Los sectores del comercio minorista y mayorista son los más afectados por phishing

  • Seguridad

Phishing

Los ataques de phishing aumentaron un 29%, una subida que está directamente vinculada a las opciones de phishing como servicio. El phishing por SMS está ganando terreno más rápidamente que otros vectores de ataque, a medida que los usuarios se muestran más prudentes ante correos electrónicos sospechosos.

Los ataques de phishing están afectando a las empresas y a los consumidores con una alarmante frecuencia, complejidad y amplitud, y el aumento del phishing como servicio facilita más que nunca el lanzamiento de estos ataques por parte de actores no sofisticados. Así lo pone de manifiesto el estudio 2022 ThreatLabz Phishing Report de Zscaler, que muestra un crecimiento del 29% en los ataques de phishing en comparación con años anteriores.

Las compañías de ventas al por menor y al por mayor experimentaron un incremento de más del 400% frente al año anterior, lo que supone el mayor incremento entre todas las industrias analizadas. A estas empresas les siguen el sector financiero y el de las administraciones públicas, cuyas empresas sufrieron un aumento medio de más del 100% en sus ataques. Sin embargo, otros sectores experimentaron un ligero descenso frente al año pasado, como el sanitario.

Nuevas tendencias en phishing

Una de las razones por las que este tipo de ataque crece anualmente en importancia es su baja barrera de entrada. Los ciberdelincuentes utilizan temas de actualidad, como la pandemia del COVID-19 o las criptomonedas, para intentar confundir a sus víctimas para que les entreguen datos confidenciales, como contraseñas, información de tarjetas de crédito y credenciales de acceso. Los principales temas de phishing en 2021 incluyeron categorías como herramientas de productividad, webs de streaming ilegales, webs de compras, plataformas de redes sociales, entidades financieras y servicios logísticos.

Aunque el phishing ha sido durante mucho tiempo una de las principales técnicas utilizadas en los ciberataques realizados por actores sofisticados, cada vez es un método más accesible para los criminales que no tienen conocimientos técnicos, gracias a la existencia de un mercado clandestino de servicios y estructuras de ataque. Al vender sus herramientas y servicios de phishing en la Web oscura, los cibercriminales han hecho más fácil el despliegue de estafas de phishing a gran escala, lo que ha propiciado una mayor actividad de phishing en 2022.

Según el equipo de investigadores de Zscaler ThreatLabz, una entidad de tamaño medio recibe decenas de correos electrónicos de phishing cada día. Este hecho implica que todos los empleados, a todos los niveles, deben ser conscientes de las tácticas de phishing más habituales y estar preparados para detectar cualquier intento de phishing que pueda provocar pérdidas económicas y daños a la reputación de la empresa. Asimismo, los principales vectores de phishing, como el phishing por SMS, están ganando terreno más rápidamente que otros modos, ya que los usuarios se muestran más prudentes ante correos electrónicos sospechosos.

"Nuestro informe anual destaca cómo los cibercriminales continúan incrementando el uso del phishing como base para penetrar en las organizaciones con el fin de introducir ransomware o robar datos sensibles", dijo Deepen Desai, CISO y vicepresidente de Operaciones e Investigación de Seguridad de Zscaler. "Para defenderse contra los ataques avanzados de phishing, las organizaciones deben impulsar una estrategia defensiva múltiple que tenga su origen en una plataforma de confianza cero nativa de la nube y que unifique la inspección SSL completa con la detección impulsada por IA/ML para detener los intentos de phishing más sofisticados y los kits de phishing, la prevención del movimiento lateral y el engaño integrado para limitar el radio de explosión de un usuario comprometido, los controles proactivos para bloquear los destinos de alto riesgo, como los dominios recién registrados de los que suelen abusar los actores de la amenaza, y la DLP on-line para protegerse contra el robo de datos".