Desconocimiento y escasez de profesionales, causas del aumento de los ataques de phishing

Ivanti, proveedora de la plataforma de automatización que gestiona, seguriza y da servicio a los activos de TI desde la nube hasta el dispositivo, ha publicado los resultados de un estudio que demuestra que el teletrabajo ha aumentado el número, la sofisticación y el impacto de los ataques de phishing en las empresas.

Phishing IvantiEl 74% de los encuestados declara que sus empresas han sido víctimas de un ataque de phishing durante el último año y el 40% reconoce haber sufrido un ataque en el último mes. En el mismo sentido, el 80% de los encuestados afirma haber experimentado un aumento en el número de intentos de phishing y el 85% considera que estos son cada vez más sofisticados. De hecho, el 73% reconoce que su departamento informático fue objeto de intentos de phishing, un 47% de los cuales se llevó a cabo con éxito. Se estima que las pérdidas económicas provocadas por los ataques de phishing alcanzan los 1,7 millones de dólares al año, cantidad que se prevé que aumente hasta los 90 millones.

Infografía phishingLas estafas de smishing (ataque a través de mensajes de texto) y vishing (ataque a través de llamadas de voz) son las últimas variantes de phishing dirigidas a los usuarios de dispositivos móviles y han ganado adeptos en el último año. Según un reciente estudio realizado por  Aberdeen Strategy & Research, los ataques tienen una mayor tasa de éxito en los dispositivos móviles que en los servidores, una tendencia que se consolida cada vez más.

Los hackers están explotando las brechas de seguridad consecuencia del teletrabajo, pues los trabajadores remotos utilizan más que nunca los dispositivos móviles para acceder a los datos de la empresa. El 37% de los encuestados atribuye gran parte del éxito de los ataques de phishing a una tecnología insuficiente y al desconocimiento de los empleados, con un 34% que lo vincula exclusivamente a este último factor. Aunque el 96% de los responsables de TI encuestados asegura que su organización forma a su plantilla sobre cómo afrontar ataques comunes como el phishing y el ransomware, tan solo un 30% reconoce que el 80-90% de los empleados había completado la formación.

La encuesta de Ivanti revela también que los efectos de los ataques de phishing se han agravado debido a la falta de talento en el área de tecnología. Más de la mitad (52%) de los encuestados afirma que su organización ha sufrido escasez de personal en el último año y, de ellos, el 64 % atribuye la falta de recursos a la prolongación del tiempo de resolución de incidencias.

El 46% de los encuestados opina que el aumento de los ataques de phishing es la consecuencia directa de la escasez de personal y que, al reducir el personal, la capacidad de ofrecer una respuesta rápida a los problemas de seguridad disminuye considerablemente. Teniendo en cuenta que cualquier tiempo de inactividad causado por un incidente de seguridad supone un importante coste económico para una empresa, el perjuicio a su productividad es realmente notable.

«Reducir el riesgo de ataques de phishing es una carrera contra el tiempo a diferentes niveles. Los profesionales de TI de las empresas deben ir por delante no solo de los hackers, que están continuamente ideando nuevos ataques, sino también de los propios empleados, que son sorprendentemente rápidos a la hora de hacer clic en enlaces maliciosos«, afirma Derek E. Brink, vicepresidente e investigador de Aberdeen Strategy & Research. «Además de invertir en formación y concienciación sobre ciberseguridad, las empresas deberían tener entre sus prioridades la aplicación de tecnologías avanzadas de automatización, inteligencia artificial y aprendizaje automático, con el fin de identificar, verificar y remediar más rápida y consistentemente las amenazas de phishing«, añade.

Por su parte, Chris Goettl, director senior de Gestión de Productos en Ivanti, hace hincapié en la importancia de reforzar la seguridad de la empresa: «Para combatir eficazmente los ataques de phishing, las empresas deben aplicar una estrategia de seguridad de ‘confianza cero’ que incorpore una gestión unificada con detección de amenazas en los dispositivos y funciones antiphishing. Asimismo, las empresas deberían considerar también la posibilidad de deshacerse de las contraseñas, aprovechando la autenticación de dispositivos móviles con acceso basado en la biometría, para eliminar el principal factor de riesgo en los ataques de phishing«. «Cualquier persona, independientemente de su experiencia o conocimientos de ciberseguridad, es susceptible de sufrir un ataque de phishing», subraya Goettl. De hecho, la encuesta revela que casi la mitad de los profesionales de TI fueron engañados.