En 2021, los ciberdelincuentes tuvieron más éxito que nunca. Esto se ilustra en el estudio de State of the Phish 2022, realizado por Proofpoint, que encontró que el 86 % de las empresas encuestadas afirmó haber experimentado ataques de phishing durante la implementación anterior y el 80% confirmó que los incidentes tuvieron consecuencias.
Estas cifras asumen un costo promedio de más de $1,500 por empleado, según el Insituto Ponemon. Fernando Anaya, country manager de Proofpoint para España y Portugal, asegura a CSO que en los últimos años, los «malos» “han apuntado más a las personas que a las infraestructuras, con esfuerzo de ingeniería social y aprovechando cualquier evento con potencial para captar la atención de los usuarios”.
▶ ¿Qué es shoulder surfing? La última técnica de phishing que necesita conocer
De hecho, han usado tendencias globales y marcas usadas ilegalmente, como la pandemia de COVID-19, para aumentar sus posibilidades, según el funcionario. Para evitar este escenario, la compañía cree que una clave es reorientar las estrategias de Prevención de Pérdida de Datos (DLP, Data Loss Protection, en inglés), que son estrategias que «se mantienen basadas en crear pequeños ciclos comerciales para retener información sensible dentro de la empresa». organización y actores maliciosos fuera de ella.
Más allá de la tecnología, esto está estrechamente relacionado con el establecimiento de una cultura corporativa de mejores prácticas basada en la concienciación y la formación.
“Consideramos que estos aspectos forman un componente crítico en la estrategia de ciberseguridad de cualquier organización”, menciona Anaya, que basada en datos y encuestas, dice que el 35 % de los profesionales de ciberseguridad cree que la ciberseguridad no es una prioridad principal para su negocio. «Está cerca de enfadarse».
Aunque hay otros números más positivos. Por ejemplo, existe una percepción general de que los empleados han aumentado su participación en esta área. “Las organizaciones deberían medir las percepciones de sus empleados sobre el compromiso con la ciberseguridad, su papel en la protección y su nivel de confianza a la hora de identificar, informar o reconocer los incidentes. Al evaluar estos factores, pueden salir a la luz obstáculos para adoptar una buena cultura”.
- SOS financiero: Los préstamos rápidos en línea irán al rescate
- Mujeres Hikvision busca crear una industria más incluyente que beneficie a las mujeres y a las empresas del sector
- Importancia de la Seguridad perimetral en empresas de la industria de energía
- Thales Alenia Space proporcionará equipos de comunicación a la misión NEO Surveyor de la NASA
- Seguridad electrónica y conciencia ciudadana, dos factores clave para mejorar la experiencia y seguridad en los Sistemas de Transporte Público
Ataques de phishing: defensa por capas
Como parte de una estrategia más técnica, Anaya cree que lo mejor que se puede hacer para combatir los correos electrónicos de phishing es implementar una protección de múltiples capas que coloque a las personas en el centro de la estrategia de seguridad. “Es fundamental comprender qué usuarios son el objetivo principal y cuáles de ellos son los más propensos a caer en la ingeniería social”.
La empresa también recomienda la defensa por capas en el gateway del correo electrónico, en la nube y en los terminales, e implementa protocolos de autenticación de correo electrónico como DMARC y SPF para evitar la suplantación de identidad corporativa.
¿Por qué es importante hablar de los ataques de phishing?
