La ignorancia de seguridad del usuario final quedó al descubierto en un nuevo informe


Menos de una cuarta parte de las personas de entre 23 y 38 años (los llamados millennials) pueden definir correctamente el término “ransomware”, más de una quinta parte de los británicos no saben cómo cambiar su configuración de seguridad de Wi-Fi, un tercio de los australianos “no sienten la necesidad” de usar una VPN, el 30% de los estadounidenses piensa que el “malware” es algo que se usa para extender el alcance de un enrutador Wi-Fi, y el 50% de las personas que llevan un dispositivo de trabajo a casa tienen deja que sus amigos y familiares lo usen.

Estos fueron solo algunos de los hallazgos más interesantes en la sexta edición anual de Proofpoint Estado del phish informe, que destacó la escala de ignorancia entre los usuarios finales cuando se trata de la seguridad cibernética, la escala del desafío que enfrentan los profesionales de la seguridad y la escala de la falta de educación de la industria de la seguridad.

En un mundo donde el 90% de las organizaciones globales encuestadas dijeron que habían sido blanco de compromiso de correo electrónico comercial (BEC) y ataques de spear phishing, Proofpoint reunió datos de casi 50 millones de ataques de phishing simulados, respuestas de encuestas de terceros realizadas por profesionales de seguridad en Australia, Francia, Alemania, Japón, España, el Reino Unido y los EE. UU., Y 3.500 adultos que trabajan.

Deberías leer:   El FBI agrega a 'Cryptoqueen' a la 'Lista de los diez fugitivos más buscados' por fraude

Encontró que la mayoría de las personas en general no observaron los principios básicos de la higiene de la seguridad cibernética. Por ejemplo, el 45% admitió la reutilización de contraseñas, más del 50% no protegió con contraseña sus redes domésticas, el 32% no estaba familiarizado con las VPN y el 90% usó sus PC y teléfonos inteligentes de trabajo para actividades personales.


También se descubrió que faltaba el reconocimiento de términos de seguridad comunes, como malware, phishing y ransomware. Solo el 61% pudo definir correctamente el phishing, y solo el 31% de malware, exponiendo tanto una brecha de conocimiento como una barrera del idioma para los educadores de seguridad. El reconocimiento también varió enormemente entre los grupos de edad. Los millennials tendieron a tener un rendimiento inferior en la conciencia de seguridad, lo que refleja otros estudios recientes sobre el mismo tema, aunque no está claro por qué debería ser así.

“La capacitación efectiva en concientización de seguridad debe enfocarse en los problemas y comportamientos más importantes para la misión de una organización”, dijo Joe Ferrara, vicepresidente senior y gerente general de capacitación en concientización de seguridad en Proofpoint.

Deberías leer:   Google dice que eliminará los datos de ubicación cuando los usuarios visiten las clínicas de aborto

“Recomendamos adoptar un enfoque centrado en las personas para la seguridad cibernética combinando iniciativas de capacitación de concientización en toda la organización con educación dirigida y dirigida por amenazas. El objetivo es capacitar a los usuarios para que reconozcan y denuncien ataques “.

Cuando se llevó a cabo una capacitación adecuada sobre conciencia de seguridad, los efectos fueron notables, con el 78% de las organizaciones encuestadas que dijeron haber visto “reducciones medibles” en la susceptibilidad al phishing como resultado.

El crecimiento en los informes de correo electrónico del usuario final, que es una métrica clave cuando se trata de comprender y evaluar comportamientos positivos, fue otra tendencia positiva elegida por el informe. Se informaron más de nueve millones de correos electrónicos sospechosos en 2019, un 67% más que en 2018.

Proofpoint dijo que esta era una buena señal porque sugería que los usuarios finales se estaban volviendo más vigilantes y más capaces de identificar amenazas, una habilidad útil dada la tendencia señalada hacia formas de ataque más específicas y personalizadas.

En total, el 5% de las organizaciones encuestadas dijeron que habían lidiado con un ataque de phishing exitoso el año pasado, y los profesionales de seguridad informaron altos volúmenes de intentos de ingeniería social. Un total del 88% dijo haber visto intentos de phishing, el 86% informó ataques BEC, el 84% de phishing o smishing de SMS / texto, el 83% de phishing o vishing de voz y el 81% de caídas USB maliciosas.

Deberías leer:   Bitcoin (BTC) cae brevemente por debajo de los USD 20 000 a medida que aumenta la presión sobre las criptomonedas

Una clara mayoría de las organizaciones también informaron que ahora estaban tomando medidas correctivas contra los usuarios que cometen errores repetidos relacionados con los ataques de phishing, y muchos encuestados dijeron que la conciencia de los empleados mejoraría enormemente si las personas sufrieran las consecuencias. El Reino Unido fue el país con mayor probabilidad de imponer algunas sanciones monetarias a las víctimas repetidas, mientras que las organizaciones en Francia tenían más probabilidades de despedirlos.

El informe también mostró que el 65% de los profesionales encuestados informaron que su organización había experimentado una infección de ransomware en 2019. De estos, el 33% optó por pagar todos los consejos, mientras que el 32% se mantuvo firme. De los que negociaron, el 9% encontró que fueron extorsionados para pagos adicionales, y el 22% nunca tuvo acceso a sus datos.

Pilar Benegas

Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.