El 89% de las empresas españolas sufrieron ataques de phishing en 2021

Recomendados:  Lee IT Digital Security (Febrero de 2022) para PC y Mac Leer Identificación de ataques web Leer

Un nuevo informe de Proofpoint pone negro sobre blanco los desafíos que enfrentan las empresas en materia de ciberseguridad en su día a día. La última edición del estudio ‘State of the Phish”, que recoge las respuestas de las encuestas encargadas a 600 profesionales de la seguridad de la información y TI y a 3.500 trabajadores de Estados Unidos, Australia, Francia, Alemania, Japón, España y el Reino Unido, pone de relieve que, durante 2021, los ataques tuvieron un impacto mucho más amplio que en 2020: el 83% de los encuestados globales revelaron que su organización experimentó al menos un ataque exitoso de phishing basado en el correo electrónico, frente al 57% el año anterior.

Además, los atacantes fueron más activos en 2021 que en 2020, y concluye que más de tres cuartas partes (78%) de las organizaciones globales sufrieron ataques de ransomware a través de correo electrónico en 2021, mientras que el 77% se enfrentó a ataques de  BEC o fraude del CEO (con un aumento del 18% anual frente a 2020-, lo que refleja el enfoque continuo de los ciberdelincuentes en atacar a las personas, en lugar de obtener acceso a los sistemas a través de vulnerabilidades técnicas).

El panorama en España
En nuestro país, los ataques basados en el correo electrónico dominaron el panorama de las amenazas en 2021: el 89% de los encuestados en España dijo que su organización se enfrentó a amplios ataques de phishing en 2021. Además de ser más activos, los ciberdelincuentes tuvieron más éxito en 2021. El 82% de los encuestados en España dijo que su organización experimentó al menos un ataque de phishing exitoso.

Por otra parte, el 68% se enfrentó a al menos un ataque de ransomware basado en el email y el 77% se enfrentó a uno o más ataques BEC o fraude del CEO. El 62% de las organizaciones españolas afirmaron que se enfrentaron a al menos una infección de ransomware derivada de un payload distribuido por correo electrónico, y una posterior entrega de malware u otro exploit.

De ellas, el 39% optó por pagar al menos un rescate. Para desglosar esto, el 37% de ellas pagó un rescate y obtuvo acceso a sus datos cifrados; el 42% pagó un rescate inicial y otro(s) posterior(es) y obtuvo acceso a los datos/sistemas (el porcentaje más alto de todas las regiones encuestadas a nivel mundial); y el 21% pagó un rescate inicial, se negó a pagar más y no obtuvo acceso a los datos.

El 91% de los trabajadores españoles afirmó haber recibido al menos una comunicación sospechosa en 2021, la cifra más alta de todos los países encuestados. Casi la mitad (49%) vio un archivo adjunto sospechoso en un correo electrónico y el 20% recibió un mensaje sospechoso en una aplicación de mensajería relacionada con el trabajo. Sin embargo, es preocupante que el 59% de los trabajadores españoles piense que todos los correos electrónicos internos son seguros y que el 57% piense que su organización bloqueará automáticamente todo el correo electrónico malicioso.

Los trabajadores españoles son los más propensos a compartir los dispositivos de la empresa con amigos o familiares. El 69% de los trabajadores españoles permite que sus amigos o familiares accedan a los dispositivos de su empresa. Esto supone casi un 25% más que la media mundial y un notable aumento respecto al año pasado (45%).

Las organizaciones españolas son las que menos utilizan un modelo de consecuencias (es decir, reprender a los empleados que interactúan con ataques de phishing reales o simulados). Tan solo el 29% de las organizaciones españolas afirma utilizar un modelo así, el menor porcentaje de todos los encuestados (y muy por debajo de la media mundial del 55%).