El 67% de las empresas españolas sufrió un ataque de phishing exitoso en 2023

Proofpoint ha publicado la décima edición de su informe anual State of the Phish, en el que revela que, aunque la incidencia de ataques de phishing ha disminuido ligeramente, las consecuencias negativas son mayores. Así, el 67% de las organizaciones encuestadas en España experimentó al menos un ataque exitoso en 2023 frente al 90% del año anterior. Sin embargo, las sanciones financieras, como multas por incumplimientos regulatorios, aumentaron un 25%; y los daños a la reputación reportados, en un 56%.

Las conclusiones del informe de este año cuestionan notablemente la creencia de que las personas actúan de manera arriesgada debido a su falta de conocimientos sobre ciberseguridad y que la formación para concienciar sobre este tema puede por sí sola evitar por completo los comportamientos poco seguros. En este sentido, el 73% de los profesionales encuestados en España admitió haber realizado acciones arriesgadas como reutilizar o compartir una contraseña, hacer clic en enlaces de remitentes desconocidos o entregar sus credenciales a una fuente no fiable. De estos, el 94% lo hizo a sabiendas de los riesgos inherentes, lo que significa que el 67% de los empleados españoles debilitó deliberadamente la seguridad de su organización. Las motivaciones detrás de estos hechos son el ahorro de tiempo (42%), la comodidad (27%) y la sensación de urgencia (25%) como principales razones.

Mientras que el 86% de los profesionales de la seguridad afirmó que la mayoría de los empleados conoce su responsabilidad en este tema, el 55% de los empleados encuestados no estaba seguro de ello o afirmó que no se siente responsable en absoluto.  Aunque prácticamente todos los empleados que hicieron una acción arriesgada conocían los peligros inherentes (94%) —un claro indicador de que la formación en seguridad está funcionando para concienciar a los usuarios—, existen evidentes disparidades entre lo que los profesionales de la seguridad y los empleados en España consideran eficaz para fomentar un cambio real de comportamiento. Los equipos de seguridad creen que la respuesta es más formación (83%) y controles más estrictos (84%), pero casi todos los empleados (95%) darían prioridad a la seguridad si los controles se simplificaran y fueran más fáciles de usar.

Persisten los ataques BEC y de ransomware

En España, el 70% de las organizaciones fue objeto de ataques BEC en 2023, frente al 90% de 2022. Por lo general, menos organizaciones informaron de intentos de fraude por correo electrónico en todo el mundo, pero el volumen creció en países como Japón, Corea del Sur y Emiratos Árabes Unidos, lugares que previamente se habrían visto menos casos debido a barreras culturales o lingüísticas, pero la IA generativa permite actualmente a los atacantes crear emails más convincentes y personalizados en varios idiomas. Proofpoint detecta una media de 66 millones de ataques BEC dirigidos al mes.

Por otra parte, el 69% de las organizaciones españolas encuestadas experimentó una infección exitosa de ransomware en el último año, respecto al 72% en 2022. De manera alarmante, el 55% de los profesionales de TI en España dijo que su organización sufrió infecciones múltiples y separadas de ransomware. De las organizaciones afectadas por ransomware, el 42% accedió a pagar a los atacantes, comparado con el 64% del ejercicio anterior; y sólo el 21% recuperó el acceso a sus datos tras un único pago, frente al 50% de hace un año.

En cuanto a los ataques por teléfono (TOAD), siguen aumentando. Pese a que inicialmente parece un mensaje inofensivo que incluye nada más que un número de teléfono y alguna información errónea, la cadena de ataque se activa cuando un empleado desprevenido llama a un call center fraudulento, proporcionando sus credenciales o concediendo acceso remoto a los ciberdelincuentes. Proofpoint detecta una media de 10 millones de ataques TOAD mensuales, con un pico reciente en agosto de 2023 en el que se registraron 13 millones de incidentes.