¿Qué pasaría si supiera que, a pesar de ser conscientes de los riesgos de ciberseguridad asociados a las algunas acciones, sus usuarios las realizan de todas formas? ¿Ajustaría su formación de concienciación en materia de seguridad? ¿Cómo mejoraría su estrategia de ciberseguridad? ¿Y cómo motivaría a sus usuarios para que dieran prioridad a la ciberseguridad?
En nuestra 10ª edición del informe State of the Phish, hemos recopilado datos adicionales y ampliado la cobertura para analizar las opiniones obtenidas en 8 países de Europa y Oriente Medio. Esperamos que estas datos exclusivos puedan ayudarle a responder algunas de estas preguntas y algunas más.
En este artículo de blog, analizaremos algunos datos sobre el estado del phishing, del ransomware y del comportamiento de usuarios/empleados en la región de Europa y Oriente Medio, al tiempo que sugerimos cómo equilibrar los programas de seguridad de la información para reducir el riesgo.
¿Cómo recopilamos el informe?
El informe State of the Phish 2024 se elabora con datos procedentes de los productos Proofpoint People Protection y de investigaciones, y de otras fuentes, como:
- Una encuesta mundial a 7500 empleados y 1050 profesionales de TI de 15 países.
- 183 millones de ataques de phishing simulados enviados a clientes de Proofpoint.
- Más de 24 millones mensajes de correo electrónico sospechosos denunciados por los usuarios de nuestros clientes.
¿Qué conclusiones se pueden extraer de la región de Europa, Oriente Medio?
Los países de la región de Europa y Oriente Medio tienen una gran diversidad de idiomas, culturas, relaciones entre países, conexiones geográficas y madurez en materia de seguridad de la información. Las empresas en la región pueden operar a nivel multinacional o tener un enfoque más centrado en un país específico. El vínculo de la Unión Europea genera una fuerte conectividad para las que operan en su seno. Estas organizaciones suelen estar unidas por objetivos comunes en torno a preservar la privacidad y detener la filtración de datos personal.
La buena noticia es que el estudio de este año reveló una disminución en el porcentaje de organizaciones de la región de Europa y Oriente Medio que fueron víctimas de al menos un ataque de phishing que consiguió su objetivo. En 2022, la cifra fue del 88 %, y en el estudio de este año ha disminuido hasta el 75 %. Desafortunadamente, todavía hay un 75 % de organizaciones que sí sufrieron este problema.
Naturalmente, es probable que se pregunte cómo organizaciones como la suya pueden ayudar a reducir el riesgo provocado por el phishing y ataques similares. Echemos un vistazo.
Usuarios que asumen riesgos:
Los usuarios encuestados en la región de Europa y Oriente Medio admitieron haber realizado acciones arriesgadas, como compartir contraseñas, utilizar dispositivos laborales para actividades personales y responder a mensajes de personas desconocidas. El porcentaje de usuarios que admitieron haber realizado acciones peligrosas en esta región fue superior a la media mundial.
¿Qué significa esto para los usuarios en los países en los que opera su empresa? Los datos de nuestra encuesta revelan que en cada uno de los 4 países: Emiratos Árabes Unidos, Suecia, Italia y Francia, más del 70 % de los usuarios socavaron voluntariamente la seguridad de sus organizaciones. De hecho, el país en el que los usuarios tomaron más riesgos, más que cualquier otro país en nuestra encuesta, fue Emiratos Árabes Unidos. Los usuarios en toda la región de Europa y Oriente Medio mencionaron el ahorro de tiempo y la comodidad como justificación. Los usuarios del Reino Unido situaron la comodidad por delante del ahorro de tiempo.
Las prioridades de los usuarios y los equipos de seguridad siempre coinciden
Podríamos cuestionar si los usuarios consideran que la seguridad es responsabilidad suya o del equipo de seguridad de la información de su organización. Resulta preocupante que el 66 % de los usuarios en los Países Bajos y Suecia afirmaron no estar seguros o declararon que no eran responsables de la seguridad.
Persiste la necesidad de reconocer que los usuarios valoran la productividad y la comodidad por encima de la seguridad y a menudo asumen que su empleador es responsable de garantizar su seguridad, ya que nuestra investigación muestra que el 83 % de los profesionales de seguridad de la información encuestados en toda la región de Europa y Oriente Medio tienen la opinión de que los empleados saben que son responsables de la seguridad.
Autenticación multifactor
La autenticación multifactor (MFA) se considera a menudo una forma de mitigar el uso compartido y el compromiso de contraseñas. De hecho, más de 9 de cada 10 profesionales de la seguridad en el Reino Unido y Francia siguen creyendo que la autenticación MFA proporciona una protección completa contra la usurpación de cuentas. Sin embargo, Proofpoint identificó más de un millón de ataques lanzados con la infraestructura de elusión de MFA EvilProxy al mes. Aproximadamente 3 de cada 10 profesionales de la seguridad de otros países de la región de Europa y Oriente Medio reconocen que la MFA no es la solución milagrosa que se esperaba.
Ataques por teléfono
Los ataques por teléfono o TOAD han recibido merecidamente mucha atención en los últimos años. Se trata de ataques de phishing que utilizan un engaño inicial para inducir al usuario a establecer un contacto posterior por el teléfono. Los países de esta región sufrieron más ataques TOAD que la media mundial en 2023 (70 % frente al 67 %).
Ransomware
En toda la región de Europa y Oriente Medio, los ataques ransomware e infecciones reales han aumentado en el último año. Las organizaciones de Alemania informaron del nivel más alto de estas infecciones: un 85 % admitió haber sido afectada.
De acuerdo con los resultados de nuestra encuesta de 2024, un poco más de la mitad de las organizaciones de la región pagaron un rescate en 2023 respecto a la encuesta del año pasado (56 % frente a un 64 % en 2022). La eficacia del pago de un rescate varió enormemente. El resultado deseado sería restaurar los sistemas y datos afectados. Sin embargo, no todas las organizaciones recuperaron sus datos como esperaban.
Las organizaciones de los Países Bajos fueron las que obtuvieron los resultados menos positivos tras el pago: el 40 % informó de que nunca recuperó sus datos, en comparación con el 16 % a nivel mundial. También observamos un cambio interanual en el éxito del pago de un rescate. Las organizaciones españolas, por ejemplo, registraron una tasa de éxito del 50 % en la recuperación del acceso a sus datos en 2022, pero se redujo al 21 % en 2023.
La decisión de enviar un pago a los ciberdelincuentes se incorpora a menudo en un plan de respuesta o resiliencia de ciberseguridad y se considera una decisión empresarial, pero nuestro estudio muestra que las implicaciones pueden ser más profundas para las organizaciones de la región de Europa y Oriente Medio, como que la organización sea objeto de nuevos ataques por parte de los ciberdelincuentes.
Business Email Compromise (BEC)
Las estafas Business Email Compromise (BEC) han sido durante muchos años una de las amenazas más costosas para las organizaciones en todo el mundo. La comunidad de ciberseguridad ha informado ampliamente de las consecuencias financieras negativas de los ataques BEC que consiguen su objetivo. Resulta preocupante para la región de Europa y Oriente Medio, dada la amplia variedad de idiomas, la constatación del aumento de ataques BEC en países no angloparlantes. Esto podría estar relacionado con el auge de herramientas de IA generativa como ChatGPT, que pueden utilizarse para redactar señuelos de correo electrónico convincentes.
Formación para concienciar en materia de seguridad y cambio de comportamientos
En toda la región, el 95 % de las organizaciones ya utilizan la información sobre amenazas como base para sus programas de formación sobre concienciación en materia de seguridad, pero parece que se puede hacer más para adaptar los temas de formación a los problemas del mundo real. Como ejemplo, veamos la disparidad entre el riesgo de amenazas en el mundo real y la incorporación de ese conocimiento a los programas de concienciación sobre seguridad. El 78 % de las organizaciones alemanas sufrieron ataques TOAD, pero solo el 21 % los utilizó como tema de formación en seguridad: una de las mayores disparidades entre los ataques diarios y los temas de formación. Además, observamos un descenso en la formación de las organizaciones en temas esenciales como las mejores prácticas de contraseñas y la ingeniería social.
Multas y daños a la reputación
El análisis en profundidad de los países de la región de Europa y Oriente Medio de este año ofrece un panorama desolador de las consecuencias negativas, que se han disparado en los 8 países de la región incluidos en los datos de nuestro estudio. Abundan los informes sobre sanciones económicas, como multas por incumplimiento de normativas, y el aumento de los informes sobre daños a la reputación. Las organizaciones de Alemania, Francia y los Emiratos Árabes Unidos destacan por el aumento de las consecuencias negativas. Sin embargo, no confíe en que el ciberseguro cubra todos los costes: la mayor aseguradora de Francia anunció que dejaría de cubrir los ataques de ransomware. ¿Un indicio de lo que está por venir?
Más información
Consulte nuestro informe completo State of the Phish 2024 edición de Europa y Oriente Medio, donde encontrará recomendaciones sobre cómo adaptar sus programas de ciberseguridad.
Vea nuestro webinar
Únase a nosotros en nuestro seminario web en español sobre el Informe State of the Phish 2024 para un debate sobre los datos del 2024, el estado del panorama de las amenazas en Europa y especialmente en España.