En los últimos años los sitios phishing detectados en todo el mundo rondaban los 200.000, a finales de 2020 alcanzaron los 637.000, y a principios de este año todavía superaban el medio millón. Asimismo, el pasado año los ataques de ransomware superaron por poco los 300 millones en todo el mundo, un 61% más que en etapa pre-COVID. Según una investigación de Bitsight con datos de la Universidad de Cambridge, el 54% de los ciberataques denunciados por empresas de todo el mundo durante 2020 fue causado por ransomware
¿Por qué insisten los delincuentes en estas estrategias basadas en el engaño? En primer lugar, porque son muy baratas. Un malware de este tipo se puede contratar por varios cientos de dólares, o incluso se puede adquirir bajo un esquema de suscripción que incluye servidores y soporte. Y, en segundo lugar, porque son muy efectivas al ir dirigidas al eslabón más débil de las compañías, las personas.
De acuerdo con un estudio de Ernst & Young, más del 90% de incidentes de ciberseguridad tiene su origen en un error humano. Los delincuentes explotan más las vulnerabilidades humanas que las de los sistemas informáticos y aprovechan lo que los expertos llaman sesgos cognitivos. Atajos mentales que tomamos de forma irreflexiva y que hace que, por ejemplo, abramos un correo o pinchemos en un enlace a WhatsApp simplemente porque otros compañeros o amigos lo están haciendo y no queremos quedarnos fuera de la conversación.
Según reflejan algunos estudios e investigaciones, las personas tomamos alrededor de 35.000 decisiones de media al día, de las cuales solo 91 son conscientes. El resto las toma nuestro cerebro obedeciendo a estos sesgos cognitivos. Esta forma de actuar no es una anomalía, sino que forma parte de la naturaleza humana y de nuestra evolución como especie. Por eso, tendremos que convivir con ellos, aunque dominándolos en la medida de lo posible.
Los delincuentes de Internet tienen claramente en cuenta estas flaquezas y cuando lanzan un ataque suelen haber estudiado antes cómo se comportan y trabajan los empleados y las personas a las que va dirigido. De ello depende su éxito.
España es el tercer país con más riesgo de sufrir ciberataques
Aunque la pandemia ha supuesto grandes avances para las organizaciones, también ha aumentado su exposición a los ciberataques. Los ciberdelincuentes han aprovechado la situación generada por la crisis sanitaria, con la implementación del teletrabajo y el mayor uso de los dispositivos móviles, por ejemplo, para aumentar las amenazas y, en definitiva, para realizar ataques de ingeniería social.
El 96% de las compañías aseguran que ajustarán su estrategia de seguridad debido al coronavirus
Esta situación ha generado que más de la mitad de los encuestados sea ahora propenso a tener en cuenta este aspecto en cada decisión empresarial, tal y como reconoce el informe “Digital Trust Survey 2021”, elaborado por PwC, lo que supone un 25% sobre la encuesta realizada el año anterior.
La ciberseguridad ha pasado así a estar en la agenda de las compañías privadas y de las administraciones públicas. Tal es así que la hoja de ruta de la recuperación pos-COVID-19, que en la Unión Europea se ha dibujado a través del Fondo de Recuperación Europeo, también conocido como Next Generation EU, otorga un papel relevante en esta cuestión. En el caso español, el Plan de Recuperación, Transformación y Resiliencia señala que el país destinará a la ciberseguridad una inversión de 450 millones de euros procedentes del fondo comunitario.
Las amenazas de phishing, las más comunes
Phishing, smishing, vishing,… Estos son solo algunos de los fraudes cibernéticos más frecuentes. Pero todos ellos tienen la misma motivación, intentar engañar al usuario. De forma general, el mundo se enfrenta a 100.000 sitios web y 10.000 archivos maliciosos al día, según Check Point. Pero la gran mayoría de ciberataques comienzan en forma phishing, es decir, combinan varios ataques para obtener información y construir un perfil de la víctima.
Precisamente por ello en nuestro post de Instagram y Facebook te hablábamos de las amenazas phishing y ransomware, porque son las más comunes actualmente. En cuanto a los ataques ransomware, una nueva organización se convierte en víctima cada 10 segundos en todo el mundo.
Es necesario aumentar la cultura de ciberseguridad en las empresas
Las compañías tienen una nueva cuenta pendiente relacionada con la ciberseguridad: aumentar la cultura en esta materia. El informe del estado de cultura de ciberseguridad entorno al mundo empresarial, elaborado por PwC, cuantifica que el nivel de cultura medio en 2,8 puntos sobre un rango de valores de uno a cinco, lo que implica que existe un margen de mejora importante en la actualidad.
“El tema de la ciberseguridad se debería dar como formación en los colegios y en las universidades, ya que actualmente todo el mundo utiliza la tecnología” Xavier Gracia, de Deloitte.
Según el mismo estudio, alrededor del 95% de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por desconocimiento o por error. Precisamente, la cultura de la ciberseguridad trata de que las personas se conviertan en cortafuegos humanos contra los ciberataques y los riesgos y las amenazas del día a día.