Proofpoint, empresa de ciberseguridad y cumplimiento normativo, ha publicado su séptimo informe anual State of the Phish en el que analiza las experiencias de las organizaciones en cuanto al phishing y, al mismo tiempo, profundiza en la concienciación, vulnerabilidad y resistencia de los usuarios frente a estas amenazas.
En resumen, más del 75% de los profesionales de seguridad encuestados afirma que sus empresas registraron ataques de phishing generalizados —tanto exitosos como fallidos— a lo largo de 2020, mientras que las infecciones por ransomware alcanzaron al 66% de los participantes en este estudio global.
En esta última edición se ha incorporado información a partir de encuestas a más de 600 profesionales de seguridad de la información de Alemania, Australia, España, Estados Unidos, Francia, Japón y Reino Unido, reflejando además distintos datos sobre la situación de unos 3.500 empleados en dichos países. El informe analiza asimismo los resultados de más de 60 millones de ataques de phishing simulados enviados durante un año a profesionales en activo por parte de los clientes corporativos de Proofpoint, junto con las características de aproximadamente unos 15 millones de correos electrónicos reportados a través de PhishAlarm por usuarios.
«En todo el mundo los ciberdelincuentes están atacando a personas a través de comunicaciones ágiles, relevantes y sofisticadas, manteniendo el correo electrónico como principal vector de ataque», comenta Fernando Anaya, Country Manager de Proofpoint. «Es fundamental para las organizaciones garantizar que sus usuarios sepan cómo detectar y reportar cualquier intento de ciberataque, especialmente aquellos empleados que trabajan en remoto desde entornos menos seguros. Pese a que algunas empresas imparten ya esta formación sobre seguridad a su plantilla, los datos de esta encuesta nos demuestran que la mayoría de empresas no está haciendo lo suficiente».
Concienciación y enfoque en las personas
El informe State of the Phish subraya la necesidad de adoptar un enfoque centrado en las personas en protección de la ciberseguridad, además de concienciar a los usuarios para hacer frente a unas circunstancias cambiantes tal y como han podido experimentar las organizaciones el año pasado debido a la pandemia. Sobre este último punto en concreto, el estudio de Proofpoint señala una falta de formación a medida para los usuarios sobre amenazas. Por ejemplo, el 87% de empresas españolas requirió o solicitó en 2020 a gran parte de su fuerza laboral que se acogiese al teletrabajo, pero solo el 36% capacitó a estos usuarios para trabajar en remoto de forma segura.
«Estos datos sobre el teletrabajo en España son ciertamente reveladores», opina Anaya. «La mayoría de los profesionales de seguridad encuestados en España apoya un modelo de trabajo en remoto para al menos la mitad de la plantilla de su organización y, sin embargo, poco más de un tercio de esos empleados recibió formación específica en ciberseguridad relacionada con el teletrabajo. También nos hemos encontrado con que los trabajadores españoles utilizan sus dispositivos de trabajo para responder emails personales, buscar ofertas y comprar productos, entre otras prácticas, lo cual puede generar ciertos riesgos, de ahí que sea necesario reforzar iniciativas de formación adaptadas a empleados en remoto para concienciarles sobre las actuales amenazas”.
En el 87% de las empresas españolas se requirió o se necesitó que gran parte de su fuerza laboral se acogiese al teletrabajo durante 2020, pero solo el 36% ofreció formación a sus usuarios acerca de las mejores prácticas para trabajar en remoto de forma segura.
En cuanto al ransomware, el 66% de los profesionales de seguridad de la información encuestados en España contó que su organización sufrió una infección de este tipo en 2020. No obstante, el 41% de las organizaciones españolas se negó a pagar un rescate tras el incidente. Esto las convierte en las menos predispuestas a negociar con los atacantes por delante de compañías en Australia (38%), Japón (36%), Francia (35%), Alemania y Reino Unido (ambas con un 31%), alejándose todas bastante de las de Estados Unidos (10%).