La gran mayoría de los equipos de TI de las organizaciones encuestadas en México (61%), Colombia (66%) y Chile (69%) informó que la cantidad de correos electrónicos de phishing que llegaron a sus empleados aumentó durante 2020. En cuanto a sectores, el incremento más alto a nivel mundial se presentó en: gobiernos (77%), servicios comerciales y profesionales (76%) y atención médica (73%), seguidos de cerca por los sectores minorista y educativo con un 71%.
Así lo reveló la encuesta global Phishing Insights 2021 realizado por Sophos, quien reveló que los ataques de phishing aumentaron considerablemente durante la pandemia, ya que millones de empleados que trabajaban desde casa se convirtieron en el principal objetivo de los ciberdelincuentes.
Este estudio también reveló que la mayoría de los equipos de TI asocian el phishing con el correo electrónico (57%). El 46% consideró que los ataques de Business Email Compromise (BEC) también son phishing, y más de un tercio (36%) piensa que el threadjacking, práctica en la que los atacantes se insertan en un hilo de correo electrónico legítimo como parte de un ataque, son una modalidad de este tipo de amenazas.
La buena noticia es que la mayoría de las organizaciones (90%) han implementado programas de concientización sobre ciberseguridad para combatir el phishing. Los encuestados dijeron que utilizan programas de capacitación basados en computadora (58%), programas de capacitación dirigidos por humanos (53%) y simulaciones de phishing (43%) para protegerse.
“El phishing existe desde hace más de 25 años y sigue siendo una técnica eficaz de ciberataque. Una de las razones de su éxito es su capacidad para evolucionar y diversificarse continuamente, adaptándose a problemas o preocupaciones de actualidad, como fue la pandemia, y aprovechando las emociones y la confianza humanas”, opinó Chester Wisniewski, líder científico e investigador de Sophos.
“Un error común de las organizaciones es ver a los ataques de phishing como una amenaza de nivel relativamente bajo. Pero el phishing suele ser el primer paso de un ataque complejo de varias etapas. Según Sophos Rapid Response, los atacantes utilizan con frecuencia correos electrónicos de phishing para engañar a los usuarios para que instalen malware o compartan credenciales que brindan acceso a la red corporativa”, indicó.
