¿Qué es el phishing?

Es muy probable que alguna vez llegue a tu email un correo que lo notes sospechoso y no te genera confianza, algo como cambia tu clave de tarjeta débito o crédito, tienes una multa en una ciudad donde no te encuentras y cosas de ese tipo; en eso consiste este delito informático que busca tu información simulando ser una entidad oficial o una empresa en particular.

El fin de este tipo de ataque es capturar tu información para luego suplantarte ante entidades bancarias, realizar compras, obtener claves de acceso de email o redes sociales.

Los ataques de Business Email Compromise (BEC) y ransomware son las amenazas de phishing más costosas para las grandes empresas. Así lo asegura el último informe de Proofpoint y el Instituto Ponemon sobre el coste del phishing, el cual se ha casi cuadruplicado en los últimos seis años. El informe revela que en Estados Unidos las grandes empresas pierden de media unos 14,8 millones de dólares al año, o unos 1.500 dólares por empleado, debido a estos ataques, lo que supone un fuerte aumento respecto a los 3,8 millones de dólares registrados en 2015.

Según este estudio, en el que han participado casi 600 profesionales de seguridad y de TI, los ataques Business Email Compromise (BEC) y de ransomware son las amenazas más costosas para las empresas, aunque el impacto en dichas organizaciones va mucho más allá de los fondos transferidos a los atacantes.

El compromiso o robo de credenciales suele preceder a ataques como BEC y ransomware, por lo general en forma de phishing a un empleado para que entregue sus credenciales de acceso. Según el Grupo de Trabajo AntiPhishing (APWG, por sus siglas en inglés), el phishing es un delito que emplea tanto la ingeniería social como subterfugios técnicos para robar datos personales y credenciales de cuentas financieras. El phishing no crece de forma gradual, sino que lo hace exponencialmente. El APWG calcula que este tipo de ataques ha llegado a duplicarse solo en 2020.

Estas son otras de las conclusiones clave del estudio sobre el coste del phishing en 2021:
La pérdida de productividad es una de las consecuencias del phishing que implica mayor coste. En una mediana empresa de Estados Unidos con unos 9.567 empleados se perderían cada año unas 63.343 horas de trabajo. Cada trabajador perdería de media unas siete horas anuales debido a estas estafas, lo que supone un aumento frente a las cuatro horas de 2015.

Los ataques BEC cuestan casi seis millones de dólares anuales a una organización de gran tamaño. De esa cantidad, los pagos ilícitos a los atacantes serían 1,17 millones de dólares.

El ransomware supone a las grandes organizaciones costes por valor de 5,66 millones de dólares al año. Unos 790.000 dólares corresponden únicamente al pago de rescates.

La formación en concienciación sobre seguridad reduce de media los gastos por phishing en más de un 50%.
El coste de resolver las infecciones por malware se ha duplicado con creces desde 2015. En 2021 solucionar ataques de malware cuesta de media unos 807.506 dólares en 2021, frente a los 338.098 dólares que suponía en 2015.

Los costes por compromiso de credenciales han aumentado drásticamente desde 2015. Como resultado, las organizaciones gastan más dinero a la hora de responder ante estos ataques. El coste medio de contener compromisos de credenciales basados en phishing ha pasado de 381.920 dólares en 2015 a 692.531 dólares en 2021. Las organizaciones han experimentado una media de 5,3 incidentes de este tipo en un periodo de 12 meses.

Los líderes empresariales deben prestar atención a posibles escenarios de pérdidas máximas. Por ejemplo, los ataques BEC podrían ocasionar pérdidas por interrupción de negocio de hasta 157 millones de dólares si las organizaciones no están preparadas. El malware con exfiltración de datos podría asimismo costarles hasta 137 millones de dólares.