Los ataques de phishing exitosos pueden causar daños considerables a las empresas, por eso es importante contar con recursos y empleados capacitados para identificar y evitar estos ataques. Este artículo reporta los intentos de phishing en México más comunes que reciben las empresas y qué tan útil es que los empleados reciban la formación adecuada al respecto.

Estudio sobre intentos de phishing a empresas y si la capacitación de empleados es útil para evitarlos.

Los ataques de phishing pueden causar daños económicos y de reputación si son exitosos. México es uno de los principales países afectados por este tipo de ataques en latinoamérica. Los objetivos de los delincuentes pueden ser tanto personas como empresas.

¿Qué es phishing?
El phishing es un tipo frecuente de ataque cibernético que se dirige a las personas a través de correos electrónicos, mensajes de texto o incluso llamadas telefónicas y otras formas de comunicación, generalmente haciéndose pasar por remitentes conocidos por el destinatario (por ejemplo, entidades públicas, empresas de entrega de paquetes, premios, etc.). Su objetivo principal es engañar al destinatario para que realice una acción deseada por el atacante, como revelar información financiera, datos de inicio de sesión del sistema u otra información confidencial. Muy a menudo, las empresas son objeto de ataques de phishing a través de sus empleados.

En Capterra hemos realizado un estudio que se centra en compañías que han sido objetivo de este tipo de ataques, a fin de conocer los medios más utilizados, si los empleados han tenido capacitación para identificar y evitarlos, entre otras cuestiones.

La encuesta se realizó a empleados que han recibido un intento de phishing, al menos una vez, en su trabajo. La muestra está compuesta por empleados y directivos. Con directivos nos referimos a los encuestados que tienen cargos de alta gerencia, dirección ejecutiva o que son los dueños de la empresa, cuando hablamos de empleados nos referimos al resto de la plantilla, conformada por colaboradores individuales, asociados, gerentes de mando intermedio y bajo.

El criterio de selección de participantes es que sean residentes en México, mayores de 18 años, trabajen para una empresa a tiempo parcial o tiempo completo y que hayan recibido al menos un intento de ataque de phishing, independientemente si este fue exitoso o no. Puedes leer la metodología completa al final del artículo.

Percepción de que los ataques de phishing han aumentado en los últimos 3 años

En el mundo laboral, la percepción del incremento de ataques de phishing es considerable. Se preguntó a los participantes cuánto, en porcentaje, creen que aumentó este tipo de ataque en los últimos tres años, las respuestas son las siguientes:

Empleados y directivos perciben que los ataques de phishing han aumentado en los últimos 3 años.

Los empleados y directivos observan claramente que hay más intentos de phishing durante los últimos tres años, incluso un 27% de los encuestados afirma que el aumento es de más de un 40%. Únicamente un 2% de los encuestados dijo que no cree que los ataques de phishing hayan aumentado en este periodo de tiempo.

Cabe recordar que los participantes de este estudio están conformados únicamente por empleados y directivos que afirman haber recibido al menos un ataque de phishing en su trabajo (haya sido exitoso o no). A estos participantes también se les preguntó si alguna vez habían recibido un intento de ataque en su dispositivo personal y que no estuviera relacionado con el trabajo, el 86% dijo que sí: un 32% una vez y un 54% más de una vez.

Esto muestra que estos ataques son comunes, tanto a nivel personal como laboral. Por lo que una concientización de cómo evitar el phishing es importante hoy en día.

En la segunda parte de este estudio, el segmento conformado únicamente por directivos señala posibles consecuencias de un ataque de phishing exitoso como las pérdidas financieras o la pérdida de los datos privados de los clientes. Por lo que es recomendable tener medios para evitar o mitigar estos ataques, como un software especializado y una formación anti-phishing.

El 85% de los ataques de phishing a empresas se reciben vía correo electrónico 

Los ataques de phishing pueden llegar por distintas vías y formatos. Por ejemplo, puede ser por una llamada telefónica de alguien que se hace pasar por un banco, o un SMS de alguien que se hace pasar por una institución gubernamental. 

En el estudio se preguntó a los participantes el medio o medios por los que recibieron los ataques de phishing. Las respuestas fueron las siguientes: 

El correo electrónico es el principal medio por el cual las empresas en México reciben ataques de phishing.

El correo electrónico o email es el principal medio de los intentos de phishing hacia empresas en México, con la gran mayoría de los encuestados afirmando que han recibido algún ataque por esta vía. 

También se preguntó qué tipo de estrategia tenían los ataques, cuál era la narrativa del intento de engaño. Los resultados son los siguientes:

  • Suplantación de identidad de un banco (38%).
  • Suplantación de identidad de una empresa (32%).
  • Entrega de paquetes (31%).
  • Un premio (30%).
  • Suplantación de identidad de una institución gubernamental (23%).

Cómo pueden los empleados identificar y evitar ataques de phishing vía emails
  • Comprobar la dirección del email del remitente. Los correos electrónicos de suplantación de identidad suelen proceder de direcciones falsas que parecen legítimas. Los empleados deberían revisar que la dirección del email corresponde a la organización de la que supuestamente proviene y que esta no contiene caracteres o letras extrañas o fuera de lugar. 
  • Buscar faltas de ortografía y errores gramaticales. Las empresas legítimas suelen tener correctores profesionales que revisan sus correos electrónicos antes de enviarlos. En cambio, los correos electrónicos de phishing suelen estar plagados de faltas de ortografía y errores gramaticales.
  • Desconfiar de los emails que crean una sensación de urgencia o miedo. Los correos electrónicos de phishing suelen tratar de engañar a los empleados para que actúen de inmediato y sin pensar. Por ejemplo, pueden decir que su cuenta está a punto de ser suspendida o que necesita actualizar su contraseña inmediatamente. Si un email crea una sensación de urgencia o miedo, probablemente se trate de un correo electrónico de phishing.
  • No introducir información confidencial en un sitio web sin estar seguro de que es legítimo. Si un empleado no está seguro de que un sitio web sea legítimo, es aconsejable que no introduzca información confidencial, como las credenciales de acceso o un número de una tarjeta de crédito. Las empresas deben motivar a los empleados a informar de los emails sospechosos con el equipo o departamento que se encarga de la ciberseguridad.

El 99% de los empleados que han recibido capacitación sobre phishing indica que sí ha sido de ayuda

Esta sección y la siguiente presentan datos que corresponden únicamente al segmento del estudio que está conformado por empleados. Se ha excluido a los directivos.

El 60% de los empleados en la encuesta señala que su empresa ha implementado capacitación en concientización sobre los ataques de phishing. Mientras que un 36% indica que su compañía no ha implementado ningún entrenamiento de este tipo, y un 4% contestó que no lo sabe. Casi la totalidad (92%) del segmento que no ha recibido entrenamiento de concientización o que no sabe si la recibió, dice que le gustaría que su empresa le diera este tipo de capacitación ya que se sentiría más seguro sobre cómo detectar y denunciar este tipo de ataques.

Volviendo al segmento que afirma que su organización ha implementado capacitación sobre concientización de phishing, prácticamente la totalidad dice que esta formación sí ha sido de ayuda.

Casi la totalidad de los empleados que han recibido capacitación en concientización sobre phishing dice que este entrenamiento ha sido de ayuda.

Como se observa en la gráfica, el 69% del segmento que sí ha recibido capacitación sobre concientización de phishing indica que sí le ha ayudado a detectar y evitar estos ataques. Otro 30% de este mismo segmento afirma también que la formación ha sido de ayuda, aunque en este caso, únicamente para saber cómo denunciarlos. La suma de estos dos segmentos que señalan que sí ha sido de ayuda la capacitación resulta en el 99% de este grupo de encuestados, lo cual comprueba la utilidad e importancia de este tipo de educación corporativa.

Este mismo grupo de participantes, que ha recibido capacitación anti-phishing, señala las principales formas en que se les imparte esta formación:

  • Pláticas para explicar qué significa phishing y cómo evitar estos ataques. Se pueden hacer de forma presencial o remota con un software de videoconferencia (59%). 
  • Videos que explican qué son los ataques de phishing y cómo prevenirlos. Las empresas pueden preparar sus propios videos educativos con un software para crear videos (50%).
  • Un documento escrito interno que explica la política de la empresa para hacer frente a estos ataques. Las organizaciones pueden publicar y organizar sus propias guías y documentos sobre este tema o cualquier otro con un software de base de conocimientos (36%).
  • Consejos informales de los gerentes y directivos (24%).
  • Un programa formal (por ejemplo, aprendizaje continuo sobre ataques de phishing). Esto puede ser externalizado o la misma empresa puede crear su propio programa educativo con herramientas de eLearning, de esta forma los empleados pueden tomar la capacitación a distancia desde cualquier dispositivo (22%).
Acciones que puede hacer una empresa para prevenir el phishing
  • Informar a los empleados. Cuanto más educados estén los empleados sobre los ataques de phishing, mejor preparados estarán para detectarlos. Se debe capacitar en los distintos tipos de ataques, los detalles que delatan qué es un ataque y cómo evadirlos o reportarlos.
  • Mantenerse alerta. Los ataques de phishing son cada vez más sofisticados, por lo que es importante estar alerta y desconfiar de la mayoría de emails desconocidos, SMS, llamadas telefónicas, etc. Aunque parezcan proceder de una fuente legítima si algo no parece correcto o se lee raro, lo mejor es comprobarlo antes de dar cualquier información.
  • Mantener actualizados el software y las herramientas de seguridad. Las actualizaciones de software suelen incluir parches de seguridad que ayudan a protegerse de ataques de phishing tanto conocidos como nuevos.
  • Enviar regularmente pruebas a los correos electrónicos de los empleados. La compañía puede mandar falsos ataques de phishing para seguir entrenando a los empleados. También debería realizar un seguimiento educativo a los empleados que no pasen las pruebas.
  • Asegurar que los empleados usan contraseñas seguras e implementar la autenticación multi-factor en las plataformas del trabajo. Las contraseñas seguras y la autenticación de doble factor o multi-factor pueden ayudar a proteger las cuentas de un ataque de phishing, ya que hacen más difícil el acceso a los sistemas y plataformas de la compañía. 

 

La mayoría de los empleados cambia su contraseña al menos una vez al año

La importancia de cambiar de contraseñas cada cierto tiempo es clave para mantener la seguridad del acceso al sistema, base de datos o plataforma de las empresas. Algunos de los motivos para cambiar las contraseñas son que el robo de base de datos de empresas puede incluir credenciales de acceso de sus usuarios o que los cibercriminales pueden realizar ataques de fuerza bruta para descifrar las contraseñas. 

Los empleados encuestados en este estudio señalan la frecuencia con la que cambian sus contraseñas:

  • 25% cambia la contraseña al menos una vez al mes.
  • 28% cambia su contraseña más de una vez cada seis meses.
  • 22% cambia su contraseña más de una vez al año.
  • 12% cambia su contraseña una vez al año.
  • 8% cambia su contraseña menos de una vez al año.
  • 6% nunca cambia su contraseña.

El segmento de empleados que afirma cambiar al menos en algún momento su contraseña señala el motivo principal por el cual lo hace: 41% cambia su contraseña por iniciativa personal, el 40% porque es una política de la empresa y el 19% porque el software lo obliga a hacerlo.

Al implementar una política de contraseñas fuertes, las empresas pueden dificultar a los atacantes el acceso a sus sistemas y datos, incluso si un ataque de phishing fue exitoso y robó las credenciales de acceso de un usuario. Una política de contraseñas puede incluir reglas como:

  • Exigir a los empleados que creen contraseñas seguras que sean difíciles de adivinar o descifrar.
  • Evitar que los empleados utilicen la misma contraseña en diferentes cuentas o sistemas.
  • Exigir a los empleados que cambien sus contraseñas con regularidad.
  • Exigir a los empleados que utilicen la autenticación multifactor (MFA) para las cuentas sensibles.

Las empresas pueden crear, distribuir y mantener actualizada su política de contraseñas con un software de gestión de políticas.

Proteger el acceso a las cuentas con un administrador de contraseñas y con doble autenticación

Un software administrador de contraseñas permite a los usuarios guardar y gestionar sus diferentes passwords desde un solo sitio. También tiene la funcionalidad de automatizar la creación de contraseñas fuertes, difíciles de hackear. 

Un software de autenticación multifactor proporciona los recursos a las empresas para que implementen dos o más pasos de validación y verificación de sus usuarios para que puedan acceder a su sistema, base de datos, plataformas, etc. De esta forma, aunque una contraseña sea hackeada no será suficiente para que el criminal pueda entrar a la información de la compañía.

Es clave capacitar a los empleados en acciones anti-phishing

Los ataques de phishing son una gran amenaza para las organizaciones, especialmente para las pymes, ya que estas pueden ser más vulnerables al tener menos recursos para filtrar los ataques o para hacer frente a las consecuencias. Las compañías dependen mucho de sus empleados para detectar y evitar los intentos de phishing. Por lo tanto, es importante capacitarlos en este aspecto.

El estudio muestra que el 99% de los empleados que han recibido capacitación anti-phishing afirma que esta ha sido útil. Por lo que es clave que las compañías dediquen recursos a educar al personal en este tema, especialmente para los ataques vía email ya que es el medio más común utilizado por los delincuentes. 

¿Estás buscando software de capacitación y formación? Visita nuestro catálogo.


Metodología:

Para esta investigación, Capterra realizó una encuesta online a 551 personas durante agosto del 2023. El criterio de selección de participantes es el siguiente:

  • Debe ser residente en México.
  • Debe tener entre 18 y 65 años.
  • Debe ser empleado a tiempo completo o parcial en una empresa
  • Debe utilizar siempre o a veces una computadora o laptop para realizar sus tareas en el trabajo
  • Conocía previamente a la encuesta el concepto de phishing: El phishing es un tipo frecuente de ataque cibernético que se dirige a las personas a través de correos electrónicos, mensajes de texto, llamadas telefónicas y otras formas de comunicación, generalmente haciéndose pasar por remitentes conocidos por el destinatario (por ejemplo, entidades públicas, empresas de entrega de paquetes, premios, etc.). Su objetivo principal es engañar al destinatario para que realice una acción deseada por el atacante, como revelar información financiera, datos de inicio de sesión del sistema u otra información confidencial. Muy a menudo, las empresas son objeto de ataques de phishing a través de sus empleados.
  • Ha recibido un intento de ataque de phishing en el trabajo (independientemente si el ataque fue exitoso o no).

En este artículo se presentan los datos del grupo completo de encuestados, empleados y directivos, y también, cuando se especifica, se presentan sólo los datos del segmento de empleados.