El phishing sigue siendo una técnica de ciberataque eficaz porque evoluciona constantemente. Para estar a salvo, las defensas contra el phishing también deben evolucionar.
Nuestro nuevo informe, Phishing Insights 2021, revela el estado de la formación de los usuarios en cuanto a phishing y ciberseguridad según una encuesta independiente a 5400 profesionales de TI. Úsalo para evaluar tu propia postura de seguridad contra el phishing e identificar oportunidades para desarrollar tus defensas.
En este informe también se muestra un caso real de un correo electrónico de phishing que condujo a un ataque de ransomware de varios millones de dólares.
La suplantación de identidad significa cosas diferentes para diferentes personas
¿Qué es el phishing? Uno de los hallazgos de la encuesta es que, incluso entre los profesionales de TI, no existe una definición clara de lo que la gente considera un ataque de phishing. La idea más común son los correos electrónicos que afirman falsamente ser de una organización legítima, generalmente combinados con una amenaza o solicitud de información. Si bien esta fue la respuesta más popular, menos de seis de cada diez (57%) encuestados seleccionaron esta opción, lo que ilustra la amplitud de significados que tiene el phishing.
El 46% de los encuestados considera que los ataques de Business Email Compromise (BEC) son phishing, mientras que más de un tercio (36%) entiende que el phishing incluye el secuestro de hilos, es decir, cuando los atacantes se insertan en un hilo de correo electrónico legítimo como parte de un ataque.
Dado los diferentes significados que tienen los ataques de phishing entre los profesionales de TI, es razonable esperar una variedad similar o mayor de interpretaciones entre los profesionales que no son de TI.
Este es un aviso útil para tener en cuenta las diferentes interpretaciones de la palabra “phishing” cuando se brindan recursos educativos y se capacita a los usuarios. Sin el contexto correcto, la formación será menos eficaz.
El phishing ha aumentado desde la pandemia
El 70% de los encuestados informaron de un aumento en los ataques de phishing en su organización desde el inicio de la pandemia. Todos los sectores se vieron afectados, siendo el gobierno central el que experimentó el mayor aumento (77%), seguido de cerca por los servicios empresariales y profesionales (76%) y la sanidad (73%).
Afortunadamente, el 98% de las organizaciones tenían su programa de concientización sobre phishing antes de que llegara el COVID-19. Gracias a estos programas, los usuarios estaban en una buena posición para resistir al aluvión de correos electrónicos de phishing durante el último año.
Si bien esta es una buena noticia, también es un recordatorio de que debes revisar y actualizar periódicamente los materiales y las actividades de concientización sobre el phishing para mantenerlos actualizados y relevantes.
Caso real: del phishing al ataque de ransomware multimillonario
Invariablemente, el phishing es solo una parte de un ciberataque. Cuando una víctima cae en un ataque de phishing, se desencadena una cadena de eventos que pueden conducir a un ataque devastador muchas semanas o meses después.
Recientemente, se llamó al equipo de Sophos Rapid Response para ayudar a una empresa que estaba experimentando un importante ataque de ransomware que comenzó con un correo electrónico de phishing. Como muestra la línea de tiempo, pasaron tres meses entre la suplantación de identidad inicial y el lanzamiento de la carga útil del ransomware, y varios ciberdelincuentes desempeñaron diferentes roles en el ataque.
Lee el informe completo
Descarga el informe completo Phishing Insights 2021 para profundizar en el estado de la formación de los usuarios en phishing y ciberseguridad, y el cronograma de este ataque.
Obtén protección contra phishing basada en IA con Sophos Email
Sophos Email tiene varias capas de tecnología para proteger las bandejas de entrada de sus usuarios del phishing y se administra desde la misma plataforma de Sophos Central que nuestras otras soluciones de próxima generación. Obtén más información
Dejar un comentario