Es un hecho: el correo electrónico se ha convertido en uno de los principales vectores de ciberataque contra empresas en la actualidad. Un 87% de los profesionales de seguridad TI ha admitido que su compañía se ha enfrentado a una amenaza a través de email en el último año, de acuerdo con el reciente informe 2018 Email Security Trends de Barracuda. Esto ha provocado un aumento en la preocupación de tres de cada cuatro de estos profesionales sobre este factor de ataque con respecto a hace cinco años.

Esta preocupación no viene de la nada. De acuerdo con el citado estudio, un 81% de los responsables de seguridad TI empresariales ha detectado un incremento en el número de casos, comparado con la situación de hace un año. Además, un cuarto de los profesionales que admiten esta circunstancia califica de “drástico” este crecimiento.

Pero, ¿por qué crece el volumen de actividad de los ciberataques a través del email? Al igual que en otros muchos tipos de amenaza, el error humano está detrás de su éxito: ya sea por tener poco tiempo para pararse a evaluar la autenticidad del correo recibido o por nuestra innata tendencia a la curiosidad o a la compasión, mecanismos como la ingeniería social cumplen su cometido. Así lo admite la inmensa mayoría de los profesionales TI encuestados, que señala al “pobre comportamiento de los empleados” como su principal preocupación ante estas ciberamenazas.

El coste de mitigación crece drásticamente

Las consecuencias económicas de estos ataques están también en aumento. El 81% de los responsables de ciberseguridad confirman el dato, recalcando, en el 22% de los casos, que los costes derivados de mitigar una brecha de seguridad han crecido de forma muy significativa.

Dentro de los distintos tipos de acciones maliciosas vía email que pueden perjudicar económicamente a una empresa, el robo de información, el ransomware y las estafas BEC son los más costosos. Es decir, nos encontramos por un lado con ciberataques que buscan obtener lucro a través de la información de la compañía atacada, ya sea a través de su venta o de su secuestro a cambio de una compensación económica; y por otro, a través del engaño a un empleado con acceso a las cuentas de la organización para que realice una transferencia a los cibercriminales sin ser consciente de ello. Sobre este último tipo de estafa, las Business Email Compromise, hemos recordado en un post anterior que se ha convertido en el cibercrimen más lucrativo de 2017 en EE.UU.

¿Cómo hago frente a esta amenaza en mi empresa?

Como es obvio, la presencia del factor humano dentro de las claves del éxito de los ciberataques a través del correo electrónico obliga a las compañías a formar y concienciar a los trabajadores de todos los niveles sobre la importancia de prestar atención a muchos detalles de los emails sospechosos recibidos, como el tipo de redacción, la ortografía o la naturaleza de los links que ofrecen. Asimismo, deben adquirir como hábito la verificación profunda del propósito planteado en el email recibido: por ejemplo, comprobando con el departamento financiero que la transferencia económica que solicita el remitente tiene razón de ser, evitando las temidas estafas BEC.

Pero, ¿es esto suficiente? Los responsables de seguridad TI consultados también incluyen entre sus prácticas recomendadas otras medidas que es interesante tener en cuenta:

  • Simulacros de phishing: Un método altamente efectivo para comprobar los posibles efectos negativos del phishing consiste en sorprender a tus trabajadores con un correo de esta naturaleza y ver cuál ha sido su reacción. Aquellos que caigan en la trampa, habrán aprendido por ellos mismos qué conductas deben evitar en el futuro, mientras aquellos que hayan superado la prueba mantendrán su nivel de alerta.
  • Detección de ingeniería social: Se trata de un proceso de formación específica y práctica para trabajadores, con el objetivo de que se planteen una serie de preguntas antes de responder o hacer caso a un email de dudosa naturaleza. Estos son algunos ejemplos de estas cuestiones: “¿Puedo verificar la identidad de mi interlocutor a través de un tercero?”, “¿Estoy realmente autorizado para realizar la acción que me están pidiendo?” o “¿Es pública la acción o información que me solicitan?”.
  • Cifrar emails: Para evitar el posible robo de correos electrónicos con información confidencial, tu empresa debe contar con un sistema que cifre los emails que los trabajadores envíen, de modo que sea necesario introducir una contraseña adicional para poder acceder a su contenido.
  • Contar con una solución de seguridad avanzada: El uso de una suite como Panda Adaptive Defense ayuda a detectar cualquier posible intento de ataque por email, gracias al empleo de la inteligencia cognitiva y de un sistema de detección en tiempo real, evitando las posibles pérdidas financieras derivadas de este tipo de ciberataques.