Sergio Ruiz, CEO de Signaturit
    Sergio Ruiz, CEO de Signaturit

No dejemos avanzar el ‘phishing’

Sergio Ruiz / 18 abr 2023 / 13:17 H.

El cibercrimen es un negocio lucrativo que no deja de aumentar en España. De hecho, según el Sistema Estadístico de Criminalidad (SEC) entre enero y noviembre de 2022 se denunciaron 266.531 delitos en internet, un 22% más que en el mismo periodo del año anterior.

Las empresas, debido a la digitalización sin precedentes, también se enfrentan a este escenario complejo y muy incierto, marcado por la ciberdelincuencia, y en el que muchas han sido objeto de ciberataques. Por ello, las compañías deben destinar esfuerzos para potenciar su estrategia de ciberseguridad.

Entre los ciberataques más comunes, destaca el phishing. Se trata de un tipo de ingeniería social en la que los delincuentes atraen a las víctimas simulando ser, habitualmente, fuentes oficiales para que abran notificaciones electrónicas engañosas que les permite robar datos de tarjetas, credenciales e información bancaria. Los datos que obtienen se venden en los mercados de la red oculta de la deep web a estafadores que los utilizan para suplantar la identidad o utilizar las tarjetas de pago.

Tal y como demuestra el informe de tendencias de amenazas de seguridad cibernética de 2021 de la compañía tecnológica Cisco, al menos una persona hizo clic en un enlace de phishing en alrededor del 86% de las organizaciones. Y, aunque no todos los ciberataques tienen éxito, los que lo consiguen suelen acarrear consecuencias devastadoras tanto para las organizaciones como para sus clientes.

El año pasado, el 54% de los ataques de phishing que tuvieron éxito terminaron en una violación de los datos de los clientes, y el 48% acabó con las credenciales y cuentas comprometidas de la empresa, según el informe State of the Phish Report 2022 de Proofpoint.

En términos numéricos, una investigación de IBM constata que el phishing es clasificado como la segunda causa más costosa de ciberataques y cifra que una brecha causada por el phishing cuesta a las empresas un promedio de 4,65 millones de dólares.

El impacto económico del phishing para las empresas va más allá de los fondos transferidos a los atacantes. Según revela un estudio de Proofpoint y el Instituto Ponemon, el coste económico del daño en sí tan solo representa un 20% del valor total y el 80% restante se debe a la pérdida de productividad y a la reparación del problema.

En esta línea, según el estudio de IBM, las empresas tardan 295 días en identificar y contener la vulneración por phishing. No cabe duda de que los ataques de phishing aumentan la probabilidad de que se produzca una filtración de datos y, por lo tanto, se interrumpa el negocio y acarree pérdidas económicas de grandes dimensiones.

Además de concernir a la productividad y hasta llegar a detener el negocio, las consecuencias de un ataque de phishing también suponen graves daños en los activos intangibles de las empresas, en concreto, en su reputación.

Un ciberataque indudablemente perjudica la imagen de la empresa. La desconfianza hacia la compañía puede llegar a propagarse en especial si los datos de los compradores o clientes se ven afectados. El estado de opinión de los usuarios puede girar en torno a la falta de previsión por parte de la empresa o el desconocimiento de la amenaza.

Asimismo, si la gestión del suceso no es la adecuada, es decir, la organización no adopta las medidas correctas de forma rápida y diligente, sin duda, puede repercutir de forma negativa en la percepción y reputación del negocio. Esta dejación empresarial se puede traducir en daños irreparables y hasta, en el peor de los casos, en el cierre de la empresa.

El aumento de la práctica phishing, así como las consecuencias que conlleva, está exigiendo una mayor labor a los responsables de ciberseguridad en las compañías. Para hacer frente a los ciberataques es imprescindible que las empresas apuesten por talento especializado en este campo. Y, no únicamente es primordial el incremento de la inversión en ciberseguridad, sino también, la formación de los empleados en nociones de seguridad en la red.

Asimismo, las compañías no solo deben contar con el personal capacitado en ciberseguridad y con los trabajadores formados en este campo, sino que también es primordial que dispongan de herramientas que permitan detectar casos de phishing. En este sentido, es de vital importancia contar con un gestor de notificaciones electrónico capaz de eliminar los ataques de phishing gracias a una conexión directa con fuentes de información fehacientes. En concreto, esta aplicación ofrece la posibilidad a la empresa y a sus empleados de configurar los buzones para recibir notificaciones de diferentes sedes electrónicas de diversas administraciones públicas.

El phishing sigue siendo un negocio en plena expansión muy rentable para los ciberdelincuentes y un quebradero de cabeza para las empresas que lo padecen porque es un lastre económico de dimensiones incalculables. Según el estudio de Proofpoint, en los últimos seis años, se ha llegado a cuadruplicar el coste para las organizaciones de este fraude.

Por ello, no cabe duda de que las empresas, teniendo en cuenta el aumento de los ciberataques, necesitan apostar por una estrategia muy bien definida para preservar la seguridad de su compañía, potenciando el talento y la formación de los propios empleados, a la vez que implementan las herramientas especializadas en ciberseguridad. Ya que, de lo contrario, si las compañías no desarrollan una estrategia muy precisa y técnica, el daño que puede ocasionarles no solo se contabilizará en términos económicos sino y, mucho más importante, en términos reputacionales.