Proofpoint ha publicado las conclusiones de su octavo informe anual State of the Phish, que ofrece una visión en profundidad sobre el conocimiento, vulnerabilidad y resiliencia de los usuarios ante el phishing. Dicho informe pone de relieve que, durante 2021, los ataques tuvieron un impacto mucho más amplio que en 2020: el 83% de los encuestados globales revelaron que su organización experimentó al menos un ataque exitoso de phishing basado en el correo electrónico, frente al 57% el año anterior, lo que supone un aumento del 46% con respecto a 2020.
Además, el informe de Proofpoint revela que los atacantes fueron más activos en 2021 que en 2020, y concluye que más de tres cuartas partes (78%) de las organizaciones globales sufrieron ataques de ransomware a través de correo electrónico en 2021, mientras que el 77% se enfrentó a ataques de BEC o fraude del CEO, con un aumento del 18% anual frente a 2020, lo que refleja el enfoque continuo de los ciberdelincuentes en atacar a las personas, en lugar de obtener acceso a los sistemas a través de vulnerabilidades técnicas.
En España, los ataques basados en el correo electrónico dominaron el panorama de las amenazas en 2021: el 89% de los encuestados en España dijo que su organización se enfrentó a amplios ataques de phishing en 2021. Además de ser más activos, los ciberdelincuentes tuvieron más éxito en 2021. El 82% de los encuestados en España dijo que su organización experimentó al menos un ataque de phishing exitoso.
Por otra parte, el 68% se enfrentó a al menos un ataque de ransomware basado en el email y el 77% se enfrentó a uno o más ataques BEC o fraude del CEO. El 62% de las organizaciones españolas afirmaron que se enfrentaron a al menos una infección de ransomware derivada de un payload distribuido por correo electrónico, y una posterior entrega de malware u otro exploit.
De ellas, el 39% optó por pagar al menos un rescate. Para desglosar esto, el 37% de ellas pagó un rescate y obtuvo acceso a sus datos cifrados; el 42% pagó un rescate inicial y otro(s) posterior(es) y obtuvo acceso a los datos/sistemas (el porcentaje más alto de todas las regiones encuestadas a nivel mundial); y el 21% pagó un rescate inicial, se negó a pagar más y no obtuvo acceso a los datos.
El 91% de los trabajadores españoles afirmó haber recibido al menos una comunicación sospechosa en 2021, la cifra más alta de todos los países encuestados. Casi la mitad (49%) vio un archivo adjunto sospechoso en un correo electrónico y el 20% recibió un mensaje sospechoso en una aplicación de mensajería relacionada con el trabajo. Sin embargo, es preocupante que el 59% de los trabajadores españoles piense que todos los correos electrónicos internos son seguros y que el 57% piense que su organización bloqueará automáticamente todo el correo electrónico malicioso.
Los trabajadores españoles son los más propensos a compartir los dispositivos de la empresa con amigos o familiares. El 69% de los trabajadores españoles permite que sus amigos o familiares accedan a los dispositivos de su empresa. Esto supone casi un 25% más que la media mundial y un notable aumento respecto al año pasado (45%).
Las organizaciones españolas son las que menos utilizan un modelo de consecuencias (es decir, reprender a los empleados que interactúan con ataques de phishing reales o simulados). Tan solo el 29% de las organizaciones españolas afirma utilizar un modelo así, el menor porcentaje de todos los encuestados (y muy por debajo de la media mundial del 55%).
- Con un 39%, son los más propensos a decir que un modelo de consecuencias no encaja culturalmente (frente al 24% de media global)
- Sin embargo, entre los que sí utilizan consecuencias, el 31% de los encuestados dijo que su organización impone una sanción monetaria y el 28% despide a los empleados en función de sus interacciones con ataques de phishing reales o simulados.
La formación a medida sobre seguridad sigue siendo fundamental para proteger los entornos de trabajo híbridos de las empresas actuales. “Si 2020 nos enseñó que es necesario ser ágiles y receptivos ante el cambio, 2021 nos ha enseñado sobre la necesidad de protegernos mejor”, comenta Fernando Anaya, director general de Proofpoint para Iberia. “El correo electrónico sigue siendo el método de ataque favorito de los ciberdelincuentes, lo que significa que hay un valor claro en la construcción de una cultura de seguridad. En este panorama de amenazas que no para de evolucionar y a medida que el trabajo en remoto se vuelve cada vez más común, es fundamental que las organizaciones capaciten a su gente y apoyen sus esfuerzos para aprender y aplicar nuevas habilidades informáticas, tanto en el trabajo como en casa”.
El informe State of the Phish de este año examina las respuestas de las encuestas encargadas a 600 profesionales de la seguridad de la información y TI y a 3.500 trabajadores de Estados Unidos, Australia, Francia, Alemania, Japón, España y el Reino Unido. El informe también analiza los datos de casi 100 millones de ataques de phishing simulados enviados por los clientes de Proofpoint a sus empleados durante un período de un año, junto con más de 15 millones de correos electrónicos reportados a través del botón PhishAlarm que es activado por el usuario.