Tres de cada cuatro empresas, víctimas de un ataque de phishing en el último año

  • Seguridad

A juzgar por las cifras, las empresas se están viendo desbordadas por los ataques de phishing. En torno a tres de cada cuatro organizaciones han sido víctimas de un ataque de phishing en el último año, el 80% ha percibido un aumento en el volumen de intentos y el 85% asegura que estos se están volviendo más sofisticados.

Recomendados: 

Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar

7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer

Anatomía del ataque a una cuenta privilegiada Leer 

Ivanti ha publicado los resultados de una encuesta de Aberdeen que encontró que el cambio global hacia el trabajo remoto ha exacerbado la sofisticación y el impacto de los ataques de phishing. Casi tres cuartas partes (74%) de los encuestados dijeron que sus organizaciones han sido víctimas de un ataque de phishing en el último año, con el 40% confirmando que han experimentado uno en el último mes.

El 80% ha sido testigo de un aumento en el volumen de intentos de phishing y el 85% dijo que esos intentos se están volviendo más sofisticados. De hecho, el 73% de los encuestados dijo que su personal de TI había sido blanco de intentos de phishing, y el 47% de esos intentos tuvieron éxito. Las estafas smishing y vishing son las últimas variantes para ganar tracción y dirigirse a los usuarios móviles. Según una investigación reciente de Aberdeen, los atacantes tienen una tasa de éxito más alta en los puntos finales móviles que en los servidores, un patrón que tiende a más.

Los hackers están explotando las brechas de seguridad de la empresa ahora que los trabajadores remotos utilizan dispositivos móviles más que nunca para acceder a los datos corporativos. El 37% de los encuestados citaron la falta de tecnología y de formación de los empleados como las principales causas de los ataques de phishing exitosos. Sin embargo, el 34% culpó de los ataques exitosos a la falta de capacitación de los empleados. Mientras que el 96% de los profesionales de TI informaron que su organización ofrece capacitación en ciberseguridad para enseñar a los empleados sobre ataques comunes como phishing y ransomware, solo el 30% de los encuestados dijo que el 80-90% de los empleados habían completado la capacitación.

La encuesta de Ivanti también encontró que los efectos de los ataques de phishing se han visto exacerbados por la escasez de talento de TI. Más de la mitad (52%) de los encuestados afirmaron que su organización ha sufrido escasez de personal en el último año y, de esos encuestados, el 64% confirmó que la falta de recursos es la causa de tiempos de remediación de incidentes más largos. Con menos personal, la capacidad de mitigar rápidamente los problemas de seguridad se ha reducido enormemente. Cualquier tiempo de inactividad causado por un incidente de seguridad cuesta dinero a una organización y daña la productividad. Además, el 46% citó el aumento de los ataques de phishing como resultado directo de la escasez de personal.

Reducir el riesgo de ataques de phishing es una carrera contra el tiempo, en más de una dimensión, según Aberdeen Strategy & Research. "Los profesionales de TI empresariales deben mantenerse por delante no solo de los atacantes que constantemente están creando nuevos ataques, sino también de sus propios usuarios, que son sorprendentemente rápidos a la hora de hacer clic en enlaces maliciosos. Si bien muchas organizaciones han hecho inversiones en iniciativas de capacitación en seguridad, también deberían priorizar y aplicar tecnologías avanzadas de automatización, inteligencia artificial y aprendizaje automático para identificar, verificar y remediar de manera más rápida y consistente las amenazas de phishing", señala su investigador y vicepresidente, Derek E. Brink.

Para combatir eficazmente los ataques de phishing, Ivanti insta a las organizaciones a que implementan una estrategia de seguridad de confianza cero que incorpore la administración unificada de endpoints con capacidades de detección de amenazas y antiphishing en el dispositivo. También deben considerar deshacerse de las contraseñas aprovechando la autenticación de dispositivos móviles con acceso basado en datos biométricos para eliminar el punto principal de compromiso en los ataques de phishing.