Casi nueve de cada diez (89%) de las organizaciones en España sufrió al menos un intento de ataque de ransomware el año pasado y el 72% de ellas fue infectado con éxito. Además, un 64% pagó por lo menos un rescate, ya que prácticamente todas (95%) contaban con una poliza de ciberseguro para casos de ransomware y gran parte de las aseguradoras estaban dispuestas a cumplir con las demandas de los atacantes, lo que explica la alta propensión a pagar. No obstante, solo la mitad recuperó el acceso a sus datos tras realizar un pago inicial por el ransomware. Así lo pone de manifiesto la novena edición del informe "State of the Phish" de Proofpoint, el cual señala que los ciberdelincuentes están combinando nuevas tácticas con otras de eficacia probada para burlar la seguridad de las organizaciones.
Crece la vulnerabilidad ante el phishing
Según destaca Proofpoint, el informe "State of the Phish" de este año aporta una visión en profundidad de las amenazas reales a partir de más de 18 millones de correos electrónicos notificados por los usuarios y 135 millones de simulaciones de phishing a lo largo de un año. Asimismo, este estudio examina las respuestas de 7.500 profesionales y 1.500 especialistas de seguridad en 15 países, incluido España, en las que quedan patentes unas llamativas lagunas en concienciación y ciberhigiene relacionadas con el panorama de ataques del mundo real.
Entre las organizaciones españolas que el año pasado fueron objetivo de ciberataques de phishing por correo electrónico, el 90% experimentó al menos un ataque exitoso y casi una cuarta parte (24%) denunció que le había ocasionado pérdidas económicas. Esto supone un aumento significativo respecto a 2021, cuando solo el 9% de las organizaciones españolas tuvo algún perjuicio económico directo.
"Si bien el phishing convencional mantiene su éxito, muchos atacantes han cambiado sus técnicas por otras más nuevas, como el phishing AitM o de adversario en el medio que evitan la autenticación multifactor. Son técnicas que se han utilizado en ataques dirigidos durante años, pero en 2022 hemos visto su despliegue a gran escala", afirma Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad en Proofpoint. "También hemos visto un marcado aumento de campañas de phishing sofisticadas y multicontacto en las que se entablan conversaciones más largas con múltiples identidades. Ya sean grupos a favor de Estados o atacantes BEC (Business Email Compromise), hay muchos atacantes dispuestos a actuar a largo plazo".
Microsoft, la marca más suplantada en las campañas de phishing
A lo largo del año pasado, Proofpoint detectó entre su base global de clientes alrededor de 1.600 campañas de phishing que utilizaban alguna marca como gancho. Microsoft fue la más suplantada con más de 30 millones de correos electrónicos que empleaban directamente su nombre o hacían referencia a Office y One Drive. En los ataques de AitM, por ejemplo, se mostraba al usuario una página de inicio de sesión de Microsoft 365.
Los ciberdelincuentes también se han hecho pasar regularmente por otras compañías, como Google, Amazon, DHL, Adobe y DocuSign.
Mayor complejidad de las amenazas difundidas a través del correo electrónico
Entre los correos electrónicos de phishing también son extremadamente comunes los que tratan de eludir la autenticación multifactor (AMF) y los ataques TOAD (telephone-oriented attack delivery), es decir, aquellos e-mails que incitan a los destinatarios a tener una conversación directa con los atacantes por teléfono a través de falsos centros de atención telefónica. En su punto álgido, Proofpoint rastreó diariamente más de 600.000 ataques TOAD y advierte que esta técnica no ha dejado de aumentar desde que apareció por primera vez en 2021 y que ya han llegado a ser lo suficientemente omnipresentes como para amenazar a casi todas las organizaciones.
Por otro lado, la compañía de ciberseguridad avisa que los ciberdelincuentes ya disponen de una serie de métodos para eludir la AMF y que muchos proveedores de phishing-as-a-service incluyen herramientas de AitM en sus kits de phishing.
Se extienden los ataques BEC
Los ciberataques Business Email Compromise (BEC) se están extendiendo rápidamente. En el último año, el 90% de las organizaciones españolas consultadas informó de algún intento de este tipo de ofensiva, un 13% más que en 2021. Históricamente los correos electrónicos BEC se han escrito en inglés, pero ahora empieza a observarse un aumento del uso de otros idiomas, como el español, lo cual sería un factor determinante en el auge de esta amenaza en España, así como en otros países. Esto coincide además con la creciente sofisticación de la ciberdelincuencia a nivel general.
El contexto actual favorece las amenazas internas
La movilidad laboral derivada de la pandemia, unida a la incertidumbre económica que dejó posteriormente, provocó que un gran número de trabajadores cambiasen o abandonasen sus puestos de trabajo, según indica Proofpoint apuntando que esta tendencia en el mercado laboral hace que para las organizaciones sea más complicado proteger sus datos.
Entre las organizaciones españolas consultadas en el informe, el 65% sufrió pérdidas de datos debido a una acción interna. Asimismo, el 18% de los profesionales encuestados cambió de trabajo y un 35% de ellos reconoció haberse llevado información consigo.
Falta de formación en ciberseguridad
Mientras que los ciberdelincuentes están siempre innovando, el informe muestra una vez más que la mayoría de los trabajadores tiene lagunas en concienciación sobre ciberseguridad e incluso hay algunas amenazas básicas –como el malware, el phishing o el ransomware– que siguen sin entenderse bien.
España también tiene este problema y en parte se debe a que menos de la mitad (46%) de las organizaciones analizadas incluye a toda su plantilla en formaciones de ciberseguridad y solo el 48% realiza simulaciones de phishing, dos elementos críticos para crear un programa de concienciación eficaz.
"Las lagunas en concienciación sobre seguridad, así como los comportamientos más laxos de los empleados crean un riesgo sustancial para las organizaciones y sus datos", afirma Fernando Anaya, country manager de Proofpoint. "El correo electrónico sigue como método de ataque preferido por los ciberdelincuentes, pero a medida que aparecen técnicas mucho menos conocidas por los empleados, cobra mayor importancia la necesidad de construir una cultura de seguridad que se extienda por toda la organización".