El análisis de Verizon de 1.600 incidentes de ciberseguridad y 800 infracciones reveló que el phishing estaba implicado en el 90% de los ataques con éxito. A pesar de los años de formación sobre phishing, los empleados siguen siendo engañados. Verizon incluso incluyó este año una sección en el Informe de investigaciones sobre violaciones de datos(DBIR))llamada "Ataque a los humanos". ¿Por qué? Los humanos son su eslabón más débil. Puedes crear una nueva regla para bloquear un ataque automatizado a un servidor de aplicaciones web, pero no puedes eliminar la naturaleza humana.
¿A quién va dirigido? A todo el mundo.
Los ataques de ingeniería social solían ser un problema ajeno, o al menos eso era lo que pensaba mucha gente. Hoy en día, es un problema de todos. Verizon descubrió que todos los sectores eran muy vulnerables a estos ataques. Aunque los empleados de las empresas manufactureras eran los más propensos a convertirse en víctimas, todos los sectores presentaban un porcentaje significativo. Si tenemos en cuenta que basta con que un solo empleado caiga en la trampa de un único correo electrónico de entre los muchos que puede recibir en un año, los porcentajes se suman hasta alcanzar esa probabilidad superior al 60 % de que una empresa sea víctima de un ataque cada año.
Muchos empleados caen víctimas varias veces
Además de analizar los datos sobre violaciones de seguridad, Verizon también evaluó las tasas de éxito del phishing en un estudio controlado. Para ello, Verizon reunió una muestra de tres millones de usuarios de 2.280 organizaciones. A continuación, llevó a cabo 14.000 campañas. Los resultados fueron los siguientes: «El 7,3 % de los usuarios de múltiples fuentes de datos fueron víctimas de phishing, ya fuera a través de un enlace o de un archivo adjunto abierto... Aproximadamente el 15 % de todos los usuarios únicos que cayeron en la trampa una vez, también picaron el anzuelo por segunda vez».
La ingeniería social y el spear phishing son costosos para las víctimas
Estos ataques de phishing simulados eran genéricos y no estaban dirigidos. Sin embargo, los ataques de phishing con arpón, más personalizados, tienen una tasa de éxito unas nueve veces superior. Mientras que los datos recopilados por Verizon sugieren que 219.000 personas de un total de tres millones de empleados cayeron en una estafa de phishing genérico, cabe esperar que esa cifra aumente hasta 1,8 millones en el caso de los ataques de phishing con arpón o de ingeniería social. Este último método requiere más esfuerzo por parte del atacante, pero la recompensa puede ser grande. "Los datos de este año presentan numerosos incidentes que implican la suplantación de un ejecutivo para engañar a alguien para que transfiera dinero (a veces cantidades de seis cifras) de las cuentas corporativas".
Verizon denomina pretexting a estos ataques de ingeniería social más sofisticados y afirma que estos ataques son "casi siempre de naturaleza selectiva (y de ahí que más de la mitad de las marcas procedieran del departamento financiero), lo que significa que los actores investigan para identificar al empleado adecuado e inventan una historia creíble". ¿Cuál es el método preferido para iniciar el ataque? Lo ha adivinado. "El correo electrónico fue el principal vector de comunicación, representando el 88% de los incidentes de pretexting financiero".
Firewalls humanos Firewalls funcionan. Necesitas protección automatizada
Los datos son concluyentes. Los ataques por correo electrónico dirigidos a personas eluden las protecciones de su red, y basta con que un solo empleado muerda el anzuelo para que su empresa quede comprometida. No solo el 7 % de los empleados cae en la trampa de los ataques de phishing y más del 60 % en la del spear phishing, sino que, según los datos de Verizon, un número significativo de empleados vuelve a caer en la trampa por segunda vez. Por eso es tan importante contar con una protección automatizada.
En Graphus, recomendamos la formación sobre phishing y el uso de herramientas como DMARC y SPF, pero también somos conscientes de que estas medidas no impiden que un gran número de ataques logren burlar tus defensas. Aquí es donde el Trust Graph implementado por Graphus una capa adicional de protección y detecta los ataques de ingeniería social antes de que se produzca un incidente.
