Los ataques basados en el correo electrónico dominaron el panorama de las amenazas en España durante el año pasado. Así se desprende del octavo informe anual de Proofpoint "State of the Phish" ("Estado de la suplantación de identidad"), el cual ofrece una visión en profundidad sobre el conocimiento, vulnerabilidad y resiliencia de los usuarios ante el phishing.
La compañía de ciberseguridad ha compartido en un comunicado sus principales conclusiones y lo primero que destaca es que pone de manifiesto que en 2021 los ataques tuvieron un impacto mucho más amplio que en 2020. A nivel global, el 83% de los encuestados declaró que su organización experimentó al menos un ataque exitoso de phishing basado en el correo electrónico, frente al 57% el año anterior, lo que supone un aumento del 46% con respecto a 2020.
Además, el informe deja patente que los atacantes fueron más activos en 2021 que en 2020 y, lo que es más preocupante, concluye que más de tres cuartas partes (78%) de las organizaciones globales sufrieron ataques de ransomware a través de correo electrónico en 2021, mientras que el 77% se enfrentó a ataques de BEC o fraude del CEO – con un aumento del 18% anual frente a 2020. Según advierte Proofpoint, esto refleja el enfoque continuo de los ciberdelincuentes en atacar a las personas, en lugar de obtener acceso a los sistemas a través de vulnerabilidades técnicas.
En España: un 62% de las organizaciones sufrieron al menos una infección de ransomware, y 4 de cada 10 pagaron al menos un rescate
Del mismo modo, los ciberdelincuentes fueron más activos en España, y también tuvieron más éxito. El 89% de los encuestados españoles señaló que su organización se enfrentó a amplios ataques de phishing en 2021 y el 82% reconoció que al menos uno de ellos fue exitoso.
Por otra parte, el 77% se enfrentó a uno o más ataques BEC o fraude del CEO y el 68% sufrió al menos un ataque de ransomware basado en el email. El 62% de las organizaciones españolas declaró que se había visto afectada por al menos una infección de ransomware derivada de un payload distribuido por correo electrónico, y una posterior entrega de malware u otro exploit.
De ellas, el 39% optó por pagar al menos un rescate. Esto se desglosa en las siguientes cifras: el 37% de ellas pagó un rescate y obtuvo acceso a sus datos cifrados; el 42% pagó un rescate inicial y otro(s) posterior(es) y obtuvo acceso a los datos/sistemas (el porcentaje más alto de todas las regiones encuestadas a nivel mundial); y el 21% pagó un rescate inicial, se negó a pagar más y no obtuvo acceso a los datos.
El bombardeo de e-mails maliciosos también es más incesante en nuestro país. Hasta el 91% de los trabajadores españoles afirmó haber recibido al menos una comunicación sospechosa en 2021, la cifra más alta de todos los países encuestados. Casi la mitad (49%) vio un archivo adjunto sospechoso en un correo electrónico y el 20% recibió un mensaje sospechoso en una aplicación de mensajería relacionada con el trabajo. No obstante, es preocupante que el 59% de los trabajadores españoles piense que todos los correos electrónicos internos son seguros y que el 57% crea que su organización bloqueará automáticamente todo el correo electrónico malicioso.
Según el informe de Proofpoint, los trabajadores españoles también son los más propensos a compartir los dispositivos de la empresa con amigos o familiares. El 69% de ellos permite que sus amigos o familiares accedan a los dispositivos de su empresa, lo que supone casi un 25% más que la media mundial y un notable aumento respecto al año pasado (45%).
A pesar de ello, las organizaciones españolas son las que menos utilizan un modelo de consecuencias, es decir, reprender a los empleados que interactúan con ataques de phishing reales o simulados. Tan solo el 29% de las organizaciones españolas afirma utilizar un modelo así, el menor porcentaje de todos los encuestados (y muy por debajo de la media mundial del 55%), y el principal motivo para no hacerlo (con un 39%) es que este tipo de modelos no encajan culturalmente con la organización (frente al 24% de media global). Por el contrario, entre los que sí los utilizan, el 31% de los encuestados dijo que su organización impone una sanción monetaria y el 28% despide a los empleados en función de sus interacciones con ataques de phishing reales o simulados.
Para proteger los entornos de trabajo híbridos de las empresas actuales, desde Proofpoint advierten que sigue siendo fundamental la formación a medida sobre seguridad.
"Si 2020 nos enseñó que es necesario ser ágiles y receptivos ante el cambio, 2021 nos ha enseñado sobre la necesidad de protegernos mejor", ha subrayado Fernando Anaya, director general de Proofpoint para Iberia.
"El correo electrónico sigue siendo el método de ataque favorito de los ciberdelincuentes, lo que significa que hay un valor claro en la construcción de una cultura de seguridad. En este panorama de amenazas que no para de evolucionar y a medida que el trabajo en remoto se vuelve cada vez más común, es fundamental que las organizaciones capaciten a su gente y apoyen sus esfuerzos para aprender y aplicar nuevas habilidades informáticas, tanto en el trabajo como en casa".