Las conclusiones del informe de este año cuestionan notablemente la creencia de que las personas actúan de manera arriesgada debido a su falta de conocimientos sobre ciberseguridad y que la formación para concienciar sobre este tema puede por sí sola evitar por completo los comportamientos poco seguros. La duda se extiende a la creencia de los profesionales de la ciberseguridad de que la mayoría de los empleados sabe que son responsables de proteger a su empresa, lo que indica una brecha entre las limitaciones de la tecnología de seguridad individual y la educación de los usuarios.
“Los ciberdelincuentes saben que es fácil aprovecharse de las personas, ya sea por una negligencia, comprometiendo su identidad o, en algunos casos, porque actúan con malas intenciones”, afirma Ryan Kalember, director de estrategia de Proofpoint. “Las personas desempeñan un papel fundamental en la seguridad de una organización, ya que el 74% de los incidentes todavía se centra en el factor humano. Aunque fomentar una cultura de la seguridad es importante, la formación por sí sola no es suficiente. Saber lo que hay que hacer y hacerlo son dos cosas distintas. El reto ahora no es sólo la concienciación, sino el cambio de comportamiento”.
El informe State of the Phish de este año ofrece una visión en profundidad del panorama actual de amenazas, en el que los ciberdelincuentes se aprovechan de la IA generativa, los códigos QR y la autenticación multifactor (MFA), según el análisis de Proofpoint de más de 2,8 billones de correos electrónicos de 230.000 organizaciones de todo el mundo, así como los resultados de 183 millones de ataques de phishing simulados enviados durante un período de doce meses. El informe también examina las percepciones de 7.500 empleados y 1.050 profesionales de la ciberseguridad en 15 países, mostrando cómo las actitudes hacia la seguridad se manifiestan en el mundo real y cómo los ciberdelincuentes están encontrando nuevas formas de aprovecharse de nuestra preferencia por la rapidez y la comodidad, así como el estado actual de las iniciativas de concienciación de seguridad.
Estos son algunos de los datos clave del informe State of the Phish de Proofpoint referentes a las organizaciones españolas encuestadas:
Los empleados no actúan de manera arriesgada por falta de concienciación en seguridad: el 73% de los profesionales encuestados en España admitió haber realizado acciones arriesgadas como reutilizar o compartir una contraseña, hacer clic en enlaces de remitentes desconocidos o entregar sus credenciales a una fuente no fiable. De estos, el 94% lo hizo a sabiendas de los riesgos inherentes, lo que significa que el 67% de los empleados españoles debilitó deliberadamente la seguridad de su organización. Las motivaciones detrás de estos hechos son variadas, con la mayoría de los empleados citando el ahorro de tiempo (42%), la comodidad (27%) y la sensación de urgencia (25%) como principales razones.
Desconexión entre los equipos de TI y los empleados en el impulso de un verdadero cambio de comportamiento: mientras que el 86% de los profesionales de la seguridad afirmó que la mayoría de los empleados conoce su responsabilidad en este tema, el 55% de los empleados encuestados no estaba seguro de ello o afirmó que no se siente responsable en absoluto. Aunque prácticamente todos los empleados que hicieron una acción arriesgada conocían los peligros inherentes (94%) —un claro indicador de que la formación en seguridad está funcionando para concienciar a los usuarios—, existen evidentes disparidades entre lo que los profesionales de la seguridad y los empleados en España consideran eficaz para fomentar un cambio real de comportamiento. Los equipos de seguridad creen que la respuesta es más formación (83%) y controles más estrictos (84%), pero casi todos los empleados encuestados (95%) darían prioridad a la seguridad si los controles se simplificaran y fueran más fáciles de usar.
La MFA sigue proporcionando una falsa sensación de seguridad, dejando expuestas a las empresas: cada mes se lanzan más de un millón de ataques con EvilProxy, la plataforma para eludir la MFA. Sin embargo, el 84% de los profesionales de la seguridad españoles todavía considera que la MFA ofrece una protección completa contra la apropiación de cuentas.
La vulneración de correo electrónico de empresas (BEC) se beneficia de la IA: en España, el 70% de las organizaciones fue objeto de ataques BEC en 2023, frente al 90% de 2022. Por lo general, menos organizaciones informaron de intentos de fraude por correo electrónico en todo el mundo, pero el volumen creció en países como Japón (con un aumento interanual del 35%), Corea del Sur (+31%) y Emiratos Árabes Unidos (+29%). En estos lugares, previamente se habrían visto menos casos debido a barreras culturales o lingüísticas, pero la IA generativa permite actualmente a los atacantes crear emails más convincentes y personalizados en varios idiomas. Proofpoint detecta una media de 66 millones de ataques BEC dirigidos al mes.
La ciberextorsión persiste como forma lucrativa de ataque: el 69% de las organizaciones españolas encuestadas experimentó una infección exitosa de ransomware en el último año, respecto al 72% en 2022. De manera alarmante, el 55% de los profesionales de TI en España dijo que su organización sufrió infecciones múltiples y separadas de ransomware. De las organizaciones afectadas por ransomware, el 42% accedió a pagar a los atacantes, comparado con el 64% del ejercicio anterior; y sólo el 21% recuperó el acceso a sus datos tras un único pago, frente al 50% de hace un año.
Los ataques por teléfono (TOAD) siguen aumentando: pese a que inicialmente parece un mensaje inofensivo que incluye nada más que un número de teléfono y alguna información errónea, la cadena de ataque se activa cuando un empleado desprevenido llama a un call center fraudulento, proporcionando sus credenciales o concediendo acceso remoto a los ciberdelincuentes. Proofpoint detecta una media de 10 millones de ataques TOAD mensuales, con un pico reciente en agosto de 2023 en el que se registraron 13 millones de incidentes.
“A pesar de la creciente relevancia y sofisticación de amenazas como ransomware, TOAD y el bypass de MFA, muchas organizaciones no están adecuadamente preparadas o formadas para hacerles frente. En España, únicamente el 28% de las organizaciones encuestadas educa a sus usuarios sobre cómo reconocer y prevenir los ataques TOAD y apenas el 20% hace formaciones sobre la seguridad de la IA generativa”, comenta Fernando Anaya, country manager en Iberia de Proofpoint. “Las lagunas en concienciación y los comportamientos negligentes sobre seguridad demostrados por los empleados crean un riesgo sustancial para las organizaciones y sus datos: las empresas españolas necesitan ver el verdadero valor que tiene crear una cultura de seguridad que abarque toda la organización”.