Un 47% de los empleados de esa área han sido afectados por simulaciones de phishing, seguidos por un 28% en TI y un 19% en Recursos Humanos, de acuerdo a un relevamiento de ZULA Ciberseguridad. El sector de salud es el más afectado, con un 46% de sus empleados cayendo en estas trampas. Los jóvenes son más vulnerables a los ataques, desafiando la creencia de que los adultos mayores son los más propensos.
Los ciberataques, tanto a personas como empresas, vienen aumentando de manera exponencial, a medida que se digitaliza la economía y se utiliza de manera más sofisticada la IA para ese fin. Tal es así que en 2024 ya se registra un 70% más de fraudes que en el año anterior.
Entre ellos, uno de los más habituales es el phishing, que representa una amenaza significativa para la seguridad de las empresas.
El phishing se basa en la suplantación de identidad, donde los ciberdelincuentes envían correos electrónicos que aparentan provenir de fuentes confiables, como bancos o servicios en línea. Estos mensajes suelen transmitir un sentido de urgencia, solicitando acciones rápidas que comprometen la seguridad del receptor. Con enlaces falsos que redirigen a sitios maliciosos y solicitudes de información confidencial, los atacantes buscan obtener datos sensibles que pueden ser utilizados para fraudes financieros.
Administración, a la cabeza
De acuerdo a un relevamiento entre más de 350.000 registros de simulaciones de phishing, llevado a cabo por ZULA Ciberseguridad, el área de las empresas más sensible a los ataques es el de Administración y Finanzas, donde el 47% de las acciones han tenido incidencia.
Se trata, particularmente, de un área donde se maneja información crítica que, si se ve comprometida, puede tener repercusiones financieras devastadoras.
En segundo lugar, el 28% de los ataques efectivos se han registrado en el área de Tecnologías de la Información (TI). Este dato desafía la creencia común de que el personal técnico está a salvo de tales amenazas.
En tercer lugar, el 19% impacta a Recursos Humanos, que frecuentemente maneja datos sensibles de empleados y candidatos. El resto de las áreas han tenido una incidencia menor o, eventualmente, una representación más chica en las simulaciones.
¿Cómo se registraron estos datos? A través de simulaciones de correos que imitaron comunicaciones legítimas, creando templates basados en herramientas que los empleados usen en la empresa y también de servicios (luz, gas, agua) u otros populares como streaming, mercado libre, amazon, etc, evaluando la reacción de los mismos.
Industrias más riesgosas
Al desglosar los resultados y cruzarlos por industria, se puede ver que el sector de salud se destaca como el más vulnerable, con un 46% de los colaboradores que cayeron en simulaciones de phishing.
A continuación se ubican los retailers, que representan un 31% de los incidentes, y el sector tecnológico, que muestra un 19% de empleados afectados, a pesar de que, como se mencionó, pareciera que están menos expuestos por conocer mejor las herramientas digitales.
Jóvenes y capacitación
Aunque existe una percepción general de que los adultos mayores son las principales víctimas del phishing, los datos de este estudio revelan una realidad más compleja. Los jóvenes, quienes sienten una falsa sensación de invulnerabilidad debido a su familiaridad con la tecnología, se convierten en objetivos fáciles para los atacantes.
Esta tendencia pone de manifiesto la necesidad de enfocarse en la educación cibernética para todos los grupos etarios, particularmente en aquellos que suelen subestimar el riesgo.
Las empresas deben actuar con rapidez y determinación para mitigar estos riesgos. La implementación de medidas preventivas es crucial. Algunas de las estrategias recomendadas incluyen:
-Capacitación Continua: Educar a los empleados sobre cómo identificar correos electrónicos fraudulentos es fundamental. Las sesiones de formación deben ser prácticas, dinámicas y atractivas para mantener el interés y fomentar la participación.
- Autenticación Multifactor (MFA): Incorporar esta capa adicional de seguridad puede proteger las cuentas de los empleados, incluso si sus credenciales son comprometidas.
- Filtros Antispam y Detección de Phishing: Utilizar tecnologías avanzadas para identificar y bloquear comunicaciones sospechosas antes de que lleguen a los usuarios finales.
- Verificación de Certificados SSL: Asegurarse de que los sitios web que requieren datos sensibles utilicen conexiones seguras (https://) para proteger la información de los empleados.
Falta cultura
Además, es vital fomentar una Cultura Cibersegura dentro de las organizaciones. “Cada empleado debe entender que su comportamiento impacta directamente en la seguridad general de la empresa. Las campañas de concientización deben ser variadas y atractivas, combinando charlas con expertos, recursos interactivos como juegos y simulaciones, y materiales informativos visuales”, señaló Alan Burastero, CEO de ZULA.
La infoxicación, o sobrecarga de información, también es un desafío a superar. Las charlas aburridas y los correos informativos sin enfoque práctico no generan el impacto necesario. Por lo tanto, un enfoque integral y dinámico es clave para fomentar un entorno laboral más seguro.
A medida que los ataques de phishing continúan en aumento, resulta esencial que las empresas no solo reconozcan la magnitud del problema, sino que también tomen medidas proactivas para protegerse. De esa manera las organizaciones pueden reducir significativamente su vulnerabilidad a este tipo de ciberataques.