Según el Data Breach Investigation Report (DBIR), las estafas Business Email Compromise (BEC) representan la principal ciberamenaza para las empresas en la actualidad. Y los datos del reciente informe del Internet Crime Complaint Center del FBI lo corroboran. El FBI descubrió que el año pasado las empresas perdieron 2700 millones de dólares solo por estafas BEC.
El conjunto de datos del informe DBIR de Verizon 2023 analizó 16 312 incidentes de seguridad incidentes ocurridos en más de 20 sectores de todo el mundo. De esos incidentes, Verizon confirmó que 5199 eran fugas de datos.
Estas son las tres principales conclusiones el último informe DBIR de Verizon, que ofrece información sobre BEC, ingeniería social y otras tendencias del sector
Conclusión n.º 1: Aumentan los ataques BEC mediante ingeniería social
En los últimos años, los ataques BEC mediante ingeniería social no han dejado de aumentar. El informe DBIR 2023 destaca que esta tendencia no muestra signos de desaceleración. De hecho, los ataques BEC se duplicaron el año pasado, representando casi el 60 % de los incidentes de ingeniería social.
Un ataque BEC implica que un actor de amenazas utiliza el correo electrónico o una campaña de correo electrónico para robar dinero u obtener acceso a información confidencial de la empresa. Los ataques BEC no suelen utilizar enlaces a URL maliciosas ni archivos adjuntos para enviar sus peligrosas payloads (cargas útiles). Esto hace que sean extremadamente difíciles de detectar, mitigar y eliminar con simples soluciones de seguridad del correo electrónico tipo add-on. Y por eso las empresas son vulnerables a este tipo de ataques.
Los ciberdelincuentes disponen de una amplia gama de herramientas y métodos para atacar a las empresas. Sin embargo, tienden a preferir un enfoque “probado y comprobado”: la ingeniería social. Los ataques de ingeniería social explotan la tendencia de los seres humanos a confiar los unos en los otros. Los atacantes manipulan, generan confianza y crean una sensación de urgencia para engañar a los usuarios para que cometan errores de seguridad o faciliten datos confidenciales.
Los ataques de ingeniería social adoptan diversas formas, Pero siempre implican interactuar con personas. Los ataques más comunes son:
- Baiting
- Scareware
- Pretextar (Pretexting)
- Phishing
- Phishing selectivo
El año pasado, Verizon descubrió que los ataques BEC basados en pretexting casi se han duplicado en todo el mundo. El pretexting es una de las tácticas de ingeniería social más populares. En este tipo de ataque, un ciberdelincuente consigue que un usuario revele información sensible mediante una serie de mentiras hábilmente elaboradas.
Esta estafa suele comenzar con un atacante que se hace pasar por un ejecutivo, compañero de trabajo u otra persona autorizada que necesita información sensible del usuario para realizar una tarea específica o crítica. El atacante empieza a establecer confianza con el usuario haciéndole preguntas personales que confirman su identidad, como su número de documento de identidad, su dirección personal o su número de teléfono.
El informe DBIR de Verizon señala que estos ataques representan actualmente más del 50 % de todos los incidentes de ingeniería social. La pérdida media por cada incidente supera los 50 000 dólares. Dato relacionado: el 94,6 % de los ataques tienen motivaciones económicas.
Pretexting incidents over time, from 2016-2023 (Incidentes de pretexting a lo largo del tiempo, entre 2016 y 2023). (Fuente: Informe DBIR 2023 de Verizon.)
Una de las razones por las que los actores de amenazas tienen tanto éxito con el pretexting es que las empresas no están preparadas para detener este tipo de ataques. Muchas soluciones complementarias (add-on) de seguridad del correo electrónico no son muy eficaces a la hora de identificar, bloquear y corregir los mensajes de correo electrónico BEC. Y eso incluye las amenazas de proveedores, la suplantación de identidad y los ataques por teléfono o TOAD.
Conclusión n.º 2. Los actores de amenazas siguen atacando y aprovechándose de las personas
Los actores de amenazas no quieren entrar en su empresa, quieren iniciar sesión en ella. Esta es la principal razón por la que atacan y se aprovechan del eslabón más débil de su infraestructura de seguridad: sus empleados.
Mientras sus profesionales de la seguridad y riesgos construyen y despliegan defensas de seguridad más complejas, sus empleados sufren un asedio permanente. Los usuarios tienen que acertar el 100 % de las veces al enfrentarse a distintos tipos de ataques por correo electrónico. Un paso en falso y su empresa podría protagonizar el próximo titular de fuga de datos.
El año pasado, en la mayoría de las fugas de datos intervino el factor humano o algún tipo de error humano, uso indebido de privilegios, credenciales comprometidas o personas que cayeron víctimas de ataques de ingeniería social. Verizon informa de que en el 74 % de las fugas de datos interviene el factor humano.
En la mayoría de las fugas de datos (74 %) interviene el factor humano. (Fuente: Informe DBIR 2023 de Verizon.)
Proofpoint destaca respecto a las meras soluciones de correo electrónico complementarias (add-on). Contamos con más de 20 años de experiencia en el análisis contextual para identificar amenazas, lo que significa que podemos detenerlas rápidamente. Nuestros motores de detección de amenazas utilizan inteligencia artificial y aprendizaje automático para analizar los datos que recopilamos de nuestras implantaciones en todo el mundo a escala masiva. Diariamente analizamos 2600 millones de mensajes de correo electrónico, 49 000 millones de URL, 1900 millones de archivos adjuntos, 28 millones de cuentas en la nube, 1700 millones de SMS sospechosos y mucho más. En conjunto, esto supone billones de puntos de datos en todos los canales digitales. Como resultado, somos capaces de identificar las amenazas más avanzadas del correo electrónico de hoy en día, incluyendo las estafas BEC, los ataques de ingeniería social e las identidades comprometidas.
El reciente informe de Proofpoint El factor humano 2023 confirma las conclusiones de Verizon de que tenemos una “crisis de identidad”. Durante la investigación para el informe El factor humano de este año, descubrimos que hasta el “40 % de identidades de administrador en la sombra pueden explotarse en un solo paso, como restablecer una contraseña de dominio para elevar los privilegios. Y se descubrió que el 13 % de los administradores en la sombra ya tenían privilegios de administrador de dominio”.
Estos resultados muestran que existe una necesidad crítica de medidas de seguridad sólidas (como la formación de los usuarios y los controles de acceso) y otras estrategias proactivas para detectar y mitigar las amenazas. Todo ello puede ayudar a mantener a las empresas a salvo de fugas de datos, accesos no autorizados y daños financieros y de reputación.
Conclusión n.º 3. Las credenciales robadas y el ransomware impulsan el acceso de los atacantes
Los ciberdelincuentes recurren en gran medida a credenciales robadas o comprometidas porque son fáciles de obtener. Pueden comprarse en la Web oscura o conseguirse gracias a una higiene deficiente de las contraseñas de los usuarios, incluida la reutilización de contraseñas en múltiples aplicaciones (tanto empresariales como personales).
La cuestión es que los actores de amenazas quieren tomar el camino más fácil para acceder a la red de su empresa. Y ese camino suele consistir en explotar credenciales robadas. El informe DBIR de Verizon señala que las credenciales robadas o comprometidas están en el origen de algo más del 50 % de todas las fugas de datos.
Las credenciales robadas son el principal método que utilizan los actores de amenazas para acceder a una empresa. (Fuente: Informe DBIR 2023 de Verizon.)
Las conclusiones del último informe DBIR de Verizon muestran que el ransomware continúa su reinado como uno de los principales tipos de acción presentes en las fugas de datos. Según el informe, el ransomware es responsable del 24 % de todas las fugas de datos.
El ransomware es responsable del 24 % de todas las fugas de datos. (Fuente: Informe DBIR 2023 de Verizon.)
Informe 2023 State of the Phish de Proofpoint Nuestra investigación reveló que las infecciones por ransomware están muy extendidas entre empresas de todos los tamaños y sectores. El año pasado, el ransomware fue tan utilizado y eficaz que el 90 % de las empresas afectadas por ransomware tenían una póliza de ciberseguro. Y el 64 % de los infectados por ransomware pagaron un rescate.
Lo más importante es que las amenazas utilizan un potente método de doble golpe (credenciales robadas y ransomware) para acceder a las aplicaciones, sistemas y servicios de las empresas.
Proteja su empresa
Proofpoint proporciona una solución de seguridad de correo electrónico moderna e integral para ayudar a su empresa a hacer frente a amenazas sofisticadas como las estafas BEC, la ingeniería social y los ataques de ransomware. Ha llegado el momento de romper la cadena de ataque y proteger mejor a sus empleados y sus datos. Visite nuestra página sobre protección frente a las estafas por correo electrónico para obtener más información. También puede realizar gratuitamente nuestra evaluación rápida de riesgos para conocer el grado de preparación de su empresa ante este tipo de ataques.
Nunca deje de aprender
El panorama actual de las amenazas es dinámico y complejo. Para seguir el ritmo, debe estar al tanto de las últimas investigaciones del sector. Por lo tanto, además de revisar el último informe DBIR de Verizon, le animamos a consultar estos recursos de Proofpoint.
- Proofpoint incluida entre los líderes del informe The Forrester Wave:Enterprise Email Security, 2.º trimestre de 2023
- Informe Voice of the CISO 2023 de Proofpoint
- Informe El factor humano 2023 de Proofpoint
- Informe State of the Phish 2023 de Proofpoint
Póngase en contacto con nosotros para obtener más información sobre cómo Proofpoint puede ayudarla a romper la cadena de ataques.