El phishing es la forma más común de ciberdelincuencia y está muy extendido en todos los sectores. Los ataques de phishing son comunicaciones engañosas enmascaradas como voces de confianza cuyo objetivo es atraer a las personas para que revelen información sensible.

Se están volviendo más sofisticados y orientados a objetivos específicos a medida que evoluciona la tecnología. ¿Sabe que el 91% de todos los ciberataques comienzan con un correo electrónico de phishing? Impactante, ¿verdad?

Estas estadísticas demuestran que, independientemente de nuestros conocimientos tecnológicos, cualquiera puede ser víctima de un ataque de phishing bien ejecutado.

Mientras navegamos por el mundo en constante evolución de las amenazas en línea, es crucial comprender las tácticas utilizadas por los phishers y aprender a identificar sus banderas rojas.

Este post explora el mundo de los principales datos sobre phishing, abarcando temas como las tendencias globales de los ataques, las contramedidas y las estrategias de concienciación que han adoptado diversas marcas mundiales, los tipos de ataques y su prevalencia, los datos demográficos de las víctimas y su impacto, etc., que nos ayudarán a dotarnos de conocimientos y a salvaguardar nuestras preciadas identidades en línea.

La ciberseguridad no es sólo un reto técnico; es un reto humano, dijo James Clapper, ex Director de Inteligencia Nacional de Estados Unidos.

Echemos un vistazo a las estadísticas globales sobre la eficacia de estas estafas a pesar de los esfuerzos realizados para prevenirlas.

Phishing: una amenaza inminente en cifras

A-Looming-Threat-in-Numbers
  • Inundación de spam: La asombrosa cifra de 3.400 millones de correos electrónicos basura inunda cada día nuestras bandejas de entrada.
  • Maliciosos: El 1,2% de los correos electrónicos son trampas maliciosas enmascaradas como mensajes inocentes.
  • De Google: Cada día, Google se mantiene firme, desviando alrededor de 100 millones de correos electrónicos de phishing, protegiéndonos de estos peligros digitales.
  • Factor humano: El DBIR 2022 de Verizon revela una verdad aleccionadora: el 82% de las violaciones de datos implican la manipulación humana a través del phishing o el robo de credenciales.
  • BEC: Los ataques al correo electrónico comercial comprometido (BEC) se dispararon en 2022, con un aumento de las detecciones del 35% hasta 383.928, lo que pone de manifiesto la vulnerabilidad de la comunicación profesional.
  • Brecha de datos: Las violaciones de datos golpearon con fuerza en 2022, con una media de 4,35 millones de dólares por incidente.
  • Millones perdidos por minuto: Astra Security revela una cifra asombrosa: las empresas se desangraron casi 1.700 millones de dólares por minuto en 2021 debido a las estafas de phishing.
  • Peaje caro: Los correos electrónicos no deseados no sólo son molestos; son costosos. Las empresas pierden la asombrosa cifra de 20.500 millones de dólares al año debido a estos mensajes no deseados.
  • Costes de pérdida de clientes: Los ingresos tampoco son inmunes al phishing. el 46% de las organizaciones vieron cómo estos ataques provocaban la pérdida de clientes, lo que demuestra las consecuencias más amplias.

Las consecuencias financieras del phishing son alarmantes, como se desprende de estas sorprendentes estadísticas. Sin embargo, hay formas de protegerse contra ser víctima de este tipo de ataque, que incluyen la formación de los empleados y la instalación de una buena seguridad del correo electrónico, así como un comportamiento vigilante en línea. Manténgase a salvo permaneciendo alerta en el mundo moderno de la tecnología de la comunicación de la información.

Frecuencia de los ataques de phishing

cada día se envían 150.000 millones de correos electrónicos de spam, muchos de ellos con enlaces de phishing

Con más de 150.000 millones de correos electrónicos basura enviados a diario, no es de extrañar que representen un significativo 45% de todo el tráfico mundial de correo electrónico. Entre los países líderes se encuentran Estados Unidos, China, Rusia (responsable de casi el 30%) y Brasil.

150-billion-spam-emails

Los ataques de phishing fueron el ciberdelito más común denunciado al FBI en 2022

La ciberdelincuencia recaudó más de 10.000 millones de dólares en 2022, con más de 800.000 víctimas denunciadas al Centro de Denuncias de Delitos en Internet (IC3) del FBI. El delito más frecuente fueron las estafas de phishing, con más de 300.000 denuncias.

Sorprendentemente, las estafas de inversión supusieron la mayor pérdida económica para las víctimas, una primicia en los datos del IC3. Los ciudadanos de entre 30 y 39 años fueron el grupo más denunciante, mientras que los mayores de 60 años sufrieron los mayores daños monetarios.

el 83% de las organizaciones de todo el mundo sufrieron al menos un ataque de phishing en 2023

Verizon publicó el Informe de investigaciones sobre filtraciones de datos (DBIR ) de 2023 con interesantes estadísticas sobre el estado de las ciberamenazas. Según un análisis en profundidad de varias organizaciones, los resultados indicaban que alrededor del 83% o una gran mayoría había sufrido al menos un ataque de phishing en el último año.

El informe también detallaba los ataques de ingeniería social, que representan el 82% de las brechas y que a menudo se representan sigilosamente a través de correos electrónicos fraudulentos o estafas con pretextos.

El spam y el phishing se dispararon en 2022: casi la mitad de los correos electrónicos fueron spam, muchos con estafas de phishing

Según Statista, casi la mitad de los correos electrónicos del mundo fueron spam, lo que aumenta la preocupación por la seguridad en línea y la eficacia de la comunicación. Aunque supone un ligero aumento con respecto a 2021, casi la mitad de los correos electrónicos de todo el mundo se clasificaron como spam en 2022. El descenso del spam desde 2011 demuestra la mejora de los sistemas de filtrado y la concienciación de los usuarios, pero la vigilancia sigue siendo crucial.

global-spam-volume

el 54% de los ataques de phishing con éxito terminan en la violación de los datos de los clientes

En 2021, el 54% de los ataques de phishing acabaron en una violación de los datos de clientes o usuarios, y el 48% condujeron al compromiso de credenciales y cuentas. Sorprendentemente, el 83% de las organizaciones fueron víctimas de ataques con éxito, según los datos recopilados por el equipo de Atlas VPN.

54-percent-phishing-attacks

Estadísticas de phishing de Proofpoint 2023

En su noveno informe anual sobre el estado del phishing, Proofpoint profundizó en el complejo mundo de las técnicas de phishing. Sus conclusiones revelan cómo los atacantes siguen ganando ventaja y arrojan luz sobre sus tácticas más utilizadas.

Algunas de las estadísticas más asombrosas son las siguientes:

el 44% de las personas creen que los correos electrónicos de marca son dignos de confianza, sin embargo, más de 30 millones de mensajes maliciosos en 2022 estaban disfrazados con la marca o los productos de Microsoft.

Además, otra forma única adoptada por los hackers son los ataques telefónicos, que dan lugar a unos 300-400 mil intentos al día y alcanzaron un pico de 600K diarios en agosto.

Todos estos ataques de phishing provocaron un aumento de las pérdidas financieras directas del 76%. Curiosamente, los informes de los usuarios desempeñaron un papel importante a la hora de frustrar aproximadamente una de cada diez amenazas, con un recuento total de más de 75 millones.

Aumento del phishing de Microsoft: Aumento del 10% en el cuarto trimestre, ahora el 41% de las estafas de robo de credenciales

No es sorprendente que, con los productos de Microsoft tan omnipresentes en las organizaciones de todo el mundo, esta suite proporcione una rica fuente de objetivos para los ciberdelincuentes. Tal y como indica el Informe de Fortra sobre tendencias, objetivos y cambios en las técnicas de los BEC en 2023, el robo de credenciales para el compromiso del correo electrónico empresarial (BEC) había experimentado una tendencia al alza tras el descenso registrado en el segundo semestre de 2022. De hecho, en el primer trimestre, el robo de credenciales se situó a la cabeza de todos los tipos de amenazas de suplantación de identidad por correo electrónico.

Este aumento se vio impulsado en gran medida por un repunte intertrimestral de los correos electrónicos de suplantación de identidad de Microsoft O365, que representaron casi el 41% de todo el phishing de robo de credenciales.

Víctimas e impacto

La generación Z y los millennials son los más afectados por los correos electrónicos fraudulentos

En la era digital actual, existe la creencia de que las personas mayores, que pueden no estar tan familiarizadas con la tecnología, son más susceptibles a las estafas en línea. Sin embargo, un reciente análisis de datos realizado por el equipo de Atlas VPN revela que no es así en absoluto.

Sorprendentemente, los Millennials y los Gen Zers de EE.UU. son víctimas de correos electrónicos de phishing con más frecuencia que sus homólogos de más edad. De hecho, el 23% de los de la Generación Z y Millennial han sido engañados por estos correos fraudulentos en el pasado.

Millennials-GenZers-phishing-attacks

Múltiples recursos afirman que el 90% de todos los ciberataques comienzan con phishing

Las estadísticas muestran que entre el 80 y el 95% de los ciberataques se inician a través de correos electrónicos de phishing.

BOOM de las filtraciones de datos: el coste medio alcanza los 4,45 millones de dólares (un 15% más en 3 años)

IBM publicó un informe sobre las violaciones de datos en 2023 basado en las respuestas proporcionadas por la mayoría de las más de 550 organizaciones que experimentaron los respectivos incidentes. El informe señalaba que el coste medio de una violación de datos a nivel mundial era de 4,45 millones de dólares, lo que supone un aumento del 15% en tres años.

El informe también mostró que las empresas que utilizan tecnología avanzada como la inteligencia artificial y la automatización pueden ahorrar hasta 1,76 millones de USD en comparación con las que no hacen un uso extensivo de la misma.

Las finanzas, la energía y la industria manufacturera encabezan la lista de objetivos

En su mayoría, las víctimas de los elevados índices de ataques de phishing son las empresas financieras, energéticas y manufactureras. Estadísticas recientes revelan que el sector de la energía es el objetivo con un 60%, seguido por las finanzas y sobre todo la industria manufacturera con un 46% y un 40%, respectivamente.

1 minuto, 1.700 millones de dólares perdidos: Los ataques de phishing golpearon con fuerza en 2021

Según un informe, en todo el mundo se perdieron casi 1. 700 millones de dólares por minuto en 2021 como consecuencia de los ataques de phishing, lo que provocó un aumento del 65% de las pérdidas globales entre julio de 2019 y diciembre de 2021.

Tipos y tendencias

El phishing masivo reina: afectará al 85% de las empresas en 2022

Según Statista, en el panorama digital actual, la ciberdelincuencia supone un riesgo importante, ya que adopta diversas formas y plataformas. La forma más común es el phishing masivo, del que serán víctimas el 85% de las empresas mundiales en 2022.

Alerta sobre la amenaza del smishing: el 75% de las organizaciones fueron víctimas en 2022

En 2022, se ha producido un notable aumento del phishing móvil, también conocido como smishing. Según los datos de Proofpoint, el 75% de las organizaciones se encontraron con esta amenaza no basada en el correo electrónico, lo que la convierte en el quinto ataque más importante. Esta forma de ataque incluye el SMS phishing, el vishing (phishing de voz) y el quishing (phishing de código QR).

Mobile-phishing-attacks

Más de la mitad de los ataques de phishing utilizaron archivos adjuntos de spear phishing

El informe X-Force Threat Intelligence Index 2023, de IBM Security, ofrece datos razonables para que los equipos de seguridad, así como los líderes empresariales, comprendan mejor los ataques de amenazas. Uno de los factores destacados que expone el informe es que más de la mitad de los ataques de phishing efectivos utilizaron archivos adjuntos de spear phishing, por lo que se trata de una de las preocupaciones más críticas para las organizaciones que buscan medidas de protección proactivas.

Puntos calientes del phishing: Perú y Bahamas, los países más afectados por el phishing en 2022

Las tácticas de phishing siguen inclinándose del mismo modo que lo hace la tecnología. Uno de estos métodos es el llamado smishing, en el que los ataques de phishing se realizan a través de teléfonos móviles.

Un informe de Statista muestra que en 2022 la friolera del 75% de las organizaciones de todo el mundo habían sido presa de este tipo de ataque. De hecho, países como Perú y las Bahamas tienen el mayor número de casos denunciados relacionados con el robo de credenciales a través de esquemas de smishing.

El phishing de entrega se disparó en 2022: el 27% de los ataques

Las finanzas ocuparon el centro del escenario del phishing en el cuarto trimestre de 2022, seguidas de cerca por el software y los correos electrónicos. Un informe de investigación afirma que los servicios de entrega tampoco se salvaron, ya que sufrieron más del 27% de los ataques. Las empresas y los medios de comunicación se llevaron la palma en materia financiera, mientras que los ingenieros fueron los que más suspendieron en las pruebas de phishing, lo que supone una señal de alarma para la formación digital.

Las brechas de phishing se ocultan durante casi un año (295 días): la tercera amenaza cibernética más larga

Según el informe sobre filtraciones de datos de IBM, las contraseñas fraudulentas dominan las filtraciones de datos, tardan 327 días en descubrirse y cuestan millones. Las estafas por correo electrónico a empresas se prolongan durante 308 días, también a un elevado coste de 4,89 millones de dólares por impacto. Mientras que el phishing se detecta a los 295 días, su mordisco inicial es el peor, con una media de 4,91 millones de dólares.

phishing-related-breaches-295-days

Contramedidas y concienciación

En la sección anterior, tenemos detalles sobre los ataques de phishing y los costes asociados, las tendencias, las industrias afectadas, etc. En esta subsección, veremos cómo las principales organizaciones están tomando medidas para prevenir los ataques de phishing.

Google bloquea alrededor de 100 millones de correos electrónicos de phishing al día

¡El arsenal de Google para combatir el spam acaba de afilarse! Impulsadas por TensorFlow, sus nuevas defensas bloquean 100 millones de mensajes de spam más al día. Esta IA ayuda a atrapar el spam engañoso, como el contenido oculto, los mensajes basados en imágenes e incluso los mensajes de dominios de nueva creación.

33.el 2% de los empleados de todo el mundo cae en la suplantación de identidad antes de recibir formación

Las cifras del informe KnowBe4 2023 Phishing by Industry Benchmarking Report ponen de relieve los resultados de la formación en materia de concienciación sobre seguridad para los empleados. Según el informe, antes de la formación, cerca del 33,2% de los empleados no eran capaces de superar una prueba de phishing. Esto se ha reducido al 18,5% tras un periodo de 90 días de formación y de nuevo al 5,4% tras un año de formación.

KnowBe4-2023-Phishing-by-Industry

Los sectores de ingeniería, aeroespacial y minero son los que registran los mayores índices de fracaso en las simulaciones de phishing

La susceptibilidad de las diferentes industrias a los ataques de phishing reveló algunas tendencias sorprendentes en una reciente encuesta mundial. El informe de Statista muestra que los fabricantes de productos electrónicos encabezaron la lista de sectores vulnerables, con un preocupante 14% de empleados que cayeron en intentos de phishing simulados. Le siguieron las empresas aeroespaciales y mineras, con una tasa de fracaso del 13%. Por el contrario, los bufetes de abogados mostraron una mejora significativa con respecto al 11% del año pasado para convertirse en el sector con la tasa de fracaso más baja en 2022.

engineering-aerospace-phishing-simulations

Campeones en suplantación de identidad: Amazon, Google, Facebook, WhatsApp

AstraSecurityAudit: Las marcas más suplantadas para el phishing: Amazon, Google (13%), Facebook, Whatsapp (9%), Netflix, Apple(2%)

El phishing consume la mitad del tiempo de los profesionales de TI en ciberseguridad

IronScales afirma que el 52% del tiempo, los profesionales cibernéticos se dedican a gestionar problemas de ciberseguridad y es nombrado como el tipo de ataque que más recursos consume por el 37%.

el 40% cae en la falsa urgencia de los correos electrónicos de RRHH, saltándose una verificación crucial

La seguridad del correo electrónico es una prioridad absoluta para todo tipo de empresas, ya que los piratas informáticos se aprovechan de nuestro comportamiento rutinario y de nuestra urgencia. El último análisis de KnowBe4 muestra que el 40% de estos mensajes engañosos dirigidos a la manipulación imitan a mensajeros de RR.HH. con el objetivo de tratar a los empleados en términos de estabilidad laboral o falta de tiempo.

Así, los enlaces de phishing camuflados pueden incluir archivos adjuntos maliciosos y solicitudes como si procedieran de un departamento de RRHH.

Los costes de los ataques de phishing en EE.UU. se dispararon de 3,8 millones de dólares en 2015 a 14,8 millones en 2022

Hippa Journal: La sanidad se enfrenta ahora a un golpe de 14,8 millones de dólares por ataque, cuatro veces los costes de 2015. No sólo los correos electrónicos falsos suponen 6 millones de dólares en recuperación, sino que las horas de trabajo perdidas se comen otros 65.343, lo que supone un doble golpe para las operaciones y los presupuestos.

Palabras finales

Dado que la tecnología y las tácticas cambian rápidamente, es importante permanecer alerta ante el cambiante panorama de los ataques de phishing. Asumir la ignorancia o la incompetencia puede conducir fácilmente a resultados desastrosos en términos de impacto financiero y operativo.

Debemos tratar esta amenaza inminente con seriedad; aunque las cifras alarmantes pueden ser bastante desalentadoras, hay algunos avances alentadores tanto en tecnología como en seguridad que pueden dar esperanzas de que se produzcan menos incidentes de ataques de phishing con éxito.

Mediante la interacción de las personas y las organizaciones, podemos crear eficazmente un entorno digital más seguro en el que las transacciones y la comunicación puedan tener lugar con confianza.