asegura a CSO que en los últimos años, los «malos» “han apuntado más a las personas que a las infraestructuras, con esfuerzo de ingeniería social y aprovechando cualquier evento con potencial para captar la atención de los usuarios”.
▶ ¿Qué es shoulder surfing? La última técnica de phishing que necesita conocer
De hecho, han usado tendencias globales y marcas usadas ilegalmente, como la pandemia de COVID-19, para aumentar sus posibilidades, según el funcionario. Para evitar este escenario, la compañía cree que una clave es reorientar las estrategias de Prevención de Pérdida de Datos (DLP, Data Loss Protection, en inglés), que son estrategias que «se mantienen basadas en crear pequeños ciclos comerciales para retener información sensible dentro de la empresa». organización y actores maliciosos fuera de ella.
Más allá de la tecnología, esto está estrechamente relacionado con el establecimiento de una cultura corporativa de mejores prácticas basada en la concienciación y la formación.
“Consideramos que estos aspectos forman un componente crítico en la estrategia de ciberseguridad de cualquier organización”, menciona Anaya, que basada en datos y encuestas, dice que el 35 % de los profesionales de ciberseguridad cree que la ciberseguridad no es una prioridad principal para su negocio. «Está cerca de enfadarse».
Aunque hay otros números más positivos. Por ejemplo, existe una percepción general de que los empleados han aumentado su participación en esta área. “Las organizaciones deberían medir las percepciones de sus empleados sobre el compromiso con la ciberseguridad, su papel en la protección y su nivel de confianza a la hora de identificar, informar o reconocer los incidentes. Al evaluar estos factores, pueden salir a la luz obstáculos para adoptar una buena cultura”.
- Implementación de PTT PoC: Mejora las Comunicaciones en Tiempo Real con Tecnología Innovadora
- Guía Completa sobre Sistemas de Supresión de Incendios con Agentes Gaseosos: Innovación y Seguridad
- Blindaje de Autos con Protección Balística: Todo lo que Necesitas Saber para Aumentar tu Seguridad
- Plataformas de Comando y Control para Centros de Operaciones Tácticas: Optimice su Estrategia con Tecnología Avanzada
- Protocolos Esenciales para el Manejo Seguro de Maquinaria Peligrosa: Guía Completa
Ataques de phishing: defensa por capas
Como parte de una estrategia más técnica, Anaya cree que lo mejor que se puede hacer para combatir los correos electrónicos de phishing es implementar una protección de múltiples capas que coloque a las personas en el centro de la estrategia de seguridad. “Es fundamental comprender qué usuarios son el objetivo principal y cuáles de ellos son los más propensos a caer en la ingeniería social”.
La empresa también recomienda la defensa por capas en el gateway del correo electrónico, en la nube y en los terminales, e implementa protocolos de autenticación de correo electrónico como DMARC y SPF para evitar la suplantación de identidad corporativa.
¿Por qué es importante hablar de los ataques de phishing?