¿Por qué los CEOs también deben preocuparse por el phishing?News America Digital30/03/2022Atrás quedaron los días en los que la ciberseguridad era un problema de algunos pocos miembros del equipo de tecnología. La mejor manera de entenderlo es pensar qué áreas y roles dentro de las empresas deberían reubicar su foco si uno de estos ciberataques lograra conseguir su objetivo. ¿Qué sucedería con los responsables de marketing? Sería una verdadera pesadilla para quienes intentan construir reputación, buen nombre, confianza y credibilidad entre usuarios o clientes. Los miembros del departamento de finanzas, por su parte, son cruciales al tener que lidiar con ransomwares.Hay varios hitos relevantes para entender por qué el phishing es importante para los CEOs: por ejemplo, la creciente amenaza de estos ataques, el impacto de la pandemia en la manera de gestionar el trabajo, la cultura organizacional y la participación activa de los colaboradores.En el último año, la industria vio un aumento en ataques de ciberseguridad. Según un estudio interno de Microsoft se ha reportado un 300% de crecimiento en ataques de robo de identidad comparados con 2020, y los ataques a las contraseñas siguen siendo -por amplia mayoría- los más comunes. También se sofisticaron los delitos basados en el phishing de URLs, al cambiar la manera en la que los criminales arman las campañas, la cantidad de dinero exigido y su recolección.Los ataques a través de email, como phishing de contraseñas para servicios en la nube, también se expandieron en número y complejidad.Según el Microsoft Digital Defense Report de octubre 2021 el phishing es el tipo de “malicious email” más expandido. Los atacantes engañan a los individuos y logran que compartan información sensible como usuarios y contraseñas. El número de emails con phishing observados en el flujo de correo global de Microsoft Exchange aumentó durante el período comprendido entre junio de 2020 y junio de 2021.Hubo un aumento en noviembre, posiblemente relacionado con los emails con temática navideña, y una disminución durante las vacaciones de invierno en Estados Unidos, lo que podría indicar que los atacantes envían menos mensajes cuando la mayoría de la gente no está trabajando.Los ataques de phishing no son únicamente más frecuentes, sino cada vez más relevantes en quienes toman decisiones en las grandes compañías. La información viene de nuestra propia investigación: Microsoft encuestó a casi 800 líderes de empresas (de más de 500 empleados) de alrededor del mundo para entender su visión con respecto a las amenazas que crecieron en la pandemia, las implicancias para los presupuestos y contrataciones y cómo piensan que el Covid19 puede impactar la ciberseguridad a largo plazo. ¿El resultado?.Una alarmante cantidad de negocios es impactada por estafas de phishing, falsos presupuestos de seguridad o un incremento en contrataciones laborales, en respuesta a la pandemia. Como respuesta, habrá una inversión significativa en tecnologías basadas en la nube y estructuras como la de Zero Trust.Prepandemia, gran parte del foco estaba en la presencialidad, como los accesos a los edificios u oficinas de la compañía, los dispositivos de la empresa -entre otros ejemplos-, y alcanzaba con cuidarse con un simple “usuario y contraseña”. Es por eso que la mayor inversión en seguridad durante el último tiempo, según el 20% de los encuestados, fue en la autenticación de múltiples factores.¿Pero por qué poner al phishing en el centro? El phishing es la amenaza que representa el mayor riesgo para las empresas, el 90% de los entrevistados confirmó que ha afectado a su organización. Más de la mitad dijo que clickear en esos emails era el comportamiento de mayor riesgo, y el 28% admitió que los atacantes habían tenido éxito. Es importante destacar que fueron aún más frecuentes (36%) en organizaciones que tienen sus recursos físicos en vez de estar basados en la nube.Errar es humano, es por ello que prepararse es la mejor prevención contra una amenaza que aumenta año a año. El dato es fundamental para que los Chief Information Security Officers (CISO) redirijan sus esfuerzos: es natural querer mejorar sistemas y estrategias por sobre capacitar a las personas, pero nuestra experiencia sugiere que la cultura organizacional es clave para mantener la seguridad. Más del 99% de los emails que distribuyeron malware entre 2018 y 2019 requerían de interacción humana -como clickear un link, abrir un documento, aceptar advertencias de seguridad o completar alguna tarea- para comprometer a la organización.Para cerrar, nos gustaría insistir con un concepto ya conocido: el de “People first”, las personas primero. Una cultura de ciberseguridad efectiva significa que cada individuo haya sido empoderado y entrenado para entender las amenazas a las que se enfrenta, implementar mejores prácticas y reducir los riesgos. Hacer todo esto realidad es una tarea de los C-levels en las compañías. Crear una cultura de seguridad eficiente y sólida es poner a nuestra gente primero. Involucra comunicarse con cada uno de nuestros empleados de manera comprensiva, con un lenguaje entendible, generar conciencia y brindar capacitaciones. Estos conceptos han sido la base de nuestro último evento sobre seguridad, Security Summit: Redefiniendo estrategias para el trabajo híbrido. Si te interesa ver el evento on demand y conocer las últimas tendencias de ciberseguridad de la mano de nuestros especialistas, el rol crítico de la confianza cero como estrategia de seguridad el mundo híbrido y mucho más, puedes hacer click aquí.Tal como dijo Bret Arsenault, nuestro Corporate Vice President (CVP) y CISO: “Es importante promover los beneficios para los usuarios desde el comienzo (…). Cuando la gente ve que nuestros esfuerzos hacen que su experiencia mejore, es más fácil que participen con entusiasmo”. No se podría resumir mejor.¿Te interesó este artículo? Te invitamos a descubrir más en esta infografía.