La incidencia de ciberataques, especialmente de ataques de phishing, está en aumento globalmente, afectando especialmente a las empresas españolas, que enfrentan este problema con presupuestos de seguridad insuficientes.
En España, el coste promedio de los ciberataques aumentó en un 43% en 2022, marcando un claro incremento en las vulnerabilidades de seguridad, especialmente en las pequeñas y medianas empresas, que son los objetivos principales de los atacantes.
Un estudio de Kaspersky confirma que un 16% de los ciberataques a empresas españolas se explican por enviar información confidencial a direcciones a personales de correo electrónico.
Los datos muestran la cruda realidad
Tal y como ya comentamos en el blog de Zepo, Google avisó a España de graves problemas con la ciberseguridad empresarial. La compañía americana señaló a las PYMES españolas como el principal objetivo de los ciberdelincuentes, debido a su capacidad limitada para recuperarse de un ciberataque.
En este sentido, el 60% de las PYMES españolas se ven obligadas a cesar la actividad en los 6 meses siguientes al ciberataque, lo que explica la vulnerabilidad del tejido empresarial español, compuesto en un 99% por empresas pequeñas y medianas.
Los números hablan por sí solos: aquellas empresas con más de 1.000 empleados han experimentado un aumento del 34% en el coste medio de los ciberataques, pasando de 248.568€ en 2021 a 333.939€ en 2022.
Sin embargo, las más afectadas por este incremento fueron las empresas con 10 a 49 empleados, cuyo coste medio ha crecido un 49,3%, alcanzando los 23.374€ en 2022, en comparación con los 15.654€ de 2021.
Los empleados, el eslabón más débil
En Zepo incidimos mucho en que los trabajadores de una organización constituyen el eslabón más débil de la cadena de ciberseguridad por un motivo realmente fácil de entender: la manipulación social.
Los seres humanos basamos nuestro comportamiento en las emociones y en cómo reaccionamos a ellas, lo que permite a los ciberdelincuentes manipularnos, lo que se conoce como ingeniería social.
Por consiguiente, resulta crucial la participación de toda la empresa en cuanto a ciberseguridad se refiere. De esta manera, los directivos deben ser los primeros en actualizarse.
Alrededor de un tercio de estos líderes enfrentan retos al discutir sobre estrategias de ciberseguridad. Además, el 25% no comprende la jerga y las tecnologías empleadas por sus departamentos de tecnología de la información.
Seguidamente, han de ser el resto de empleados los que deben estar concienciados y formados en ciberseguridad, no tanto desde un perfil técnico, sino en el sentido de saber reconocer las principales ciberamenazas y saber cómo actuar con cada una de ellas.
Todos han de involucrase en la creación de una cultura de ciberseguridad sólida: desde directivos hasta el personal de TI
Una investigación de Kaspersky revela que las violaciones de las políticas de seguridad de la información por parte del personal constituyen un desafío significativo para las empresas en España.
Tanto los trabajadores de otros departamentos como los de tecnologías de la información han cometido infracciones conscientes a las normativas de ciberseguridad en los últimos dos años.
De igual forma, estas violaciones por parte de los expertos en seguridad informática resultaron en el 5% de los incidentes cibernéticos, mientras que otros profesionales de TI y empleados no especializados en TI contribuyeron al 8% y al 2% de los incidentes, respectivamente.
Según Kaspersky, una preocupación recurrente es la tendencia de los empleados a ignorar las prohibiciones y a no adherirse a las prácticas de seguridad requeridas. En los últimos dos años, el 8% de los incidentes cibernéticos se debieron al uso de contraseñas débiles o al cambio inadecuado de las mismas.
Además, un 13% de las brechas en la ciberseguridad se relacionaron con empleados accediendo a sitios web no seguros, y el 16% de las empresas indicaron haber enfrentado incidentes cibernéticos debido a que los empleados no realizaron actualizaciones necesarias de software o aplicaciones a tiempo.
Ataques de phishing, la principal vía de entrada para los ciberdelincuentes
En consecuencia, un 18% de las empresas españolas experimentaron incidentes de ciberseguridad debido a que su personal utilizó métodos no aprobados para compartir datos o accedió a la información a través de dispositivos no autorizados.
Además, un 16% de estas organizaciones enfrentaron problemas de seguridad por empleados que enviaron datos corporativos a sus correos electrónicos personales, comúnmente llamados ataques de phishing. También se reportó la instalación de software no autorizado por los departamentos de TI en un 8% de las empresas.
En un contexto más amplio, a nivel internacional, las principales causas de vulnerabilidades de seguridad incluyen la descarga de malware por parte de los empleados (28%), el uso de contraseñas inseguras o no actualizadas regularmente (25%), el acceso a sitios web peligrosos (24%) y la utilización de plataformas no autorizadas para la transferencia de datos (24%).
La importancia de construir un firewall humano
Ciberataques como el spam, pop-ups, software dañino y ataques de phishing utilizan elementos tecnológicos y psicológicos, como la tendencia a ayudar a los demás, el acatamiento de la autoridad o el miedo a perder servicios, para explotar vulnerabilidades humanas.
La defensa más efectiva contra estos ataques es fomentar una cultura de ciberseguridad robusta, mediante educación y sensibilización a todos los empleados, empezando por los equipos directivos para crear un robusto firewall humano.
Sin importar los avances tecnológicos, estos esfuerzos pueden ser inútiles si un atacante es capaz de extraer información vital con un simple mensaje de correo electrónico haciéndose pasar por el Director Ejecutivo el Director Financiero de la empresa (la llamada estafa del CEO).
De esta manera, la variedad de estrategias utilizadas por los atacantes incluye desde métodos sofisticados hasta tácticas que apelan a la manipulación psicológica.
Por consiguiente, la reducción de estos riesgos depende de la dedicación de los empleados a las prácticas de seguridad digital. Es esencial que todos los miembros de la organización entiendan y adopten una cultura sólida de ciberseguridad para establecer un firewall humano efectivo contra los ciberataques.
Con Zepo, tus empleados sabrán reconocer y evitar ciberataques, ahorrando inmensos costes para tu empresa
Da de alta a tus empleados.
Puedes hacerlo de forma manual o a través de un CSV.
Puedes crear grupos de empleados en función del grado de conocimiento y concienciación que tengan sobre los ciberataques.
Lanza ataques y pon a prueba a tus equipos.
Podrás comprobar en tiempo real quiénes caen en la trampa.
Creamos plantillas personalizadas para tus campañas, en función de los bancos y proveedores con los que trabajáis. Nadie sabrá que es una simulación.
Fórmales en prevención de ciberataques.
Crea cursos personalizados en materia de prevención. 3 minutos al mes.
Basta de cursos aburridos y obligatorios. Con Zepo, aprenderás y te divertirás a la vez.