Los ataques de phishing que tienen éxito están aumentando a un ritmo rápido, y también la variedad de formas en que se presentan.
Millones de usuarios de todo el mundo se ven en peligro cada día (bueno, cada 30 segundos para ser exactos). En pocas palabras, los ciberdelincuentes están evolucionando, al igual que sus técnicas.
Pero no es sólo la tradicional estafa de phishing la que está afectando a una serie de empresas: el spear phishing y el fraude de directores ejecutivos ofrecen ahora un alcance mucho más dañino de un ataque. Sin duda, los que toman las decisiones de TI se retuercen ante la posibilidad de convertirse en una historia más en el interminable libro de las filtraciones.
¿Pero qué hace que estos ataques de phishing tengan tanto éxito? Pues bien, según un informe de Osterman Research, hay 6 factores principales a los que se debe :
Lo que a los ciberdelincuentes les atrae más es, sin duda, la "concienciación sobre seguridad". Más concretamente, la falta de formación de los empleados centrada en cuestiones como el phishing y el ransomware es la principal razón del éxito de estos ataques.
De hecho, Osterman afirma que el 6% de los usuarios no ha recibido ninguna formación sobre seguridad. Esta cifra es bastante condenatoria cuando se trata de la confianza y la capacidad de un empleado para reconocer los ataques de phishing y actuar adecuadamente. Los usuarios deben ser formados para ser precavidos ante cualquier correo electrónico inesperado y ante cualquiera de las estafas a las que puedan enfrentarse en diversas plataformas.
El uso y la notoriedad de la Red Oscura han rebajado el valor comercial de los datos robados. El precio de un registro de tarjeta de pago bajó de 25 dólares en 2011 a 6 dólares en 2016, lo que significa que los ciberdelincuentes han tenido que adaptar su enfoque a nuevas formas de ganar el tipo de dinero que hacían en el pasado.
En consecuencia, el carácter fructífero de los poseedores de información es el ámbito al que se dirigen ahora. Los ataques como el ransomware, en los que los poseedores de información temen perder sus datos, hacen que las víctimas no se lo piensen dos veces antes de pagar las exigencias del delincuente.
Las empresas simplemente no están haciendo lo suficiente para reducir los riesgos asociados al phishing y al software malicioso. Faltan procesos adecuados de copia de seguridad, así como la incapacidad de identificar a los usuarios más débiles que necesitan más formación.
Además, a menudo faltan fuertes procesos de control interno, como una doble confirmación para cualquier solicitud de transferencia bancaria (que puede ser clave para evitar el fraude del director general). Descuidar estos procesos es jugar directamente en manos de algunas de las técnicas fraudulentas más comunes.
¿Sabías que...
El coste medio de un ataque de phishing para las empresas medianas es de 1,6 millones de dólares. .
Muchos ciberdelincuentes tienen acceso a grandes fondos, lo que amplía su capacidad para perfeccionar sus habilidades técnicas y permite realizar ataques de phishing más sofisticados.
De hecho, se afirma que algunos ciberdelincuentes pueden ganar hasta 7.500 dólares al mes gracias a sus esquemas dañinos y que la industria es ahora más rentable que el tráfico de drogas. .
La disponibilidad de kits de phishing y el auge del ransomware como servicio (RaaS) han dado a los aspirantes a hackers una oportunidad fácil de entrar en el mercado y competir con organizaciones criminales sofisticadas.
Lo más preocupante de esta tendencia creciente es que incluso personas con poca o ninguna experiencia en informática se están beneficiando de estas herramientas tan fáciles de conseguir. Con este tipo de potencial de ingresos, no es difícil entender por qué los delincuentes se ven atraídos por este lucrativo negocio.
La vieja (pero aún muy efectiva) técnica de atraer a los usuarios para que hagan clic en enlaces maliciosos pronto será eclipsada por tácticas mucho más astutas y difíciles de evitar.
Ciertamente, no hay mucha prisa por salirse de las técnicas de malware actuales, aunque muchos han predicho que este año veremos el desarrollo de nuevas amenazas, como los “ransomworms” (ransomware autorreplicante).
Para prevenir estos ataques, aumentar la concienciación de los empleados sobre el phishing o mitigar su magnitud, es fundamental desarrollar una estrategia cohesionada que abarque a las personas, los procesos y la tecnología:
usecure es la solución de gestión de riesgos humanos que permite a las empresas reducir los incidentes de seguridad relacionados con los usuarios, crear una plantilla ciberresistente y alcanzar los estándares de cumplimiento mediante programas de formación de usuarios automatizados.
Con la confianza de los principales profesionales de TI y proveedores de servicios gestionados (MSP), usecure analiza, reduce y supervisa el riesgo cibernético humano a través de programas de formación de concienciación de seguridad basados en el riesgo, campañas de phishing simuladas, gestión simplificada de políticas y supervisión continua de infracciones en la web oscura, todo ello desde una sola plataforma.