Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

El 55% de las empresas se enfrentaron al menos a un ataque de phishing

En la actualidad, muchas empresas cuentan en su plantilla con la figura de un director de compras. Hablamos de un profesional encargado en definir la política de compras de productos y servicios para la empresa. Su desempeño es necesario para conseguir un óptimo desarrollo del negocio, por lo que su tarea es una de las más influyentes en la gestión empresarial.

Dicho esto, nos encontramos ante un perfil clave, directamente relacionado con la continuidad de negocio de la compañía. La persona que desempeñe esta función debe ser consciente de los riesgos que pueden afectar a la continuidad del negocio, entre los que se encuentran aquellos relacionados con la ciberseguridad. Esta persona debe entender que la concienciación en ciberseguridad no es que se haga fundamental, sino que es imprescindible, dado que una mala praxis podría derivar en el cese de actividad de la propia empresa. Los ciberdelincuentes son conocedores de que este colectivo pueden suponer una importante fuente para sus ingresos por lo que centran gran parte de su actividad en realizar ataques dirigidos a este grupo de profesionales, para lo que se valen principalmente de lo que se conoce como estafas de tipo BEC (por sus siglas en inglés, Business Email Compromise) y ataques de suplantación de identidad.

El phishing, una amenaza a la que todos estamos expuestos

En temas de ciberseguridad, la falta de concienciación sobre los riesgos derivados del uso inadecuado de la tecnología por parte de los empleados pone en constante riesgo a las empresas. Este hecho resulta especialmente crítico cuando se habla de profesionales que forman parte de departamentos que pueden tener un impacto muy significativo en la organización, como es el caso del departamento de compras. Por muchas medidas técnicas con las que cuente una empresa, basta con que una persona ejecute un adjunto malicioso para que toda la empresa se vea comprometida. Por ese motivo, el personal del departamento de compras es especialmente susceptible de sufrir casos de phishing, ya que conocen y tienen acceso a datos de la empresa a los que otros profesionales no pueden acceder.

Uno de los métodos de phishing más utilizados es el uso de servicios y sistemas de almacenamiento en la nube para disfrazar los emails de phishing como mensajes auténticos. Independientemente de todo el trabajo en concienciación realizado en torno a los peligros del phishing y las mejores prácticas para hacerle frente, a día de hoy son muchas las compañías que admiten que sus mandos superiores (directores generales, de información, directores comerciales, etc.) enviaron datos confidenciales en respuesta a un ataque de esta índole. Según datos de Kaspersky, en el segundo trimestre de 2019 España fue el sexto país que más ataques de phishing sufrió en el mundo, una lista encabezada por Grecia.

El informe State of the Phish indica que los ciberdelincuentes se valen principalmente de ataques al email corporativo así como a la suplantación de identidad. Dicho informe señala que el 55% de las empresas de todo el mundo se enfrentaron al menos a un ataque de phishing exitoso durante 2019, que el 88% de las mismas informó de ataques de suplantación de identidad, y que el 86% sufrió ataques al email de empresa.

Bajo la creencia errónea "a mí no me va a tocar", el 45% de los trabajadores y profesionales admiten usar contraseñas repetidas para varios servicios, más del 50% no protege adecuadamente sus redes domésticas (en ocasiones, ni ponen contraseña, aunque en ocasiones se llevan trabajo a casa), y el 90% dice utilizar para fines personales dispositivos proporcionados por la empresa. Además, el 32% dice no estar familiarizado con los servicios de redes privadas virtuales (VPN).

Con estos datos, queda claro que los trabajadores son víctimas potenciales. La ingeniería social es el método empleado, así que es imprescindible trabajar en concienciar acerca de los riesgos para ser capaces de reconocerlos y prevenirlos.

La industria se mueve en un entorno peligroso

El cibercrimen y los ciberdelitos arrojan unas cifras preocupantes. Un informe de McAfee señala que el cibercrimen tiene en la actualidad un impacto en la economía mundial de 490.000 millones de euros, y según estimaciones, esto representa unos beneficios mayores que el tráfico de drogas y de armas. La mayoría de estos ataques se realizan de manera masiva e indiscriminada por lo que afectan directamente a pequeñas empresas, lo que supone un impacto irreparable en muchos casos. Y es que, los datos del informe indican que un 60% de las pymes no se acaban de recuperar tras un ciberataque, por lo que terminan cerrando en un plazo de 6 meses tras haberlo sufrido.

El negocio del cibercrimen se ha profesionalizado en los últimos años. Se trata de grupos cuya estrategia es principalmente obtener beneficio económico con el mínimo riesgo posible y el mayor retorno de la inversión, una cuestión por la que además intentan pasar desapercibidos el mayor tiempo posible. La estimación del tiempo que una empresa tarda en darse cuenta de que sus sistemas se han visto comprometidos está entre 49 y 245 días, es decir, mes y medio como estimación más optimista.

En 2017, 978 millones de personas se vieron afectadas por el cibrecrimen de una u otra forma: estafas, suplantación de identidad, infecciones por malware, accesos no autorizados... Para dejar las cifras más claras, es como si todos los ciudadanos de Europa más los de Indonesia hubieran sido víctimas del cibercrimen, alrededor de un 13% de la población mundial. Según datos de la Ertzaintza, las denuncias relacionadas con delitos informáticos en Euskadi pasaron de 9.217 en 2017 a 12.785 en 2018, y a 14.311 en 2019, lo que permite ver la evolución sobre el nivel de afección de la ciudadanía vasca.

Desde la puesta en marcha del BCSC se ha apostado en todo momento por fomentar una sociedad más segura, por lo que se realizan jornadas de concienciación orientadas a diferentes públicos objetivos como son profesionales de entornos IT y OT. Estas jornadas pretenden informar acerca de los riesgos más habituales a los que se enfrentan los usuarios, así como fomentar que se apliquen medidas de protección, hecho que no contribuirá únicamente a mejorar el nivel de resiliencia frente a las ciberamenazas sino que además permitirá a la empresa tener un valor añadido para mantener la capacidad competitiva e innovadora en los diferentes mercados con los que trabaja.

phishing empresa

El personal del departamento de compras es especialmente susceptible de sufrir casos de phishing.

El cibercrimen proporciona unos beneficios mayores que el tráfico de drogas y armas.

La cultura de ciberseguridad es imprescindible para fomentar una sociedad más protegida frente a las ciberamenazas.