Los títulos de correos electrónicos más usados en ataques de phishing

Las pequeñas y medianas empresas se enfrentan principalmente al phishing, acorde a una reciente investigación

A pesar de las crecientes amenazas de phishing, ransomware y otros tipos de malware más, muchas pequeñas empresas no cuentan con un programa de capacitación en ciberseguridad de empleados, según un informe realizado por especialistas en hacking ético.

Gracias a una encuesta realizada a cerca de 500 pequeñas y medianas empresas (PYMES) en Estados Unidos, investigadores descubrieron que el 66% de las empresas con menos de 19 trabajadores no cuentan con ningún tipo de capacitación sobre ciberseguridad para sus empleados. Para las empresas con entre 20 y 99 empleados, el porcentaje es de 29%, y para aquellas con entre 100 y 500 empleados fue del 13%.

Los programas de capacitación que las empresas no están aplicando presentan una alta tasa de eficacia. Un informe adicional reporta que cuando a los empleados se les muestran simulaciones de phishing en combinación con capacitación continua, su tasa de clics en estos enlaces de phishing disminuía en más de la mitad, del 26% al 12%.

En general, el phishing es considerado como la mayor amenaza contra las PYMES en la actualidad, más de la mitad de los especialistas en hacking ético lo consideran de esta manera. Aún así, otro 24% de los encuestados dijo que no lo consideraban su mayor amenaza, según el informe. Por su parte, los empleados de empresas con menos de 19 trabajadores eran los menos propensos a conocer cualquier tipo de amenaza cibernética.

En cuanto a los correos de phishing, hay tendencias muy claras sobre sus características, se explica en el informe. Los títulos de correo electrónico más comúnmente asociados a las campañas de phishing son:

  • Revisión/Revisión rápida
  • Banco de <EJEMPLO>; Nueva notificación
  • Donación para usted
  • Para su información:
  • Acción requerida: pague el saldo de su cuenta
  • Intento de inicio de sesión no autorizado
  • Aviso de pago a <NOMBRE DEL EMPLEADO>
  • Importante: (1) NUEVO mensaje de <EJEMPLO>
  • AMAZON: Su pedido no # 812-4623 PODRÍA LLEGAR
  • Transferencia bancaria
  • Asistir urgentemente

La principal amenaza para las empresas con entre 20 y 99 empleados es la ingenuidad de sus trabajadores, con el phishing llegando al 22% de intentos satisfactorios, por lo que especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética recomiendan que las PYMES se enfoquen en capacitar a sus empleados para administrar el correo electrónico que reciben de manera segura.

Sin embargo, muchas PYMES no cuentan con los recursos necesarios para manejar la seguridad a nivel de expertos, encontró el informe. Cerca del 41% de los encuestados dijeron que no tenían disponían de presupuesto para la seguridad de TI, y solo el 12% dijo que contaban con personal de seguridad interno dedicado. Una porción más reducida de los encuestados dijo haber recurrido a terceros para revisiones periódicas de ciberseguridad.