La empresa de seguridad de correo electrónico Egress descubre que el 92 % de las organizaciones han sido víctimas de un ataque de phishing exitoso en sus entornos de Microsoft 365 durante el año pasado, y otro 98 % de los gerentes de seguridad cibernética expresan su frustración con las tecnologías de puerta de enlace de correo electrónico seguro (SEG).
Según Egress’ Informe de riesgos de seguridad del correo electrónico 2023 – que investigó tanto los ataques de phishing entrantes como la pérdida y exfiltración de datos salientes – el 58 % de los gerentes de seguridad cibernética dijeron que las tecnologías SEG tradicionales no fueron efectivas para evitar que los empleados enviaran accidentalmente correos electrónicos a la persona equivocada o con el archivo adjunto incorrecto, mientras que el 53 % admitió que demasiados phishing los ataques eluden su puerta de enlace.
Los datos de Egress muestran que casi la mitad (44 %) de los correos electrónicos de phishing se clasifican como “técnicos”, lo que significa que fueron diseñados específicamente para eludir las defensas basadas en firmas, mientras que más de una cuarta parte (28 %) se enviaron desde dominios legítimos comprometidos. De todos los ataques de apropiación de cuentas, Egress señala que el 85 % comienza con un correo electrónico de phishing.
Otro 91% de los gerentes de seguridad cibernética también notaron que los correos electrónicos salientes filtraron datos, aunque esto se debió a errores o a correr riesgos en lugar de personas maliciosas internas.
Egress dijo que las tres causas principales de estos incidentes son el comportamiento arriesgado de los empleados (es decir, la transferencia de datos a cuentas personales para el trabajo remoto), el error humano (enviar información confidencial por correo electrónico a destinatarios incorrectos) y la filtración de datos en beneficio propio (como llevar datos a un nuevo trabajo).
En general, Egress descubrió que el 86 % de las organizaciones encuestadas se vieron afectadas negativamente por correos electrónicos de phishing, el 54 % sufrió pérdidas financieras por la pérdida de clientes después de un ataque de phishing exitoso y el 40 % de los incidentes de phishing exitosos provocaron que los empleados abandonaran la empresa. Casi todos los gerentes de seguridad cibernética (99 %) dijeron que estaban estresados por la seguridad del correo electrónico.
“La creciente sofisticación de los correos electrónicos de phishing es una gran amenaza para las organizaciones y debe abordarse con urgencia”, dijo Jack Chapman, vicepresidente de inteligencia de amenazas de Egress.
“La detección basada en firmas que usa Microsoft 365 y las puertas de enlace seguras de correo electrónico pueden filtrar muchos correos electrónicos de phishing con archivos adjuntos y enlaces maliciosos conocidos, pero los ciberdelincuentes quieren estar un paso por delante.
“Están evolucionando sus cargas útiles y recurriendo cada vez más a ataques basados en texto que utilizan tácticas de ingeniería social y ataques de una fuente conocida o confiable, como una dirección de correo electrónico comprometida de la cadena de suministro”.
Advirtió además que los ataques de phishing solo se volverán más avanzados a medida que los ciberdelincuentes recurran a tecnologías impulsadas por inteligencia artificial, como los chatbots, para automatizar y refinar sus ataques.
Egress señaló que los tres tipos principales de ataques de phishing de los que las personas fueron víctimas fueron aquellos que involucraron URL maliciosas o archivos adjuntos de malware, ingeniería social y compromisos de la cadena de suministro.
Además de los problemas de SEG, los gerentes también expresaron su preocupación por sus programas de capacitación y concientización sobre seguridad (SA&T), ya que mientras el 98 % lleva a cabo algún tipo de SA&T, el 96 % manifestó una preocupación o limitación al respecto.
Por ejemplo, el 46 % dijo que los empleados se lo saltan lo más rápido posible, el 29 % dijo que los empleados encuentran molesto el entrenamiento y otro 37 % admitió que no confía en que las personas recuerden lo que se les enseñó.
Egress concluyó en su informe que, a pesar de las inversiones en seguridad de correo electrónico tradicional y SA&T, las empresas siguen siendo muy vulnerables a los ataques de phishing, errores humanos y exfiltración de datos.
Recomienda usar soluciones de seguridad de correo electrónico inteligente para aumentar los SEG tradicionales y Microsoft 365, como las soluciones integradas de seguridad de correo electrónico en la nube (ICES) que usan seguridad basada en el comportamiento para detectar anomalías en las acciones de las personas para detectar y detener amenazas de phishing avanzadas.