Los ciberdelitos de phishing aumentan su coste para la gran empresa
- Seguridad
El coste medio del phishing prácticamente se ha cuadruplicado desde 2015 hasta alcanzar los 14,8 millones de dólares al año, según un nuevo estudio del Instituto Ponemon para Proofpoint. Los ataques Business Email Compromise (BEC) y de ransomware son las amenazas más costosas para las empresas.
El phishing no crece de forma gradual, sino que lo hace exponencialmente., y este tipo de ataques se ha duplicado en 2020. Y no solo eso, sino que su coste mnedio se ha multiplicado por cuatro de 2015 hasta alcanzar los 14,8 millones de dólares al año, o unos 1.500 dólares por empleado para una gran empresa en Estados Unidos, frente a los 3,8 millones de dólares registrados en 2015. Son datos de un estudio de Proofpoint y Ponemon Institute, en el que han participado casi 600 profesionales de seguridad y de TI.
Los resultados también indican que los ataques Business Email Compromise (BEC), y de ransomware son las amenazas más costosas para las empresas. Los primeros cuestan casi seis millones de dólares anuales a una organización de gran tamaño. De esa cantidad, los pagos ilícitos a los atacantes serían 1,17 millones de dólares; los de ransomware tienen un coste para las grandes organizaciones de 5,66 millones de dólares al año, y solo 790.000 dólares corresponden únicamente al pago de rescates. En este sentido, Ponemon, presidente y fundador de Ponemon Institute, explica que el rescate en sí mismo representa menos del 20% del coste que supone un ataque de ransomware. Dado que los ataques de phishing aumentan la probabilidad de que se produzca una filtración de datos y se interrumpa el negocio, la mayor parte de los costes para las empresas proviene más de la pérdida de productividad y de la reparación del problema que del rescate que se ha pagado a los atacantes".
El estudio también destaca que otro gran coste del phishing es la pérdida de productividadp or la pérdida de horas de trabajo al año, así como lo que supone que las credenciales se vean comprometidas y la resolución de infecciones de malware.
Según los autores de este trabajo, la formación en concienciación sobre seguridad reduce de media los gastos por phishing en más de un 50%. "Hasta que las organizaciones no desplieguen un enfoque de la ciberseguridad centrado en las personas, que incluya formación en materia de concienciación sobre seguridad y protección integrada para detener y solucionar amenazas, los ataques de phishing continuarán", asegura Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad de Proofpoint.