Los ataques de phishing a empresas pueden tener graves consecuencias si tienen éxito. ¿Qué hacen las organizaciones para prevenir o mitigar este tipo de ataques? ¿Utilizan software específico para ello? ¿Capacitan a sus empleados al respecto? En este artículo, reportamos qué acciones están llevando a cabo las compañías para hacer frente a esta amenaza de seguridad.
En este artículo
- Principales medidas para mantener la seguridad del entorno de trabajo y de los datos en las empresas
- Pérdidas financieras es una de las consecuencias más graves de un ataque de phishing exitoso
- La mayoría de las empresas que usan software anti-phishing afirma que es efectivo y prevé un aumento de la inversión
- La capacitación en concientización sobre phishing arroja resultados positivos en la mayoría de los casos
- La inversión en herramientas y concientización para prevenir phishing es clave
En un artículo previo sobre phishing, Capterra reportó que en las empresas hay una percepción de incremento de este tipo de ataques en los últimos 3 años y que el principal canal que usan los cibercriminales para este propósito es el correo electrónico.
En este segundo artículo, Capterra se enfoca en la preocupación y riesgos que estos ataques suponen para las empresas, así como la eficacia que tiene el uso de software para prevenirlos o mitigar el alcance del ataque, por ejemplo, un software de seguridad de correo electrónico.
Para realizar el estudio, se encuestó a 551 empleados en México que han recibido al menos una vez un intento de ataque de phishing en su empresa. Esta muestra está compuesta por empleados (358 de los encuestados) y directivos (193 de los encuestados). Con directivos nos referimos a los puestos de alta gerencia, dirección ejecutiva y propietarios de la compañía. Este artículo se centra exclusivamente en la información recopilada de los directivos.
Puedes leer la metodología completa al final del artículo.
Principales medidas para mantener la seguridad del entorno de trabajo y de los datos en las empresas
El costo medio de las violaciones de datos en todo el mundo ha ido en aumento en los últimos años, en 2023 fue de 4.45 millones de USD (fuente en inglés). Debido a los costos económicos y de reputación, las empresas dan prioridad a la ciberseguridad.
Los directivos encuestados en el estudio señalan cuáles son los hábitos de ciberseguridad en las compañías. Desde acciones para mantener el entorno del trabajo seguro hasta medidas específicas para proteger los datos, tanto de la empresa como de los clientes.
Con respecto a la ciberseguridad general del entorno de trabajo, estos son los principales pasos que han dado las compañías, según los directivos encuestados:
- Copias de seguridad de datos periódicas y planes de recuperación ante desastres para mitigar el impacto de posibles ataques (50%). Las copias de seguridad son cruciales para proteger los datos en caso de pérdida o robo de los mismos. La frecuencia de las copias o back ups depende de la cantidad y la sensibilidad de los datos. Los programas para hacer copias de seguridad ayudan a las empresas en esta tarea.
- Implementación de políticas de contraseñas seguras y actualizaciones periódicas de contraseñas (47%). Los empleados de una empresa deben tener contraseñas seguras y únicas para todas sus cuentas, con el fin de reducir la reutilización de ellas, causa habitual de filtraciones de datos. Un software para administrar contraseñas ayuda al usuario a crear y gestionar múltiples datos de acceso o de inicio de sesión.
- Supervisión y registro de actividades de red para detectar comportamientos sospechosos (45%). El software de seguridad en la red ayuda a reconocer el tráfico legítimo y evitar accesos no autorizados en las redes empresariales.
- Adopción de prácticas de navegación seguras y restricciones para acceder a sitios web potencialmente maliciosos (43%). Las compañías pueden usar un software de capacitación y formación para entrenar a los empleados en buenas prácticas de seguridad informática.
- Hacer cumplir políticas estrictas sobre el intercambio de información confidencial para evitar estafas de phishing (40%). Las organizaciones se pueden apoyar en el software para gestión de políticas para mantener actualizadas las reglas y políticas de la empresa.
En cuanto a las acciones específicas para mantener la seguridad de datos, los directivos señalan también las cinco principales medidas que realizan las organizaciones.
Cómo se aprecia en la gráfica, las empresas saben que la protección de datos no reside únicamente en mantener el software actualizado, tanto el de ciberseguridad como del resto de herramientas digitales. También es importante que los empleados se adhieran a las pautas de seguridad de email y a la política de contraseñas ya que existen ataques, como el phishing, que están diseñados para romper la seguridad vía error humano y no únicamente informático.
Pérdidas financieras es una de las consecuencias más graves de un ataque de phishing exitoso
Los ataques de phishing, como mencionamos en nuestro artículo anterior, son técnicas en las que el delincuente intenta obtener información sensible de la víctima (información financiera, datos de acceso, etc.) con el fin de robar o secuestrar sus datos y utilizar el acceso para robar dinero, por ejemplo. Las técnicas más comunes son el envío de correos electrónicos y mensajes SMS falsos de instituciones conocidas como bancos, servicios de paqueterías o proveedores de servicios como Google o Apple.
Existe un incremento de inquietud por parte de las compañías sobre los ataques de phishing. El 88% de los directivos cree que este tipo de ciberdelincuencia se está convirtiendo en una amenaza más grave debido a que hay más empresas operando de forma remota o híbrida. También, un porcentaje considerable, el 84% de ellos, cree que los ataques de phishing son cada vez más sofisticados o más difíciles de detectar.
Por lo que es consistente que casi la totalidad de los encuestados los considera razón de preocupación para las empresas, un 35% de los directivos encuestados dice que estos ataques son motivo de preocupación grave dentro de la compañía, un 41% indica que son de preocupación moderada, mientras que solo un 21% señala que son de preocupación leve.
Los directivos participantes del estudio observan las tres consecuencias más graves que un ataque de phishing exitoso podría tener en la empresa, las cuales son:
Un ataque de phishing exitoso implica que los cibercriminales tengan acceso al sistema de la empresa, desde donde pueden realizar varias acciones. Por ejemplo, robar o secuestrar datos de la organización o de sus clientes o directamente podrían robar dinero gracias a que se tiene acceso a información financiera, entre otras opciones. Todo esto también causa daño a la reputación de la empresa o marca.
Las consecuencias del phishing son un motivo crucial para que las empresas cuenten con herramientas y capacitación que prevengan estos ataques.
La mayoría de las empresas que usan software anti-phishing afirma que es efectivo y prevé un aumento de la inversión
A pesar de las posibles consecuencias del phishing en las empresas, solo un 59% de los directivos afirma que su organización cuenta con herramientas anti-phishing, un 31% dice que no tiene, mientras que un 10% indica que no lo sabe.
A continuación presentamos datos que corresponden únicamente al segmento de directivos que ha indicado que su empresa cuenta con un software anti-phishing.
El 68% de las empresas que usan software anti-phishing indica que previene los ataques regularmente
Casi la totalidad de las compañías que cuentan con software para prevenir el phishing indica que estas herramientas han funcionado, un 68% de este segmento dice que el software logra prevenir los ataques regularmente y un 27% afirma que lo previene de vez en cuando. Sólo un 3% señala que estas herramientas no logran su objetivo correctamente.
Para identificar, evitar o mitigar un ataque de phishing se pueden utilizar varias herramientas, ya que los ataques no siempre suceden de la misma forma. Algunos de estos software son:
- Software de seguridad de correo electrónico: esta herramienta puede analizar el contenido de emails como URLs, imágenes o archivos adjuntos y ayuda a detectar posibles amenazas. Pueden filtrar el spam y el phishing, así como bloquear los archivos adjuntos maliciosos.
- Software SOAR (Security orchestration, automation and Response): este software ayuda automatizando el proceso de detección y respuesta a los ataques de phishing mediante el reconocimiento de patrones y técnicas de estos ataques, entre otras funciones.
- Software antivirus: esta herramienta puede escanear correos electrónicos entrantes y sus archivos adjuntos, identificando y bloqueando aquellos que contengan contenido malicioso.
- Software de ciberseguridad: este software suele incluir un paquete completo de funciones y características que se encuentran en otras categorías de software que ayudan a prevenir el phishing. Por ejemplo, incorporan funciones del software de seguridad de correo electrónico y del antivirus para phishing.
El 52% de las empresas que usa software anti-phishing prevé que aumentarán su gasto en él en los próximos 2 años
El hecho de que la percepción de que los ataques de phishing están aumentando, sumado a que los directivos perciben mayor sofisticación y riesgo, sugiere que las compañías que ya gastan en tecnología para combatir este cibercrimen continuarán haciéndolo, pero ¿cómo será la variación de su inversión en este ámbito para los próximos 24 meses?
El estudio observa que el 52% de las empresas que cuentan con software anti-phishing prevé que aumentará su gasto en esta tecnología, un 34% pronostica que dicha inversión disminuirá, y un 12% anticipa que lo mantendrá igual.
Estos datos van de la mano con el pronóstico de Gartner sobre el incremento de gasto en seguridad y gestión de riesgo a nivel mundial durante este 2024 (contenido en inglés).
La capacitación en concientización sobre phishing arroja resultados positivos en la mayoría de los casos
Como se ha visto en la sección anterior, el software puede ayudar a evitar o mitigar los ataques de phishing, pero no es la única defensa contra las brechas de ciberseguridad. Los empleados también tienen un papel que desempeñar en la protección de los datos de la empresa. Por este motivo, las empresas deben capacitar a sus empleados en la concientización sobre el phishing y otras amenazas a la ciberseguridad.
El 71% de los directivos encuestados afirma que su empresa sí ha implementado capacitación de concientización sobre phishing a los empleados. El 92% de este segmento señala que desde que se implementó la capacitación, la compañía ha notado una disminución en ataques de phishing exitosos. En consonancia con estos datos, en nuestro artículo anterior informamos que el 99% de los empleados que han recibido formación sobre la concientización del phishing afirma que ha sido útil.
Los principales formatos en los que estas empresas han impartido la capacitación son:
- Pláticas para explicar qué son los ataques de phishing y cómo evitarlos (66%).
- Videos explicativos (63%).
- Un programa formalizado sobre el tema (34%).
Este tipo de formación debe cubrir temas clave como: qué es el phishing y cómo evitarlo, a quién notificar si uno cree que ha sido víctima de este ataque, medios para reportar emails sospechosos, este último punto es importante porque así se contribuye a crear la lista de filtro anti-phishing de la organización.
Algunos recomendaciones para las empresas a la hora de diseñar un programa de capacitación sobre concientización y cómo prevenir el phishing:
- Adaptar la capacitación a la audiencia. Por ejemplo, un equipo informático necesitará una formación más técnica, mientras que un equipo de marketing puede preferir una formación más interactiva o visual.
- La capacitación interactiva puede incluir simulaciones, que es una buena forma de medir si la formación está siendo eficaz.
- Ofrecer una capacitación continua, ya que a medida que evolucionan los ataques de phishing es importante mantener al día a los empleados con las nuevas tendencias de los ciberdelincuentes y también con las nuevas técnicas o herramientas de prevención.
La inversión en herramientas y concientización para prevenir phishing es clave
Las consecuencias del phishing pueden ser bastante serias para los negocios, por ejemplo, pérdidas financieras o de datos de clientes. Los directivos de empresas son conscientes de los riesgos y demuestran un considerable grado de preocupación al respecto.
Sin embargo no todas las compañías cuentan con software para evitar o mitigar este tipo de ciberataques, así como tampoco todas han implementado capacitación de concientización a los empleados sobre este tema. Ambos aspectos son clave ya que la percepción es que este tipo de ataques están en aumento y cada vez son más sofisticados.
Por su lado, la mayoría de las compañías que sí cuentan con software para prevenir el phishing indica que estas herramientas son efectivas regularmente. Poco más de la mitad de este segmento pronostica que incrementará su inversión en esta tecnología en los próximos dos años.
Metodología
Para esta investigación, Capterra realizó una encuesta online a 551 personas durante agosto del 2023. De los encuestados, 358 son empleados y 193 son directivos (este grupo incluye alta gerencia, dirección ejecutiva y propietarios del negocio). Este artículo está realizado únicamente con los datos recopilados del segmento de directivos.
El criterio de selección de participantes es el siguiente:
- Debe ser residente en México.
- Debe tener entre 18 y 65 años.
- Debe ser empleado a tiempo completo o parcial en una empresa.
- Debe utilizar siempre o a veces una computadora o laptop para realizar sus tareas en el trabajo.
- Conocía previamente a la encuesta el concepto de phishing: El phishing es un tipo frecuente de ataque cibernético que se dirige a las personas a través de correos electrónicos, mensajes de texto, llamadas telefónicas y otras formas de comunicación, generalmente haciéndose pasar por remitentes conocidos por el destinatario (por ejemplo, entidades públicas, empresas de entrega de paquetes, premios, etc.). Su objetivo principal es engañar al destinatario para que realice una acción deseada por el atacante, como revelar información financiera, datos de inicio de sesión del sistema u otra información confidencial. Muy a menudo, las empresas son objeto de ataques de phishing a través de sus empleados.
- Ha recibido un intento de ataque de phishing en el trabajo (independientemente si el ataque fue exitoso o no).
Este reporte presenta exclusivamente la información proporcionada por el grupo de encuestados que son directivos (alta gerencia, dirección ejecutiva y propietarios).