Los casos de phishing, que se basan en la ingeniería social para engañar a los usuarios, son una táctica ampliamente utilizada por muchos cibercriminales. Son fáciles de ejecutar y potencialmente muy lucrativas. Y para las organizaciones que son blanco de ataques de phishing exitosos, las pérdidas financieras pueden resultar sustanciales, tal como se indica a continuación.
Figura 1: Tabla que muestra las pérdidas financieras en el año fiscal 2015 vs. el 2021
El informe “Cost of Phishing” del Instituto Ponemon muestra un desglose de los costes anuales en los que incurren las organizaciones y del dramático aumento de los costes asociados a las vulneraciones de correo electrónico empresarial (o BEC, del inglés “Business Email Compromise”), o fraude por correo electrónico, así como los ataques de ransomware.
El coste de cada estafa de phishing se ha incrementado exponencialmente en años recientes. Según los datos de phishing de una nueva investigación del Instituto Ponemon, que apareció en el informe patrocinado por Proofpoint, The 2021 Cost of Phishing Study (en español, Estudio del coste del phishing en 2021), el coste anual medio de una estafa de phishing en 2021 fue de 14,8 millones de USD para una organización de 9600 empleados, lo que representa algo más de 1500 USD por empleado. Eso es más del triple de la cantidad registrada en 2015, que ascendió a 3,8 millones.
Diversos factores contribuyen al creciente coste del phishing
Figura 2: Tabla que muestra el coste esperado de los ataques de malware
El coste de los ataques de malware sin contener representa un riesgo significativo para los líderes empresariales, con unas pérdidas máximas a causa de interrupciones a las operaciones del negocio y a la exfiltración de datos que superan los 100 millones de USD anuales.
La incapacidad de frenar al malware es una de las razones del aumento en los costes del phishing. Representa el 11% del coste total para las organizaciones, de hecho, o alrededor de 800.000 USD al año, frente a unos 340.000 en 2015, según indica el instituto Ponemon. Los malwares más difíciles de contener, tal como se definen en el estudio, son aquellos malwares a nivel de dispositivo que evaden las defensas tradicionales, tales como cortafuegos, software antimalware y sistemas de evasión de intrusiones. Los ataques activos de malware que implican exfiltración de datos e interrupciones al negocio son los más difíciles de contener.
Otro elemento que incrementa el coste del phishing es la pérdida de productividad en empleados no relacionados con TI. Según el estudio del Instituto Ponemon, el impacto de las estafas de phishing sobre la productividad ha aumentado desde 1,8 millones de USD en 2015 a 3,2 millones de USD este año. Los empleados registran una media de 7 horas en tiempo perdido relacionado con correos electrónicos de phishing, en comparación con 4 horas hace tres años.
En el estudio, el Instituto Ponemon asume que una organización de tamaño intermedio tiene una plantilla de 9567 individuos con acceso de usuario a los sistemas de correo electrónico corporativo. Así, si cada persona es distraída durante 7 horas al año debido a casos de phishing, esto significaría que estas organizaciones perderían anualmente más de 65.000 horas de trabajo debido al phishing.
La “limpieza” posterior a una estafa de phishing puede resultar muy costosa a nivel de recursos para las organizaciones. Las investigaciones del Instituto Ponemon, basadas en encuestas realizadas a casi 600 profesionales de seguridad informática en organizaciones en los Estados Unidos, concluyeron que las tareas más exigentes para resolver los casos de phishing fueron la limpieza y reparación de sistemas infectados, así como la realización de investigaciones forenses.
Las vulneraciones de credenciales les cuestan miles de horas al año a los equipos de seguridad Informática
Figura 3: Tabla que muestra el coste de las vulneraciones de credenciales causadas por el phishing
Las vulneraciones de credenciales son otro gran dolor de cabeza para los profesionales de informática y la ciberseguridad, según el estudio del Instituto Ponemon. Durante los últimos 12 meses, las organizaciones sufrieron una media de 5,3 vulneraciones de esta naturaleza.
Según otras investigaciones realizadas previamente acerca del coste de la vulneración de credenciales, el Instituto Ponemon estima que los equipos tecnológicos emplean 2050 horas investigando y respondiendo a cada vulneración individual. Si las organizaciones sufren de más de cinco vulneraciones al año, los equipos técnicos se verán forzados a emplear casi 11.000 horas durante los siguientes 12 meses para responder a estas incidencias.
Esta investigación también determinó que el coste medio de contener las vulneraciones de credenciales basadas en phishing se incrementó de 381.920 USD en 2015 a 692.531 USD en 2021. Esa cifra representa un incremento significativo en comparación con 2015, a la luz de que cada vez más organizaciones se cambian a plataformas basadas en la nube y al teletrabajo, y esto presenta dificultades para las organizaciones que buscan mejorar su seguridad en la nube.
Las vulneraciones de correo electrónico empresarial (BEC), o fraude de correo electrónico, son importantes impulsoras DEL coste del phishing
Figura 4: Tabla que muestra el coste de las BEC
El más reciente estudio Cost of Phishing también examinó el impacto de las vulneraciones al correo electrónico empresarial (o BEC, del inglés “Business Email Compromise”) en los costes del phishing para las organizaciones. Las BEC son una vulnerabilidad de seguridad en la que los atacantes se enfocan en empleados con acceso a los fondos o datos de una organización. Esta es la primera vez que el estudio ha incluido datos específicos de las BEC.
El Instituto Ponemon reportó que el coste anual medio del phishing por la BEC es de 5,96 millones de USD. Los líderes empresariales enfrentan un potencial de gasto para las organizaciones equivalente a 150 millones de USD en el peor caso posible. Si el riesgo no llama la atención de los directivos, el pago medio realizado a atacantes de BEC ascendió a los 1,17 millones de USD entre los encuestados.
Las BEC se han convertido en la manifestación más costosa del cibercrimen. Descubra los seis pasos para gestionar eficazmente estas amenazas en el Manual de vulneraciones al correo electrónico empresarial de Proofpoint. Descargue su ejemplar gratuito hoy mismo.
Los ataques de ransomware se disparan, y les cuestan millones a las organizaciones
Figura 5: Tabla que muestra el coste del ransomware
Una de las nuevas adiciones al estudio de 2021 del Instituto Ponemon fue la encuesta para medir los efectos del ransomware sobre la cuenta de resultados de una organización. Con unas pérdidas máximas probables que se cifran en las decenas de millones, y en vista de que las organizaciones se gastan millones tratando de contener al ransomware, las perspectivas acerca de esta amenaza antigua, pero en aumento, deberían estar disparando las alarmas para las organizaciones.
Adicionalmente, las organizaciones se gastaron una media de 800.000 USD en costes directos causados por el que los atacantes obtuviesen acceso a sus datos y sistemas. Vale la pena hacer notar, como hemos explicado anteriormente, que no todo el ransomware viene del correo electrónico. Desactivar los RDP en contacto con internet y aplicar parches a todos los electrodomésticos en contacto con internet con vulnerabilidades como VPN, aplicaciones de intercambio de archivos y servidores de correo son acciones clave que usted puede tomar para proteger su organización.
Con el aumento en los costes del phishing y la evolución imparable de las amenazas, es importante dar un paso atrás de las soluciones puntuales y pensar holísticamente en cómo detener a todas estas amenazas.
Un enfoque integrado ante la protección contra amenazas puede reducir drásticamente los costes
El informe 2021 Cost of Phishing proyecta que los ataques exitosos de phishing continuarán aumentando en tanto que las organizaciones sigan teniendo dificultades para blindar a una creciente fuerza laboral remota debido a la pandemia de COVID-19.
Sin embargo, hay una parte positiva: las investigaciones del instituto Ponemon sugieren que si las organizaciones invierten en programas de capacitación para seguridad y concienciación que ayuden a formar a los empleados para que estos puedan evitar los ataques de phishing, esto puede no solo socavar los esfuerzos de los atacantes, sino también reducir los costes del phishing en general.
A los profesionales de informática y de ciberseguridad encuestados para el estudio Cost of Phishing se les pidió que estimaran el porcentaje de costes de phishing que se podrían reducir mediante los programas de capacitación y concienciación que abordan específicamente a los riesgos de los ataques de phishing sobre el personal. Según sus respuestas, se reportó que el coste del phishing podría reducirse en una media del 53%.
Adicionalmente, las organizaciones necesitan pensar en “capas” para proteger sus estructuras. ¿Qué tan eficaz es su portal de correo electrónico a la hora de evitar que las amenazas alcancen a sus empleados? ¿Hay alguna manera de corregir las amenazas después de su ejecución? ¿Las organizaciones cuentan con autenticación DMARC y monitorización del riesgo de fraude?
Las organizaciones que adoptan un enfoque integrado hacia la protección contra amenazas pueden reducir el riesgo de phishing y a la vez optimizar sus costes operativos. De hecho, este estudio Forrester Total Economic Impact™ muestra cómo una gran operadora de servicios médicos logró reducir en un 50% el riesgo de una filtración de datos, ahorrándose más de 2 millones de dólares al año. También se evitaron la necesidad de hacer recuentos de plantilla mediante automatización para ahorrarse casi 350.000 USD en tres años.
Descargue el informe gratis para más información
Las conclusiones del instituto Ponemon fueron que los impactos de los ataques de phishing sobre la cuenta de resultados para las organizaciones incluyen no solo el dinero que se paga a los atacantes, sino también las pérdidas de productividad de los empleados, la carga adicional para los técnicos de seguridad y el aumento en la probabilidad de interrupciones empresariales y filtraciones de datos.
Para leer las conclusiones detalladas del estudio del Instituto Ponemon, incluyendo sus perspectivas acerca de cuánto les cuestan los ataques de ransomware a las empresas anualmente y datos más detallados acerca de las tendencias de BEC, descargue el informe The 2021 Cost of Phishing Study.