Según las estimaciones, el 91 % de todos los ciberataques comienzan con un correo electrónico de phishing y las técnicas de phishing están involucradas en el 32% de todas las violaciones de datos exitosas.
Para ofrecer más información sobre esta amenaza, Kaspersky ha analizado los datos recopilados por el simulador de phishing proporcionados voluntariamente por los usuarios para verificar si su personal puede distinguir un correo electrónico de phishing de uno real sin poner en riesgo los datos corporativos. Un administrador elige del conjunto de plantillas, imitando escenarios comunes de phishing, o crea una plantilla personalizada. A continuación, la envía al grupo de empleados sin advertirles previamente y realiza un seguimiento de los resultados. Una gran cantidad de usuarios que hacen clic en el enlace, lo que es una clara indicación de que se requiere capacitación adicional en concienciación sobre ciberseguridad.
Según campañas recientes de simulación de phishing, los cinco tipos de correo electrónico de phishing más efectivos para los ciberdelincuentes son:
- Asunto: Intento de entrega fallido: lamentablemente, nuestro mensajero no pudo entregar su artículo. Remitente: Servicio de entrega de correo. Conversión de clics: 18,5%
- Asunto: Correos electrónicos no entregados debido a servidores de correo sobrecargados. Remitente: El equipo de soporte de Google. Conversión de clics: 18%
- Asunto: Encuesta online a empleados: ¿Qué mejorarías de trabajar en la empresa? Remitente: Departamento de RRHH. Conversión de clics: 18%
- Asunto: Recordatorio: Nuevo código de vestimenta en toda la empresa. Remitente: Recursos Humanos. Conversión de clics: 17,5%
- Asunto: Atención a todos los empleados: nuevo plan de evacuación del edificio. Remitente: Departamento de Seguridad. Conversión de clics: 16%
Entre los otros correos electrónicos de phishing que obtuvieron una cantidad significativa de clics se encuentran: confirmaciones de reserva de un servicio de reservas (11%), una notificación sobre la realización de un pedido (11%) y un anuncio de concurso de IKEA (10%).
Por otro lado, los correos electrónicos que amenazan al destinatario u ofrecen beneficios instantáneos parecen ser menos “exitosos”. Una plantilla con el tema «Hackeé su ordenador y conozco su historial de búsqueda» obtuvo el 2% de los clics, mientras que las ofertas de Netflix gratis y $1,000 al hacer clic en un enlace engañaron solo al 1% de los empleados.
“La simulación de phishing es una de las formas más sencillas de rastrear la ciberesiliencia de los empleados y evaluar la eficiencia de su capacitación en ciberseguridad. Sin embargo, hay aspectos importantes que deben tenerse en cuenta al realizar esta evaluación para que sea realmente impactante”, comenta Alfonso Ramírez, director general de Kaspersky Iberia. “Dado que los métodos utilizados por los ciberdelincuentes cambian constantemente, la simulación debe reflejar las tendencias de ingeniería social actualizadas, junto con los escenarios comunes de ciberdelincuencia. Es crucial que los ataques simulados se lleven a cabo regularmente y se complementen con la capacitación adecuada, de modo que los usuarios desarrollen una fuerte habilidad de vigilancia que les permita evitar caer en ataques dirigidos o el llamado phishing de lanza”.
Para evitar filtraciones de datos y cualquier pérdida financiera y de reputación relacionada causada por ataques de phishing, Kaspersky hace a las empresas las siguientes recomendaciones:
- Recuerda a tus empleados las señales básicas de los correos electrónicos de phishing. Un asunto dramático, errores y faltas de ortografía, direcciones de remitentes sin sentido y enlaces sospechosos;
- Si tienes alguna duda sobre el correo electrónico recibido, verifica el formato de los archivos adjuntos antes de abrirlos y la precisión del enlace antes de hacer clic. Esto se puede lograr pasando el cursor sobre estos elementos: asegúrate de que la dirección parezca auténtica y que los archivos adjuntos no estén en un formato ejecutable;
- Denuncia siempre los ataques de phishing. Si detectas un ataque de phishing, informa al departamento de seguridad de TI y, si es posible, evita abrir el correo electrónico malicioso. Esto permitirá que el equipo de ciberseguridad reconfigure las políticas antispam y prevenga un incidente;
- Proporciona a tus empleados conocimientos básicos de ciberseguridad. La educación debe tener como objetivo cambiar el comportamiento de los alumnos y enseñarles cómo hacer frente a las amenazas.
- Dado que los intentos de phishing pueden ser confusos y no hay garantía de evitar todos los clics accidentales, protégelos dispositivos de trabajo. Elige una solución que incluya capacidades antispam, rastree comportamientos sospechosos y cree una copia de respaldo de los archivos en caso de ataques de ransomware. La protección antiphishing está incluida en algunas soluciones de seguridad, incluso para pequeñas y muy pequeñas empresas.
Te puede interesar
- Cómo ejecutar una prueba de phishing con éxito para tus empleados
- Tipos de phishing: cómo reconocerlos y mantenerte a salvo
- Los 10 ciberataques de phishing en los que más suelen «picar» los empleados
- 7 formas prácticas de proteger a tu empresa de los piratas informáticos y los ataques de phishing
- ¿Qué es el Spear Phishing?