Estadísticas sobre phishing: las últimas que debe conocer en 2024
Estadísticas sobre phishing revelan una realidad alarmante: en menos de 60 segundos, un usuario promedio cae en la trampa de un correo electrónico de phishing. Según el Informe de Investigaciones de Filtración de Datos (DBIR) de 2024 de Verizon, la mediana de tiempo que los usuarios tardan en caer en correos electrónicos de phishing es de apenas un minuto (21 segundos para hacer clic y 28 segundos adicionales para ingresar sus datos en un sitio de phishing). Te invitamos a consultar las últimas estadísticas y datos de phishing de Verizon y otros líderes de la industria…
El informe X-Force Threat Intelligence Index 2024 de IBM muestra que el phishing como principal vector de acceso inicial en 2023 cayó un 44 % en comparación con 2022. Pero, ¿significa esto que el phishing está pasando de moda? Es poco probable: el phishing constituye oportunidades de negocio las 24 horas del día, los 7 días de la semana para los delincuentes, y es probable que nunca pase de moda.
El phishing es una amenaza muy real (y común) que enfrentan las empresas y los consumidores. El objetivo del phishing es conseguir que un objetivo haga algo que normalmente no haría, como revelar sus credenciales de inicio de sesión, enviar datos confidenciales de clientes o la propiedad intelectual de su empresa.
¿Está aquí para conocer las últimas estadísticas sobre phishing de expertos de la industria de la ciberseguridad?
Analicemos el asunto. Estadísticas de phishing: una mirada a los costos y la frecuencia del phishing
1. Las pérdidas de BEC superaron los 2,9 billones de dólares en 2023
Los datos del Informe sobre delitos en Internet de 2023 del Centro de denuncias de delitos en Internet (IC3) del FBI muestran que el phishing/spoofing (que agrupan) representó 298,878 denuncias reportadas en 2023. La cifra es inferior a la de 2021, que ascendió a 342,494 denuncias. Pero lo que es particularmente interesante es que las pérdidas reportadas por phishing se han reducido drásticamente, costando “sólo” 18,7 millones de dólares en el período del informe en comparación con los 126,4 millones de dólares de las pérdidas reportadas en 2021.
Ahora bien, tenga en cuenta que el IC3 clasifica los ataques de compromiso de correo electrónico empresarial (BEC) por separado del phishing . Sin embargo, muchas organizaciones a menudo cuentan los ataques BEC dentro de sus estadísticas de phishing, por lo que aquí se vuelve un poco turbio en términos de la posible superposición. En lo que respecta a las estafas BEC, el IC3 dice que se reportaron pérdidas por más de 2,9 billones de dólares en 2023 (en comparación con 2,4 billones de dólares en 2021) debido a estos ataques.
Por supuesto, estos datos se basan en compromisos y pérdidas reportados . Sin embargo, me hace preguntarme cuántas personas o empresas no informaron haber sido víctimas…
2. Los atacantes pueden filtrar datos a los dos días de un ataque
Por supuesto, no todos los costos son monetarios. Otra forma de ver el phishing es en términos de tiempo: la cantidad de tiempo que lleva responder a un ataque, remediar un ataque o recuperarse de uno.
Los datos del Informe de respuesta a incidentes 2024 de Palo Alto Network muestran que los atacantes han descubierto cómo eliminar el tiempo de una semana para que los ciberdefensores respondan y detengan la filtración de datos en un ataque de ransomware. El equipo de investigación dice que en 2021, el «tiempo medio entre el compromiso y la exfiltración fue de nueve días». ¡Pero a partir de 2023, ese número se desplomó a solo dos días!
En el siguiente ejemplo de un ataque de ransomware, Palo Alto informa que tomó menos de 14 horas llevar a cabo los siguientes pasos y causar estragos en la organización objetivo, todo comenzando con un correo electrónico de phishing:
3. El 94% de las organizaciones informan haber sido víctimas de ataques de phishing
Uf… Eso es fantástico. Nueve de cada 10 organizaciones encuestadas por Egress en su Informe de riesgos de seguridad del correo electrónico 2024 indicaron que fueron víctimas de ataques de phishing. Lo que es menos sorprendente, sin embargo, es que casi todos ellos (96%) dicen que esos ataques los “impactaron negativamente”.
Esto tiene sentido, considerando que los ataques de phishing generalmente se utilizan para engañar a las personas para que entreguen sus credenciales de inicio de sesión (y otra información confidencial) o realicen pagos financieros a estafadores que a menudo se descubren demasiado tarde.
4. El phishing estuvo involucrado en el 71% de las amenazas cibernéticas
El Informe anual sobre amenazas cibernéticas de ReliaQuest muestra que siete de cada 10 infiltraciones en sistemas y redes que el equipo de seguridad de la empresa observó en 2023 implicaron el uso de enlaces y archivos adjuntos de phishing. La ingeniería social fue reconocida como la “ruta más común para lograr el acceso inicial” para que los delincuentes exploten a los usuarios legítimos.
Los investigadores anticipan que los ataques que comprometen el correo electrónico empresarial aumentarán en 2024. Esto se debe en parte al uso de tecnologías de inteligencia artificial generativa que:
Ayude a los phishers a crear correos electrónicos más realistas. Esto ayuda a los malos a “EVITAR los errores tipográficos” que estamos acostumbrados a ver en muchos correos electrónicos de phishing e imitar los estilos de comunicación personal de las personas. Pueden crear mensajes creíbles que pueden tomar a los usuarios con la guardia baja y hacer que hagan algo de lo que (y usted) se arrepentirán más tarde.
Permita que los malos creen grabaciones de voz sintéticas. GenAI se puede utilizar para crear voces que se hacen pasar por personas reales (su jefe, un compañero de trabajo o incluso un miembro de la familia) para llevar a cabo phishing de voz falso. ¡Incluso ha habido ejemplos de tipos malos que utilizan estas grabaciones de voz genAI deepfake para engañar a la gente haciéndoles creer que un ser querido ha sido secuestrado !
5. El phishing contribuyó al 79 % de los ataques de apropiación de cuentas (ATO)
La investigación del informe de seguridad de correo electrónico de 2024 antes mencionado de Egress indica que casi cuatro de cada cinco incidentes de ATO comenzaron con delincuentes que utilizaban correos electrónicos de phishing. A menudo, los ataques ATO comienzan cuando los delincuentes utilizan el phishing para investigar cuidadosamente la empresa objetivo (y/o empleados específicos).
A los malos les encanta utilizar este enfoque fraudulento para hacer cualquier cantidad de cosas, incluso engañar a los empleados para que proporcionen sus credenciales de inicio de sesión o realicen pagos fraudulentos.
6. Los ataques globales de phishing aumentaron un 58,2 % en 2023
Como era de esperar, los malos no están listos para colgar sus cañas y carretes. Los datos del informe de phishing Zscaler ThreatLabz 2024 muestran que los investigadores observaron un aumento interanual de casi el 60 % en los ataques de phishing a nivel mundial en 2023 en comparación con 2022.
De los más de 2 mil millones de transacciones de phishing que examinaron en su nube de seguridad en línea en 2023, los investigadores observaron un aumento en las estafas de reclutamiento, los ataques de phishing de voz y los ataques de navegador en el navegador . (Los ataques BitB generalmente implican que un atacante cree una ventana de inicio de sesión falsa que se parece a las ventanas emergentes de autenticación que estamos acostumbrados a ver para iniciar sesión en una aplicación o servicio utilizando las credenciales de inicio de sesión vinculadas de otras plataformas, como Apple, Google o Meta. .)
Leyenda de la imagen: una captura de pantalla que capturamos de ahrefs.com de una pantalla de inicio de sesión legítima que le permite iniciar sesión en un servicio o sitio web utilizando credenciales de otro sitio, aplicación o servicio.
7. En 2023 se enviaron 3.400 millones de “correos electrónicos no deseados” (incluido el phishing)
Cloudflare informa que su servicio Cloud Email Security bloqueó un total de 3.400 millones de correos electrónicos no deseados solo en 2023, y esta categoría de mensajes incluye una combinación de mensajes masivos, spam y maliciosos (incluido el phishing). Esto marca un aumento de casi el 42% con respecto a los 2.400 millones de mensajes reportados en 2022.
De esos miles de millones de mensajes, lo que equivale a una media de 9,3 millones por día, la empresa informa que una media del 3% son maliciosos. Eso significa que en 2023 se enviaron más de 102 millones de correos electrónicos maliciosos, o lo que equivale a casi 280.000 mensajes maliciosos por día.
Ahora, solo tenga en cuenta… estos números se relacionan con la cantidad de mensajes que el servicio de Cloudflare bloqueó con éxito. Esto no incluye ninguna otra instancia que pueda haber escapado a sus defensas…
Estadísticas de phishing: elementos dignos de mención
8. Menos de uno de cada cinco correos electrónicos de phishing simulados se informaron correctamente
Los datos del informe State of the Phish 2024 de Proofpoint indican que solo el 18,3% de los correos electrónicos enviados como parte de simulaciones de phishing fueron informados correctamente por los usuarios (en lugar de ignorarlos o eliminarlos). Los usuarios hicieron clic en casi la mitad de esa cantidad de correos electrónicos de phishing simulados (9,3%).
9. El 96% de los empleados admiten haber hecho estupideces, a pesar de conocer los riesgos
Sí. Otra estadística sorprendente de la encuesta de Proofpoint es que el 96% de los usuarios dicen que hacen conscientemente cosas que saben que son riesgosas.
Entonces, ¿por qué lo hacen? Nuestra suposición es que su decisión de dejar su organización en riesgo a menudo se reduce a que los usuarios priorizan la comodidad sobre la seguridad.
Y según la información de las estadísticas de phishing compartida en la siguiente sección, parece que esa suposición es bastante acertada…
10. El 54% de los empleados ignora las advertencias de seguridad debido a una «sobrecarga de información»
Los datos de la encuesta CybSafe muestran que el 45% de los trabajadores de oficina dicen que «a veces» ignoran las advertencias de ciberseguridad «debido al abrumador y al cansancio de la comunicación digital». Sin embargo, lo que es aún más preocupante es que otro 9% dice que lo hace “a menudo”.
Esto es particularmente problemático ya que el 70,6% de los encuestados indican que están «extremadamente seguros» o «seguros» de que pueden «reconocer y evitar amenazas a la ciberseguridad (como correos electrónicos de phishing, sitios web inseguros)» en línea. Y si eso no fuera suficientemente malo, el 43% indica que «se saltan o ignoran las mejores prácticas recomendadas de ciberseguridad» en favor de la conveniencia.
… La última vez que lo comprobamos, ser víctima de un ataque de phishing (y lidiar con las consiguientes filtraciones de datos, demandas, pérdidas financieras, daños a la reputación y todo lo que sigue ) no sería demasiado “conveniente” para usted, sus empleados o sus clientes.
11. ChatGPT creó una página de inicio de sesión de phishing en menos de 10 consultas
Las tecnologías de inteligencia artificial (IA), en particular la IA generativa (genAI), son un espectáculo digno de contemplar. Pueden crear obras de arte increíbles y audio y video increíblemente realistas. (No, no vamos a abordar los posibles problemas de derechos de autor ni las preocupaciones que rodean los materiales de capacitación de IA y las imágenes que generan; ese es un tema completamente aparte). Sin embargo, estas tecnologías también representan una amenaza importante cuando las utilizan personas con malas intenciones, lo que lleva a a preocupaciones que no se pueden ocultar bajo la alfombra.
Por ejemplo, los investigadores de ThreatLabz de Zscaler utilizaron una serie de indicaciones con el chatbot de IA de ChatGPT para crear una página de inicio de sesión de phishing con temática de Microsoft que parece legítima en menos pasos de los que se necesitan para hornear un pastel sabroso .
12. AI Deepfake engañó a un trabajador financiero para que le entregara casi 26 millones de dólares
CNN informó que un trabajador financiero anónimo en Hong Kong que trabajaba en una importante empresa financiera internacional fue engañado para que transfiriera más de 25 millones de dólares (USD) como parte de un ataque de phishing impulsado por genAI. ¿Cómo? Mediante el uso de genAI.
Los atacantes utilizaron tecnología deepfake para falsificar grabaciones de audio y vídeo. Esto incluyó organizar una conferencia web fraudulenta con el objetivo: una reunión que incluía grabaciones ultrafalsas del director financiero (CFO) de la empresa y otros funcionarios de otros sitios internacionales.
Aparentemente, las grabaciones eran lo suficientemente creíbles como para que el empleado realizara la transferencia en una serie de 15 transacciones…
Related Entradas
Protección Anti-Phishing efectiva para tu seguridad digital
¿Qué es la protección Anti-Phishing? La Protección Anti-Phishing es una de las capas…
Políticas de seguridad para una ciberdefensa proactiva
Políticas de Seguridad sólidas y bien estructuradas son fundamentales para enfrentar una de…
IA en ciberseguridad: ¿solución o nueva amenaza?
La IA en ciberseguridad se ha posicionado como uno de los avances más…
Buenas prácticas de ciberseguridad: Tu mejor defensa digital
Buenas Prácticas de Ciberseguridad no es solo un término técnico; es la barrera…