El phishing a profundidad: números, estadísticas, datos y reflexiones.

El fraude electrónico a través de correos electrónicos, conocido como “phishing”, es una estrategia de ingeniería social cuyo proceso fraudulento tiene como objetivo adquirir información sensible de la víctima, tal como nombre de usuario, claves, tokens, datos de cuentas o tarjetas de crédito, fingiendo ser una entidad de confianza, tal como un banco o una oficina estatal.

El término phishing proviene de la palabra en inglés “fishing” (pesca) y hace alusión al acto de “pescar” usuarios mediante “anzuelos o carnadas” (trampas) cada vez más sofisticados, para obtener información que facilite la comisión de un fraude o estafa. Cuando la técnica se hace a través de llamadas telefónicas lo llamamos vishing (Voice phishing) y cuando se hace por mensaje de texto, se ha llamado smishing (SMS phishing).

Otro detalle es que es una estrategia de engaño dirigida al ser humano, por lo que; es una gran amenaza desde hace largo tiempo y se ha extendido cada vez más, porque también puede ser el vehículo para el transporte de amenazas exponenciales; como el ransomware u otras formas de programas malignos.

Revisaremos a continuación algunas investigaciones, informes y estadísticas al respecto, poniendo bastantes números en la mesa, así que verán que la evidencia abunda:

• En 2021, la investigación de Tessian descubrió que los colaboradores reciben un promedio de 14 correos electrónicos maliciosos por año. Algunas industrias se vieron particularmente afectadas, y los trabajadores minoristas recibieron un promedio de 49.
• Una investigación de ESET de 2021 encontró un aumento del 7,3 % en los ataques basados en correo electrónico entre mayo y agosto de 2021, la mayoría de los cuales formaban parte de campañas de phishing.
• Otra investigación de 2021, esta vez de IBM confirmó esta tendencia, citando un aumento de 2% en los ataques de phishing entre 2019 y 2020, en parte impulsado por COVID-19 y la incertidumbre en la cadena de suministro.
• El informe de tendencias de amenazas de seguridad cibernética de 2021 de CISCO sugiere que al menos una persona hizo clic en un enlace de phishing en alrededor del 86% de las organizaciones. Los datos de la empresa sugieren que el phishing representa alrededor del 90 % de las filtraciones de datos.
• Igualmente, se establece que hay una distribución desigual en los ataques de phishing a lo largo del año. En el informe de Cisco se descube que el phishing tiende a alcanzar su punto máximo durante las vacaciones, aumentando un 52 % en diciembre.
• Tessian por su parte ha escrito sobre un fenómeno similar que suele ocurrir durante el periodo previo y posterior al Black Friday.
• Verizon aporta que el 96% de los ataques de phishing llegan por correo electrónico. Otro 3% se lleva a cabo a través de sitios web maliciosos y solo un 1% a través del teléfono. El aumento de los ataques de phishing significa que las redes de comunicación por correo electrónico, ahora están plagadas de delitos cibernéticos.
• Una investigación de Symantec sugieren que, a lo largo del año 2020, 1 de cada 4200 correos electrónicos era un correo electrónico de phishing.
• Según Broadcom, cuando se trata de ataques dirigidos, el 65 % de los grupos activos se basó en el spear phishing -dirigido a personas, organizaciones o empresas específicas-, como principal vector de infección. A esto le siguen los sitios web con pozos de agua -Watering Hole, son campañas de ataques dirigidos donde la distribución del APT se realiza a través de una web de confianza que suele ser visitada por los empleados de la empresa o entidad objetivo- con un 23 %, las actualizaciones de software con troyanos representan un 5%, las vulnerabilidades en el servidor web un 2% y dispositivos de almacenamiento de datos aportan un 1%.

• Pero hay más, en 2021 RiskIQ estimó que las empresas de todo el mundo pierden casi $1.8 millones de dólares por minuto debido a la ciberdelincuencia, y que una infracción promedio le cuesta a una empresa $7,2 por minuto.
• Otra investigación de IBM de 2021 sobre el costo de una violación de datos, clasifica las causas de las violaciones de datos según el nivel de costos que imponen a las empresas. De hecho, en esta investigación el phishing es clasificado como la segunda causa más costosa de violaciones de datos. Establece que una brecha causada por el phishing, cuesta a las empresas un promedio de $4,65 millones.
• Según esa misma investigación de IBM, el Business Email Compromise (BEC), otro tipo de phishing mediante el cual los atacantes secuestran o falsifican una cuenta de correo electrónico corporativas legítimas, ocupa el primer lugar y cuesta a las empresas un promedio de $5,01 millones de dólares por infracción.
• Pero esa no es la única forma en que el phishing puede conducir a una filtración costosa, pues los ataques que utilizan credenciales comprometidas se clasificaron como la quinta causa más costosa de una filtración de datos, con un promedio de $4,37 millones. No está por demás decir que la mayoría de las veces las credenciales se comprometen debido al phishing.
• Una investigación de Cofense sugiere que es más probable que los correos electrónicos de phishing contengan un enlace a un sitio web malicioso (38 %) que un archivo adjunto malicioso (36 %).
• Finalmente, el informe de amenazas cibernéticas de 2021 de SonicWall, sugiere que hubo un gran aumento en la cantidad de archivos PDF y archivos de Microsoft Office maliciosos, enviados por correo electrónico entre 2018 y 2020. Sin embargo, el volumen de archivos maliciosos de Office y PDF comenzó a disminuir en fechas recientes, esto debido a que algunos trabajadores volvieron a trabajar en la oficina. Sin embargo, es importante tener en cuenta que, a medida que las empresas impulsan campañas de concienciación y los usuarios desconfían más de abrir archivos de apariencia sospechosa, muchos correos electrónicos maliciosos no contienen un archivo adjunto. De hecho, la investigación de Tessian de 2021 citada supra, encontró que el 76% de los correos electrónicos maliciosos no contenían un archivo adjunto.

Cuando se les preguntó sobre el impacto de los ataques de phishing exitosos, los líderes de seguridad mencionaron las siguientes consecuencias:

• 60% de las organizaciones perdieron datos
• El 52% de las organizaciones vieron comprometidas credenciales, cuentas de usuarios, o Información personal (PII) o empresarial.
• 47% de las organizaciones producto del phishing, fueron infectadas con ransomware
• 29% de las organizaciones producto del phishing, fueron infectadas con malware
• 18% de las organizaciones experimentaron pérdidas financieras.

Estos números seguirán aumentando, pues según el Informe de tendencias de actividad de phishing del Grupo de trabajo antiphishing (Anti-Phishing Working Group’s), la pérdida promedio de transferencias bancarias de los ataques BEC en el segundo trimestre de 2020 fue de $80,183, lo que supone un aumento de $54,000 respecto al primer trimestre de ese mismo año.

En meses recientes los estafadores tuvieron su día explotando el miedo y la incertidumbre que surgieron como resultado de COVID-19. De hecho, Crowdstrike identificó los temas más comunes en correos electrónicos de phishing relacionados con COVID:

• Explotación de personas que buscan detalles sobre el seguimiento, las pruebas y el tratamiento de enfermedades.
• Suplantación de identidad de organismos médicos, incluida la Organización Mundial de la Salud (OMS) y los Centros para el Control y la Prevención de Enfermedades (CDC) de EEUU.
• Paquetes de ayuda financiera y estímulo del gobierno.
• Ataques personalizados contra empleados que trabajan desde casa.
• Estafas que ofrecen equipo de protección personal (EPP).
• Correos a empresas sobre entregas, facturas y órdenes de compra relacionados con COVID-19.

En cierre, los seres humanos deberíamos ser la última línea de defensa, pero no del todo. Las organizaciones deben invertir en tecnologías y soluciones que mitiguen los ataques de phishing exitosos.

Pero aquí nos surge una enorme duda, dado el éxito y la frecuencia de los ataques de phishing, los filtros de spam, el software antivirus y otras soluciones de seguridad ¿ya no son suficientes?