A pesar de los esfuerzos que muchas empresas, expertos y medios de comunicación realizan para concientizar sobre seguridad digital y los riesgos que implican los ciberataques, todavía prevalecen las malas prácticas que ponen en peligro a las organizaciones.
De hecho, la falta de conciencia sobre los temas seguridad informática, y los procederes que trae aparejados, es notable entre los empleados que utilizan diversas plataformas digitales en las empresas.
Según una evaluación de CISA, la agencia del gobierno estadounidense encargada de la ciberseguridad, el 84% de los empleados caen en la trampa pasados los primeros 10 minutos de recibir correo de phishing y responden con información sensible o hacen clic en un enlace o archivo adjunto falso.
Riesgo en el email
Si bien el phishing puede llegar a sus víctimas para «pescarlas» mediante diferentes métodos, el informe señala que el tradicional correo electrónico sigue siendo el principal vector de ataque a través del que se lanzan campañas de phishing, malware y estafas digitales. Esta situación se vuelve ahora más desafiante, dado que los ataques de phishing ahora son mejores gracias a la IA, por lo que es crucial que las empresas den mayor prioridad a reforzar las medidas de protección.
«Los ciberdelincuentes están encontrando nuevas formas de realizar estos emails y es necesario contar con una solución de seguridad 360 que contrarreste proactivamente tácticas de phishing sofisticadas», señaló al respecto Gil Friedrich, VP de seguridad de correo electrónico de Check Point Software. Desde esta compañía especializada en ciberseguridad advierten que la creciente complejidad de las amenazas que utilizan el email requiere de estrategias de protección avanzadas, incluidos el desarrollo de mecanismos de detección impulsados por inteligencia artificial.
El phishing va más allá del robo de información personal y preocupa a las empresas.
El phishing sigue vulnerando a las empresas
El estudio de CISA señaló que los cibercriminales se benefician cuando un correo electrónico malicioso no es bloqueado en el borde de la red o el punto final y llega a una víctima que responde con información valiosa de la empresa o ejecuta un enlace falso. «El autor de la amenaza puede, entonces, darse un verdadero festín con la información, obtener credenciales o ganarse la capacidad de comprometer el dispositivo utilizado a través de malware disfrazado», explicó.
Asimismo, se detalló que el 70% de los archivos o links contaminados que vienen en los mails no fueron bloqueados por las protecciones de redes corporativas, lo que pone en evidencia que existe un enorme margen para mejorar.
En tanto, un 15 por ciento de los contenidos maliciosos no fueron anulados por las protecciones finales, como el software antivirus en las computadoras de trabajo.
Incidentes sin informar
Por otra parte, y quizás esto sea lo más preocupante en un contexto que se vuelve cada vez más peligroso, la mayoría de los empleados no avisan a nadie cuando reciben un ataque o un intento de ataque de phishing. En este sentido, solamente el 13% de quienes recibieron correos de esta clase lo reportaron a los encargados de sistemas o ciberseguridad en sus trabajos. «La falla en anunciar un intento de phishing limita la capacidad de la organización para responder a la intrusión y alertar a otros acerca de la amenaza», evaluó al respecto CISA.
Ocurre que no se trata de una «pereza» de los empleados. Sino que, como se señaló más arriba, muchas veces las personas sin entrenamiento no logran entender que están frente a un engaño digital.
Por eso, la autoridad de ciberseguridad de los EE.UU. recomienda «educar a los empleados para que reconozcan indicadores comunes de phishing, como direcciones de email sospechosas, saludos genéricos, hipervínculos falsificados, errores de ortografía y diseño, además de adjuntos irregulares».