La necesidad de formar en ciberseguridad a empleados en el teletrabajo

En España el 87 por ciento de las empresas tuvo a muchos de sus profesionales trabajando en remoto el año pasado, pero solo el 36 por ciento capacitó a estos usuarios para hacerlo de forma segura.

Proofpoint, empresa de ciberseguridad y cumplimiento normativo, ha publicado su séptimo informe anual State of the Phish en el que analiza las experiencias de las organizaciones en cuanto al phishing y, al mismo tiempo, profundiza en la concienciación, vulnerabilidad y resistencia de los usuarios frente a estas amenazas. En resumen, más del 75% de los profesionales de seguridad encuestados afirma que sus empresas registraron ataques de phishing generalizados —tanto exitosos como fallidos— a lo largo de 2020, mientras que las infecciones por ransomware alcanzaron al 66% de los participantes en este estudio global.

En esta última edición se ha incorporado información a partir de encuestas a más de 600 profesionales de seguridad de la información de Alemania, Australia, España, Estados Unidos, Francia, Japón y Reino Unido, reflejando además distintos datos sobre la situación de unos 3.500 empleados en dichos países. El informe analiza asimismo los resultados de más de 60 millones de ataques de phishing simulados enviados durante un año a profesionales en activo por parte de los clientes corporativos de Proofpoint, junto con las características de aproximadamente unos 15 millones de correos electrónicos reportados a través de PhishAlarm por usuarios.

"En todo el mundo los ciberdelincuentes están atacando a personas a través de comunicaciones ágiles, relevantes y sofisticadas, manteniendo el correo electrónico como principal vector de ataque", comenta Fernando Anaya, Country Manager de Proofpoint. "Es fundamental para las organizaciones garantizar que sus usuarios sepan cómo detectar y reportar cualquier intento de ciberataque, especialmente aquellos empleados que trabajan en remoto desde entornos menos seguros. Pese a que algunas empresas imparten ya esta formación sobre seguridad a su plantilla, los datos de esta encuesta nos demuestran que la mayoría de empresas no está haciendo lo suficiente".

El informe State of the Phish subraya la necesidad de adoptar un enfoque centrado en las personas en protección de la ciberseguridad, además de concienciar a los usuarios para hacer frente a unas circunstancias cambiantes tal y como han podido experimentar las organizaciones el año pasado debido a la pandemia. Sobre este último punto en concreto, el estudio de Proofpoint señala una falta de formación a medida para los usuarios sobre amenazas. Por ejemplo, el 87% de empresas españolas requirió o solicitó en 2020 a gran parte de su fuerza laboral que se acogiese al teletrabajo, pero solo el 36% capacitó a estos usuarios para trabajar en remoto de forma segura.

"Estos datos sobre el teletrabajo en España son ciertamente reveladores", opina Anaya. "La mayoría de los profesionales de seguridad encuestados en España apoya un modelo de trabajo en remoto para al menos la mitad de la plantilla de su organización y, sin embargo, poco más de un tercio de esos empleados recibió formación específica en ciberseguridad relacionada con el teletrabajo. También nos hemos encontrado con que los trabajadores españoles utilizan sus dispositivos de trabajo para responder emails personales, buscar ofertas y comprar productos, entre otras prácticas, lo cual puede generar ciertos riesgos, de ahí que sea necesario reforzar iniciativas de formación adaptadas a empleados en remoto para concienciarles sobre las actuales amenazas”.

Además de consejos prácticos de ciberseguridad, el informe de Proofpoint aporta un análisis en detalle del panorama del phishing para ayudar a las organizaciones a reducir su exposición a estos ataques. Estas son algunas de las principales conclusiones globales del estudio de Proofpoint:

•    En 2020 hubo más organizaciones que experimentaron ataques de phishing exitosos que en 2019 (un 57% frente a 55%, respectivamente). El compromiso del correo electrónico corporativo (BEC) se mantiene asimismo como unas de las mayores preocupaciones.

•    De entre los dos tercios de encuestados cuya organización tuvo una infección por ransomware el año pasado, más de la mitad decidió pagar el rescate con la esperanza de acceder de nuevo a sus datos rápidamente. El 60% de los que pagaron consiguió recuperar sus datos y/o sistemas tras el primer pago. En cambio, cerca del 40% recibió nuevas peticiones de rescate, lo que supone un aumento del 320% respecto a 2019. Con todo, hubo un 32% que accedió a pagar esas solicitudes adicionales, representando un incremento del 1.500% a diferencia de lo que sucedió en el ejercicio anterior.

•    El 80% de las organizaciones encuestadas indicó que la formación en ciberserguridad consiguió recudir su susceptibilidad de caer víctima del phishing. Aun así, aunque el 98% de los profesionales de seguridad participantes en el estudio afirma que su organización cuenta con programas de concienciación en esta materia, únicamente un 64% ofrece sesiones formativas a usuarios de manera formal como parte de esas iniciativas en ciberseguridad.

•    De media, el 11% de los clientes corporativos de Proofpoint no superó las simulaciones de phishing, situándose algo por debajo del 12% obtenido en 2019. Mientras, el factor de resistencia fue de 1,2, lo que indica que los empleados de esas organizaciones son más propensos a reportar un correo sospechoso que a interactuar con dicho mensaje.

•    La industria manufacturera se enfrentó de media al mayor volumen de ataques reales de phishing durante 2020, según Proofpoint Threat Research. Las organizaciones de dicho sector fueron también de las más activas a la hora de probar el comportamiento de sus usuarios ante amenazas simuladas, reportando en general una incidencia del 11%. Por departamentos, los equipos de compras tuvieron mejores resultados con una incidencia media del 7%. Por el contrario, los profesionales de mantenimiento e instalaciones quedaron últimos con un porcentaje del 15% y el 17%, respectivamente.

Proofpoint recabó también datos específicos de España con los que poder observar las variaciones en torno a prácticas y comportamientos en ciberseguridad entre distintas regiones:

•    En el 87% de las empresas españolas se requirió o se necesitó que gran parte de su fuerza laboral se acogiese al teletrabajo durante 2020, pero solo el 36% ofreció formación a sus usuarios acerca de las mejores prácticas para trabajar en remoto de forma segura.

•    En cuanto al ransomware, el 66% de los  profesionales de seguridad de la información encuestados en España contó que su organización sufrió una infección de este tipo en 2020. No obstante, el 41% de las organizaciones españolas se negó a pagar un rescate tras el incidente. Esto las convierte en las menos predispuestas a negociar con los atacantes por delante de compañías en Australia (38%), Japón (36%), Francia (35%), Alemania y Reino Unido (ambas con un 31%), alejándose todas bastante de las de Estados Unidos (10%).

•    El 22% de los empleados en España piensa que sus organizaciones van a bloquear automáticamente los correos maliciosos. Por otro lado, el 64% sabe que hay archivos adjuntos que pueden contener malware, mientras que el 60% es consciente de que debe sospechar ante cualquier mensaje electrónico no solicitado.

•    Acerca del contenido de las formaciones en ciberseguridad, las simulaciones de phishing son menos habituales en organizaciones españolas (11%) respecto a la media global (29%), enfocándose el aprendizaje de los empleados en las mejores prácticas principalmente a través de sesiones presenciales o por ordenador (44%).

•    El 35% de los encuestados en España afirma que su organización sanciona a aquellos empleados que caen regularmente ante ataques de phishing ya sean simulados o reales. Estas consecuencias para las víctimas "reincidentes" se dan en menor medida que en el resto de países participantes en el estudio, donde la media global se sitúa en el 55%.

•    Entre las sanciones que aplican las organizaciones españolas a sus mayores infractores se incluyen sesiones de asesoramiento por parte de los equipos de seguridad (60%), distintas acciones disciplinarias como recibir una advertencia por escrito del departamento de recursos humanos (51%) o la retirada de permisos de acceso a sistemas (43%). Para el 80% de los encuestados, la implementación de este modelo de consecuencias conduce hacia una mejora en la concienciación de los empleados en ciberseguridad.

Desde Proofpoint animan a las organizaciones a desarrollar de manera proactiva estrategias de ciberseguridad centradas en las personas que no solo consideren aquellas experiencias compartidas entre regiones, sectores o departamentos de trabajo, sino también aquellas amenazas de carácter único que puedan impactar a su plantilla, misiones y objetivos.