Proofpoint ha publicado las conclusiones de su noveno informe anual State of the Phish, donde revela que los atacantes están combinando nuevas tácticas con otras de eficacia probada para comprometer la seguridad de las empresas.
Entre las empresas españolas que sufrieron intentos de ataques de phishing por correo electrónico el año pasado, el 90% experimentó al menos un ataque de phishing exitoso; y casi una cuarta parte (24%) denunció haber tenido pérdidas financieras como consecuencia de estos incidentes, lo que supone un fuerte aumento respecto a 2021 cuando solo el 9% de las organizaciones españolas tuvo algún perjuicio económico directo. Asimismo, por lo general, aunque la suplantación de identidad, los ataques BEC (Business Email Compromise) y el ransomware siguen siendo técnicas populares entre los ciberdelincuentes, estos también incrementaron el uso de métodos de ataque menos conocidos para infiltrarse en organizaciones.
El informe State of the Phish de este año aporta una visión en profundidad de las amenazas reales, según Proofpoint, a partir de más de 18 millones de correos electrónicos notificados por los usuarios y 135 millones de simulaciones de phishing a lo largo de un año. Este estudio examina asimismo las respuestas de 7.500 profesionales y 1.500 especialistas de seguridad en 15 países, incluido España, en las que quedan patentes unas llamativas lagunas en concienciación y ciberhigiene relacionadas con el panorama de ataques del mundo real.
“Si bien el phishing convencional mantiene su éxito, muchos atacantes han cambiado sus técnicas por otras más nuevas, como el phishing AitM o de adversario en el medio que evitan la autenticación multifactor. Son técnicas que se han utilizado en ataques dirigidos durante años, pero en 2022 hemos visto su despliegue a gran escala”, afirma Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad en Proofpoint. “También hemos visto un marcado aumento de campañas de phishing sofisticadas y multicontacto en las que se entablan conversaciones más largas con múltiples identidades. Ya sean grupos a favor de Estados o atacantes BEC, hay muchos atacantes dispuestos a actuar a largo plazo”.
Estos son algunos de los principales datos del nuevo informe State of the Phish:
La ciberextorsión sigue causando estragos
El 89% de las organizaciones en España sufrió un intento de ataque de ransomware el año pasado, mientras que el 72% fue infectado con éxito. No obstante, solo la mitad (50%) recuperó el acceso a sus datos después de realizar un pago inicial por el ransomware.
La mayoría de las organizaciones españolas infectadas por ransomware pagaron a los atacantes. Prácticamente todas (95%) contaban con una póliza de ciberseguro para casos de ransomware; y gran parte de las aseguradoras estaban dispuestas a pagar el rescate de manera parcial o total (84%), lo que explica también la alta propensión a pagar. De hecho, un 64% de las organizaciones pagó al menos un rescate.
Emails fraudulentos de “Microsoft” dirigidos a usuarios finales
Durante 2022, Proofpoint detectó entre su base global de clientes alrededor de 1.600 campañas en las que se hacía abuso de una marca. La más utilizada por los ciberdelincuentes fue Microsoft, con más de 30 millones de mensajes, usando directamente el nombre de la empresa o refiriéndose a Office y OneDrive. En casos como los ataques de AitM, por ejemplo, se mostraba al usuario una página de inicio de sesión de Microsoft 365. Google, Amazon, DHL, Adobe y DocuSign fueron otras de las compañías suplantadas regularmente por los atacantes.
Teniendo en cuenta el volumen de ataques de suplantación de marca, es alarmante que casi la mitad de los empleados españoles (47%) crea que un email es seguro si hace referencia a una marca conocida, y que el 71% piense que la dirección de correo siempre se corresponde con el sitio web de esa marca. Proofpoint realiza a sus clientes simulaciones de phishing, la mitad de ellas relacionadas con la suplantación de marca, y en las que suele haber altas tasas de errores.
Business Email Compromise: El ciberfraude se globaliza
Los ataques BEC se están extendiendo rápidamente. En el último año, el 90% de las organizaciones españolas encuestadas informó de algún intento de este tipo, un 13% más que en 2021. Pese a que históricamente los correos electrónicos BEC se han escrito en inglés, ahora empieza a observarse un aumento del uso de otros idiomas, como el español, lo cual sería un factor determinante en el auge de esta amenaza en España, así como en otros países. Esto coincide además con la creciente sofisticación en general dentro de la ciberdelincuencia.
Amenazas internas
La movilidad laboral relacionada con la pandemia, unida a la incertidumbre económica que dejó posteriormente, provocó que un gran número de trabajadores cambiasen o abandonasen sus puestos de trabajo. Esta tendencia en el mercado laboral hace que la protección de datos sea más difícil para las organizaciones. Un 65% de las organizaciones consultadas en España tuvo pérdidas de datos debido a una acción interna. Asimismo, el 18% de profesionales consultados cambió de trabajo en el último año; y de estos, el 35% admitió haberse llevado información consigo.
Los atacantes aumentan la complejidad de sus amenazas por correo electrónico
A lo largo del año pasado, se enviaron cientos de miles de mensajes de phishing TOAD (telephone-oriented attack delivery) y de elusión de autenticación multifactor (AMF) al día, siendo lo suficientemente omnipresentes como para amenazar a casi todas las organizaciones. En su punto álgido, Proofpoint rastreó diariamente más de 600.000 ataques TOAD —correos electrónicos que incitan a los destinatarios a tener una conversación directa con los atacantes por teléfono a través de falsos centros de atención telefónica; y esta cifra no ha dejado de subir desde que esta técnica apareció por primera vez a finales de 2021. Por otro lado, ahora los ciberdelincuentes disponen de una serie de métodos para eludir la AMF, y muchos proveedores de phishing-as-a-service incluyen herramientas de AitM en sus kits de phishing.
Posibilidades de mejora en ciberhigiene
Los ciberdelincuentes siempre están innovando, y una vez más el informe de este año muestra que la mayoría de los empleados tienen lagunas en concienciación sobre seguridad. Incluso, algunas amenazas básicas como malware, phishing o ransomware siguen sin entenderse bien.
En España, apenas un 46% de las organizaciones analizadas incluye a toda su plantilla en formaciones de ciberseguridad, mientras que solo el 48% realiza simulaciones de phishing, dos elementos críticos para crear un programa de concienciación eficaz.
“Las lagunas en concienciación sobre seguridad, así como los comportamientos más laxos de los empleados crean un riesgo sustancial para las organizaciones y sus datos”, dice Fernando Anaya, country manager de Proofpoint. “El correo electrónico sigue como método de ataque preferido por los ciberdelincuentes, pero a medida que aparecen técnicas mucho menos conocidas por los empleados, cobra mayor importancia la necesidad de construir una cultura de seguridad que se extienda por toda la organización”.