BEC and EAC

Un nuevo estudio del Ponemon Institute descubre que el coste de los timos de phishing es más del triple que en 2015

Las campañas de correo electrónico de phishing, que recurren a la ingeniería social para engañar a los usuarios, son una de las tácticas predilectas de muchos ciberdelincuentes. Son fáciles de ejecutar y reportan pingües beneficios a los ciberdelincuentes. Para las empresas víctimas de estos ataques de phishing, las pérdidas financieras pueden ser muy importantes, como podrá comprobar más adelantes.

Tabla que ilustra las pérdidas financieras provocadas por ataques de phishing en 2015 y en 2021

Figura 1: Tabla que ilustra las pérdidas financieras provocadas por ataques de phishing en 2015 y en 2021

El informe del Ponemon Institute sobre el coste del phishing muestra la distribución de los costes anuales incurridos por las organizaciones y el aumento espectacular de los costes asociados a las estafas Business email compromise (BEC), el fraude por correo electrónico y los ataques de ransomware.

El coste de los timos de phishing ha aumentado de manera exponencial en los últimos años. Según un nuevo estudio del Ponemon Institute, incluido en el informe patrocinado por Proofpoint, Estudio de 2021 sobre el coste del phishing, el coste medio anual del phishing en 2021 se eleva a 14,8 millones de dólares para una empresa de 9 600 empleados, o algo más de 1 500 dólares por empleado. Esta cifra representa más del triple calculado en 2015, que era de 3,8 millones de dólares.

Factores que contribuyen al alto coste del phishing

Tabla que muestra el coste esperado de los ataques de malware

Figura 2: Tabla que muestra el coste esperado de los ataques de malware

El coste de los ataques de malware sin neutralizar constituye un riesgo considerable para los líderes de las empresas, con pérdidas máximas como consecuencia de la interrupción de la actividad y la filtración de datos que superan los 100 millones de dólares al año.

La incapacidad para neutralizar el malware es una de las razones del aumento del coste del phishing. Supone de hecho el 11 % del costo total incurrido por las organizaciones, o cerca de 800 000 dólares al año frente a los 340 000 dólares en 2015, según el informe del Ponemon Institute. El malware difícil de neutralizar, tal y como se define en el estudio, es el malware que ataca los dispositivos y que ha eludido las defensas tradicionales, como los firewalls, el software antimalware y los sistemas de prevención de intrusiones. Los ataques de malware activos que buscan la filtración de datos y perturbar las actividades son los más difíciles de neutralizar.

Otro factor que contribuye al elevado coste del phishing es la pérdida de productividad de los empleados de los equipos no informáticos: Según el estudio del Ponemon Institute, el impacto de esos timos en la productividad ha pasado de 1,8 millones de dólares en 2015 a 3,2 millones de dólares este año. Los empleados pierden de media 7 horas de trabajo por culpa de los mensajes de correo electrónico de phishing, respecto a las 4 horas de hace seis años.

En el estudio, el Ponemon Institute asume que una organización de tamaño medio tiene 9567 personas que disponen de acceso de usuario a los sistemas de correo electrónico de la empresa. Por tanto, si cada persona pierde como consecuencia de los timos de phishing 7 horas al año, eso supone 65 000 horas de trabajo perdidas cada año.

La limpieza necesaria después de los timos de phishing también puede exigir recursos importantes para las organizaciones y, por tanto, ser muy costosas. El estudio del Ponemon Institute, basado en las respuestas a una entrevista realizada entre 600 profesionales de TI y de seguridad de TI en Estados Unidos, revela que las tareas más laboriosas asociadas a la neutralización de los ataques de phishing son la limpieza y la corrección de los sistemas infectados, así como la investigación forense.

Los compromisos de credenciales cuestan a los equipos de TI miles de horas al año

Tabla que muestra el coste de los compromisos de credenciales a causa del phishing

Figura 3: Tabla que muestra el coste de los compromisos de credenciales a causa del phishing

Según el estudio del Ponemon Institute, los compromisos de credenciales constituyen otro importante quebradero de cabeza para los profesionales de TI y de seguridad de TI. En los últimos 12 meses, las organizaciones experimentaron una media de 5,3 compromisos de este tipo.

Según otros estudios realizados anteriormente sobre el coste de los compromisos de credenciales, el Ponemon Institute calcula que los equipos técnicos dedicaron 2050 horas a investigar y neutralizar un solo compromiso. Si las organizaciones son víctimas de más de cinco compromisos al año, los equipos técnicos pueden tener que dedicar casi 11 000 horas a neutralizar estos incidentes en los próximos 12 meses.

El estudio del Ponemon Institute revela también que el coste medio de la neutralización de un compromiso de credenciales basado en phishing aumentó de 381 920 dólares en 2015 a 692 531 dólares en 2021. Esta cifra supone un aumento importante desde 2015, con la migración a la nube y la adopción del teletrabajo, que presentan más dificultad para las empresas a la hora de reforzar la seguridad cloud.

Las estafas Business email compromise (BEC), o fraude por correo electrónico, es un factor de coste importante del phishing

Tabla que muestra el coste de las estafas BEC

Figura 4: Tabla que muestra el coste de las estafas BEC

El último estudio sobre el coste del phishing también examina el impacto de los ataques o estafas BEC en los costes de phishing para las organizaciones. Un ataque BEC es un exploit de seguridad en el que los ataques se dirigen contra los empleados que tienen acceso a fondos o a los datos de una organización. Es la primera vez que el estudio ha incluido los datos específicos sobre ataques BEC.

Según el Ponemon Institute, el coste medio anual del phishing asociado a los ataques BEC se eleva a 5,96 millones de dólares. En un escenario de pérdida máxima probable, los líderes empresariales podrían tener que enfrentarse a un desembolso de más de 150 millones de dólares. Si la dirección de la empresa ignora el riesgo, la cantidad media pagada por las empresas a los ciberdelincuentes especializados en los ataques BEC fue de 1,17 millones de dólares.

Las estafas BEC se han convertido en la forma más costosa de ciberataque. Descubra los seis pasos a seguir para hacer frente de forma eficaz a esta amenaza en el Manual sobre las estafas Business Email Compromise (BEC) de Proofpoint. Descargue ya su copia gratuita.

Los ataques de ransomware se multiplican y cuestan millones a las organizaciones

Tabla que muestra el coste del ransomware

Figura 5: Tabla que muestra el coste del ransomware

Otra novedad del informe de 2021 del Ponemon Institute es el análisis del impacto del ransomware en los resultados financieros de una organización. Con unas pérdidas máximas probables de decenas de millones a los que se suman los millones de dólares dedicados a neutralizar el ransomware, las organizaciones tienen razones de sobra para alarmarse por esta amenaza que no es nueva, pero que ha experimentado una progresión importante.

Además, las organizaciones pagan de media casi 800 000 dólares directamente a los ciberdelincuentes para recuperar sus datos y sistemas. Como se ha mencionado anteriormente, no todo el ransomware se distribuye por correo electrónico. El bloqueo de puertos RDP expuestos a Internet y la aplicación de parches a todos dispositivos que presentan vulnerabilidades, como las VPN, los dispositivos de transferencia de archivos y los servidores de correo son igualmente medidas fundamentales que hay que tomar para proteger su empresa.

Teniendo en cuenta la progresión de los costes del phishing y de la evolución de las amenazas, ha llegado la hora de abandonar las soluciones aisladas para adoptar un enfoque global de la protección contra estas amenazas.

Un enfoque integrado de la protección contra las amenazas reduce drásticamente los costes

El informe de 2021 sobre el coste del phishing prevé una continuidad en el aumento de los ataques de phishing debido a la dificultad que tienen las empresas para proteger un número cada vez mayor de empleados teletrabajando debido a la pandemia de COVID-19.

Sin embargo, hay un aspecto positivo: el estudio del Ponemon Institute sugiere que las organizaciones que inviertan en programas de formación y concienciación en materia de seguridad para formar a los empleados sobre cómo prevenir los ataques de phishing, no solo podrán contrarrestar los esfuerzos de los ciberdelincuentes, sino también reducir el coste global del phishing.

Se pidió a los profesionales de TI y de seguridad de TI entrevistados para el estudio sobre el coste del phishing que estimaran el porcentaje de costes de phishing que pensaban que se podía reducir mediante programas de formación y concienciación especialmente diseñados para abordar los riesgos de ataques de phishing contra el personal de la empresa. En base a sus respuestas, el Ponemon Institute indica que sería posible reducirlos de media más de la mitad (53 %).

Además, las organizaciones deben diseñar una estrategia de protección multicapa. ¿Puede su gateway de correo electrónico impedir realmente las amenazas que llegan hasta sus empleados? ¿Existe una forma de neutralizar las amenazas una vez que han sido entregados los mensajes? ¿Disponen las organizaciones de una solución de autenticación DMARC y de supervisión del riesgo de fraude?

Las organizaciones que adoptan un enfoque integrado de la protección pueden reducir el riesgo de phishing y al mismo tiempo racionalizar los costes operativos. Por ejemplo, este estudio Forrester Total Economic Impact™ revela que un importante sistema de asistencia sanitaria fue capaz de reducir el riesgo de compromiso en más del 50 %, lo que se tradujo en un ahorro de más de 2 millones de dólares al año. También disminuyeron la necesidad de personal gracias a la automatización, lo que les permitió ahorrar casi 350 000 dólares en tres años.

Descargue el informe gratuito para obtener más información

Entre sus conclusiones, el informe del Ponemon Institute revela que el impacto financiero de los ataques de phishing no se limita al dinero pagado a los ciberdelincuentes, sino que se nota en la productividad de los empleados, la carga administrativa de los equipos técnicos y la mayor probabilidad de perturbación de las actividades y de compromiso de los datos.

Para descubrir todas las conclusiones del estudio del Ponemon Institute, incluido un análisis detallado del coste anual de los ataques de ransomware para las empresas y de las tendencias en materia de estafas BEC, descargue hoy mismo el estudio de 2021 sobre el coste del phishing.

Subscribe to the Proofpoint Blog