Reporte global de referencia sobre phishing 2023 | Por @fortraofficial


Una de cada diez personas cae en estafas de phishing, exponiendo brechas de Seguridad críticas en organizaciones globales. 


Según el último Reporte Global de Referencia de Phishing, basado en los resultados de Gone Phishing Tournament™ (GPT) 2023 organizado por Terranova Security de Fortra, una de cada diez personas son susceptibles a las estafas de phishing, clickeando en enlaces de email dudosos, potencialmente exponiendo información confidencial y sensible a los ciberdelincuentes.

Gone Phishing Tournament es un evento virtual que se realiza anualmente y que, con la ayuda de la inteligencia acerca del phishing de Microsoft, mide y evalúa cómo responden los empleados a los ataques de phishing simulados, aún entre las amenazas cibernéticas más comunes (y potencialmente dañinas) que existen. Los resultados de 2023 enfatizan lo crucial que puede ser implementar un programa de capacitación en concientización de Seguridad atractivo e informativo para los líderes de Seguridad. Idealmente, componentes como simulaciones de phishing y módulos de aprendizaje interactivos y lúdicos trabajan juntos para construir una cultura organizacional donde la Seguridad siempre sea una prioridad principal.

Gone Phishing Tournament de 2023 demostró una realidad impactante: el 60% de los participantes que hicieron click en el email de phishing simulado comprometieron las contraseñas de sus cuentas comerciales en la página de destino subsiguiente. En un escenario real, esto podría haber resultado en casi 90,000 contraseñas corporativas cayendo en manos de hackers, allanando el camino para el robo de cuentas (Account Takeover - ATO), un ataque al email empresarial (BEC) y otras actividades perjudiciales.

"Amplifique esta realidad por un objetivo de decenas de millones de usuarios finales, y todavía hay muchas oportunidades para que las organizaciones de todos los tamaños informen mejor a los empleados y proveedores externos", dijo Theo Zafirakos, CISO de Terranova Security. "Con nuevas herramientas basadas en IA a su disposición, los actores malintencionados pueden configurar ataques sofisticados donde los navegadores o proveedores de seguridad no detecten, y por lo tanto no comuniquen a los usuarios finales los potenciales riesgos. Debido a esto, la detección y el informe precisos de los mensajes de email de phishing son más que nunca una responsabilidad humana."


Los hallazgos clave del informe de 2023 incluyen:

  1. Una tasa de clicks del 10.4% en emails de simulación de phishing, marcando un aumento de 3.4 puntos porcentuales respecto al año anterior. (Nota: la plantilla de simulación de 2022 utilizó un contexto diferente, pero apuntó a los mismos comportamientos con sus tácticas).
  2. El 6.5% de los destinatarios enviaron sus contraseñas en el formulario incrustado en la página web maliciosa, un aumento de 3.5 puntos porcentuales desde 2022, con un 60% de los que clickearon comprometiendo eventualmente sus contraseñas.
  3. Para las tasas de clicks por industria, el sector financiero registró la tasa de clicks más baja (6.2%) en todas las industrias por segundo año consecutivo. El sector del transporte (6.8%) ocupó el segundo lugar, seguido por el sector de manufacturas con un 7.7%. Por el contrario, el sector educativo tuvo tanto la tasa de clicks más alta como la tasa de envío de contraseñas más alta, totalizando un 16.8% y un 12.2%, respectivamente.
  4. Las tendencias geográficas mostraron que América del Sur / Latina tuvo el mejor desempeño (tasa de clicks del 7.8%, envío de contraseñas del 3.9%) y la región de Asia y el Pacífico fue la peor (tasa de clicks del 14.9%, envío de contraseñas del 9.2%). Europa obtuvo una tasa de clicks del 9% y una tasa de envío de contraseñas del 5.6%, mientras que América del Norte terminó con totales del 10% y el 6.5%, respectivamente.
  5. Las organizaciones con menos de 100 empleados registraron la tasa de clicks más alta (12.9%), a pesar de ser el segmento con la tasa de clicks más baja en 2022. Las organizaciones con un número de empleados entre 100 y 499 tuvieron la tasa de envío de contraseñas más alta en general (7.3%).

El webinar de resultados de Gone Phishing Tournament se llevará a cabo el 26 de marzo (Inglés) y el 27 de marzo (Francés). Los oradores incluirán a Zafirakos, junto con otros representantes de Fortra, Microsoft y la Alianza Nacional de Ciberseguridad.

"Para proteger verdaderamente los datos confidenciales, la conciencia de Ciberseguridad y la capacitación en phishing deben extenderse más allá del cumplimiento mínimo, convirtiéndose en una parte central de la cultura de una organización desde el liderazgo hasta todos los miembros del equipo", enfatizó Zafirakos. "Las simulaciones de phishing del mundo real son críticas, ya que proporcionan un entorno seguro y práctico para aprender y mitigar efectivamente los riesgos a través del cambio de comportamiento."

La última edición de Gone Phising Tournament se llevó a cabo del 9 al 27 de octubre de 2023, coincidiendo con el Mes de Concientización en Ciberseguridad. Con casi 300 organizaciones participantes y más de 1.37 millones de emails de phishing enviados a los usuarios finales participantes en todo el mundo, sigue siendo una de las simulaciones de phishing más grandes de su tipo. El aumento de la participación año tras año destaca cuántas organizaciones están moviéndose para abordar la evolución de las amenazas de phishing.

Como en años anteriores, Terranova Security trabajó junto con Microsoft para crear las plantillas de email y la página web de simulación de phishing de Gone Phishing Tournament. La simulación emuló una táctica cibernética común: una notificación falsa de caducidad de contraseña destinada a extraer información del usuario.

El escenario midió varios comportamientos de los usuarios, tales como: hacer click en un enlace en el cuerpo de un email de phishing e ingresar credenciales, en este caso, una contraseña de una cuenta de negocio, en un formulario de una página web de phishing. Los participantes que enviaron su contraseña durante la simulación fueron dirigidos a una página de retroalimentación que proporcionaba una capacitación.

El email y la página web falsificaban la apariencia de los emails que los usuarios finales pueden recibir relacionados con la Seguridad de la cuenta. Sin embargo, hubo un giro importante: el email de simulación de phishing instó a los destinatarios a mantener el mismo email asociado con su cuenta en lugar de restablecerlo, contradiciendo las mejores prácticas de Ciberseguridad.

 

Descargue el último reporte Global de Referencia de Phishing para acceder todos los resultados de la última edición de Gone Phishing Tournament.

 

Sobre Fortra

Fortra es una compañía de Ciberseguridad como ninguna otra. Creamos un futuro más simple y sólido para nuestros clientes. Nuestro equipo de expertos junto con el mejor portfolio de soluciones integradas y escalables aportan equilibrio y control a organizaciones en todo el mundo. Somos impulsores del cambio positivo y su aliado de confianza para darle tranquilidad en cada paso de su camino de Ciberseguridad. Conozca más en fortra.com/es

 

Sobre Terranova Security de Fortra

Terranova Security de Fortra es el socio ideal para el entrenamiento en conciencia de Seguridad global que ha transformado a los usuarios finales del mundo en héroes cibernéticos durante más de 20 años. Utilizando un marco pedagógico probado, las soluciones de entrenamiento de Terranova Security de Fortra capacitan a organizaciones en todo el mundo para implementar programas que cambian los comportamientos de los usuarios, reducen el riesgo humano y contrarrestan eficazmente las ciberamenazas. Como resultado, cualquier empleado puede comprender mejor el phishing, la ingeniería social, la privacidad de datos, el cumplimiento y otras prácticas críticas recomendadas. Con la incorporación de nuevas características como su Centro de Contenidos y Puntuación del Cyber Héroe, Terranova Security de Fortra innova constantemente para respaldar los objetivos de Ciberseguridad de todas las organizaciones. Estas nuevas incorporaciones de soluciones líderes en la industria también fortalecen la seguridad de la información a largo plazo para todos los profesionales, independientemente de la región o el sector, en una era donde el trabajo remoto y la productividad sin fronteras son un estándar. Para conocer más ingrese a terranovasecurity.com.


No hay comentarios.

Imágenes del tema de enot-poloskun. Con tecnología de Blogger.