El 91% de los ciberataques comienzan por un email de phishing

Recomendados:  Gobiernos Data-driven: la gestión de los datos Leer Pasos para digitalizar un entorno B2B Video El camino hacia la residencia de datos Informe  Empresas nativas digitales y tecnologías de experiencia de usuario Documento

Para proporcionar más información sobre esta amenaza, Kaspersky analizó los datos recopilados por la herramienta de simulación de phishing integrada en Kaspersky Security Awareness Platform, que indican que los trabajadores tienden a no notar las trampas ocultas en los correos electrónicos dedicados a problemas corporativos y las notificaciones de problemas de entrega. Casi uno de cada cinco (16% a 18%) hizo clic en el enlace en las plantillas de correo electrónico imitando estos ataques de phishing.

Los datos del simulador de phishing muestran que los cinco tipos más efectivos de correo electrónico de phishing son:

--Asunto: Intento de entrega fallido - Desafortunadamente, nuestro servicio de mensajería no pudo entregar su artículo. Remitente: Servicio de entrega de correo. Conversión de clics: 18.5%;

--Asunto: Correos electrónicos no entregados debido a servidores de correo sobrecargados. Remitente: el equipo de soporte de Google. Conversión de clics: 18%;

--Asunto: Encuesta online de empleados: ¿Qué mejorarías de trabajar en la empresa? Remitente: Departamento de RRHH. Conversión de clics: 18%;

--Asunto: Recordatorio: Nuevo código de vestimenta para toda la empresa. Remitente: Recursos Humanos. Conversión de clics: 17.5%;

--Asunto: Atención a todos los empleados: plan de evacuación del nuevo edificio. Remitente: Departamento de Seguridad. Conversión de clics: 16%.

Otros correos electrónicos de phishing que obtuvieron un número significativo de clics son las confirmaciones de reserva de un servicio de reservas (11%), una notificación sobre la realización de un pedido (11%) y un anuncio de concurso de IKEA (10%). Por otro lado, los correos electrónicos que amenazan al destinatario, u ofrecen beneficios instantáneos, parecen ser menos exitosos. Una plantilla con el asunto "Hackeé tu computadora y conozco tu historial de búsqueda" obtuvo el 2% de los clics, mientras que ofertas gratuitas de Netflix y de 1.000 dólares al hacer clic en un enlace engañaron solo al 1% de los empleados.

"La simulación de phishing es una de las formas más simples de rastrear la ciberresiliencia de los empleados y evaluar la eficiencia de su capacitación en ciberseguridad", comenta Elena Molchanova, directora de Desarrollo de Negocios de Conciencia de Seguridad de Kaspersky. "Es crucial que los ataques simulados se lleven a cabo regularmente y se complementen con la capacitación adecuada, para que los usuarios desarrollen una fuerte habilidad de vigilancia que les permita evitar caer en ataques dirigidos o el llamado spear phishing".