Phishing: amenaza cibernética potencial para la seguridad empresarial
El phishing es un delito que consiste en engañar a las personas para que compartan información confidencial. En la actualidad, es la puerta de entrada favorita de los ciberdelincuentes para poder acceder a las redes y datos de las empresas. De acuerdo con datos de Identity Theft Resource Center, en el segundo trimestre de 2022, de 184 filtraciones de datos reportadas en EEUU, 107 partieron por una estafa de phishing, 55 por ransomware y 22 por malware, es decir, el phishing causó el 55% de las filtraciones.
Esta información coincide con los datos de la empresa de ciberseguridad Palo Alto Networks que, en su Incident Response Report 2002, revisó los tres principales vectores de acceso para los ciberdelincuentes, descubriendo que el phishing correspondía al 37% de los casos, seguido por vulnerabilidades del software (31%) y por los ataques de fuerza bruta (9%).
Esta forma de intrusión se ha popularizado gracias a su nivel de éxito. Basta un correo electrónico en el cual el delincuente simule ser un ejecutivo o un proveedor de la empresa, explotando relaciones de confianza ya existentes, para que más de un miembro del equipo termine entregando sus contraseñas, instalando un malware o realizando alguna acción que ponga su seguridad en jaque. De ahí en adelante, el delincuente tiene el camino liberado para acceder a aplicaciones, redes privadas y datos confidenciales de la empresa.
Acid Labs quiso comprobar la eficacia del phishing a través de un estudio a 425 colaboradores de distintas empresas analizadas, el cual arrojó los siguientes resultados:
- El 45% de ellos cayó víctima de un experimento de spear phishing.
- El 96% de los miembros abrió el correo falso.
- El 55% pinchó el link malicioso que contenía ese correo
- El 45% terminó interactuando con la comunicación.
Pero eso no es todo, “el estudio demostró que, una vez detectado el ataque de phishing, las organizaciones no tienen un procedimiento claro y definido para frenar la fuga de información”, comenta Hans Findel, Chief Innovation Officer de Acid Labs.
Simulando un phishing para entender su alcance
De acuerdo con Cymulate, dos de las mejores medidas que una empresa puede adoptar para reducir las probabilidades de ataques exitosos son: la autenticación multifactor (esquema de autenticación que requiera dos o más credenciales de identidad) y las pruebas de seguridad realizadas por empresas externas con periodicidad determinada.
Una de estas pruebas es denominada Ethical Phishing, y consiste en realizar un ataque intencional para identificar a los usuarios más vulnerables de la empresa, con el objetivo de capacitarlos y evitar o confrontar futuros riesgos cibernéticos.
Este último punto tiene una relevancia clave. Un informe de Knowbe4 comprobó que el número de colaboradores expuestos a los ataques de phishing disminuyó una vez realizadas estas capacitaciones. En la industria de seguros, por ejemplo, los resultados de las empresas estudiadas mostraron que los trabajadores con riesgo de amenazas fraudulentas pasaron de 50% a menos del 20%.
Estos contenidos te ayudarán a fortalecer tu estrategia de ciberseguridad:
¿ZTNA reemplaza tu VPN? Conoce 3 enfoques de acceso remoto
5 razones para fortalecer la ciberseguridad con una plataforma SOC
Cloudflare: Conectividad de trabajadores remotos a largo plazo
“El enfoque tecnológico tradicional es tratar la mayoría de los problemas de seguridad con herramientas técnicas: firewalls, VPN y antivirus, pero uno de los factores menos observados es el humano y la exposición que hoy tiene ante el mundo. La llamada ingeniería social aprovecha esta exposición y las relaciones de confianza de los individuos para explotarlas maliciosamente. La ubicuidad de las relaciones sociales, personales o de negocios a través de internet, no hace más que potenciarla”, dice Fabián Arias, CTO de Acid Labs.
“El factor humano es uno de los que más daño provoca a las organizaciones año tras año y que puede ser combatido con educación, conciencia y la introducción de la cultura de la ciberseguridad como un pilar importante de las organizaciones modernas, además de abordarlas con herramientas tecnológicas”, añade Arias.
Consejos para prevenir el phishing en tu negocio
Según la Organización de Consumidores y Usuarios (OCU), el sentido común es la mejor herramienta para protegerse del phishing, sin embargo, existen otras acciones que pueden reducir considerablemente el robo de datos o el acceso indebido a la privacidad de las organizaciones:
- Utiliza un navegador web que esté en la capacidad de bloquear las amenazas presentes en la red. Un estudio reciente comprobó que Mozilla Firefox o Microsoft Edge lograron cancelar hasta el 80% de los ataques phishing.
- Realiza desarrollos tecnológicos que protejan los activos empresariales y planifica una estrategia de ciberseguridad que mantenga alerta ante posibles vulneraciones.
- Acude a un antivirus de gran alcance y que sea capaz de bloquear la mayor cantidad de páginas de phishing.
- Cambia todas las contraseñas con una frecuencia fija y activa el proceso de verificación de identidad.