Sophos anunció los hallazgos de su encuesta global Phishing Insights 2021, que revela que los ataques de phishing o suplantación de identidad, aumentaron considerablemente durante la pandemia, ya que millones de empleados que trabajan desde casa, se convirtieron en el principal objetivo de los ciberdelincuentes.
La gran mayoría de los equipos de Tecnologías de la Información de las organizaciones encuestadas en Chile (69%), Colombia (66%) y México (61%), informaron que la cantidad de correos electrónicos de phishing que llegaron a sus empleados aumentó durante 2020.
A nivel global, en Israel, el 90% reportaron aumentos, siendo este el país con el crecimiento más significativo. En cuanto a sectores, el incremento más alto a nivel mundial se presentó en: gobiernos (77%), servicios comerciales y profesionales (76%) y atención médica (73%), seguidos de cerca por los sectores minorista y educativo con un 71%.
“El phishing existe desde hace más de 25 años y sigue siendo una técnica eficaz de ciberataque. Una de las razones de su éxito es su capacidad para evolucionar y diversificarse continuamente, adaptándose a problemas o preocupaciones de actualidad, como fue la pandemia, y aprovechando las emociones y la confianza humanas”, aseveró Chester Wisniewski, Líder Científico e Investigador de Sophos.
“Un error común de las organizaciones es ver a los ataques de phishing como una amenaza de nivel relativamente bajo. Pero el phishing suele ser el primer paso de un ataque complejo de varias etapas. Según Sophos Rapid Response, los atacantes utilizan con frecuencia correos electrónicos de phishing para engañar a los usuarios para que instalen malware o compartan credenciales que brindan acceso a la red corporativa”, agregó.
Los hallazgos también revelan que la mayoría de los equipos de TI asocian el phishing con el correo electrónico (57%). El 46% considera que los ataques de Business Email Compromise (BEC) también son phishing, y más de un tercio (36%) piensa que el thread jacking, práctica en la que los atacantes se insertan en un hilo de correo electrónico legítimo como parte de un ataque, son una modalidad de este tipo de amenazas.
La buena noticia es que la mayoría de las organizaciones (90%) han implementado programas de concientización sobre ciberseguridad para combatir el phishing. Los encuestados dijeron que utilizan programas de capacitación basados en computadora (58%), programas de capacitación dirigidos por humanos (53%) y simulaciones de phishing (43%) para protegerse.
“Lo ideal sería evitar que los correos electrónicos de suplantación de identidad lleguen a su destinatario”, agregó. “Las soluciones de seguridad de correo electrónico eficaces pueden ser de gran ayuda para lograrlo, pero esto debe complementarse con empleados alerta y preparados que sean capaces de detectar e informar, oportunamente, sobre los mensajes sospechosos, antes de que lleguen más lejos”, finalizó Chester Wisniewski.