Las credenciales de empleados robadas son una de las formas más efectivas para que los atacantes se infiltren en la infraestructura de una empresa. En 2022, la cantidad de ataques de phishing móviles fue mayor que nunca.
Una vez que tienen las credenciales de cualquiera de las cuentas en la mano, es mucho más fácil para ellos eludir las medidas de seguridad y obtener acceso a datos confidenciales. Pero, ¿cómo obtienen los atacantes estas credenciales? En muchos casos, la respuesta es el phishing móvil. Un estudio global, "El informe sobre el estado global del phishing móvil" realizado por Lookout, descubrió que en 2022 la cantidad de ataques de phishing móvil estaba en su punto más alto: uno de cada tres dispositivos personales y uno de cada tres dispositivos corporativos se vio afectado por al menos uno. ataque suspendido cada trimestre. Esta tendencia continuó sin cesar en el primer trimestre de 2023.
Cómo BYOD ha cambiado el panorama del phishing
🔎 Frecuencia de ataques de phishing móvil a teléfonos celulares en todo el mundo en 2022 (Imagen: Lookout).
Los entornos de trabajo híbridos y las políticas de traiga su propio dispositivo (BYOD) podrían ser dos razones del aumento. Las empresas han tenido que aceptar que los dispositivos móviles personales se utilizan cada vez más con fines profesionales. Sin embargo, es importante recordar que cualquier dispositivo móvil (personal o corporativo, administrado o no administrado, iOS o Android) es vulnerable a los intentos de phishing.
Los teléfonos inteligentes y las tabletas han facilitado que los empleados sean productivos desde cualquier lugar, pero también han traído nuevos desafíos para los equipos de TI y seguridad. Las políticas BYOD significan que más personas que nunca utilizan sus dispositivos personales para trabajar. Esto significa que los riesgos a los que se enfrentan al utilizar estos dispositivos por motivos personales también suponen riesgos para la empresa. Los equipos de TI y seguridad también tienen una visibilidad significativamente menor de estos dispositivos que los dispositivos corporativos, lo que significa que es más difícil controlar estos riesgos elevados.
Ataques dirigidos a los dispositivos privados de los empleados
Estos factores significan que los atacantes ahora se dirigen a los dispositivos personales de los usuarios para penetrar en los entornos corporativos. Un empleado puede ser víctima de un ataque de ingeniería social a través de canales privados como redes sociales, WhatsApp o correo electrónico. Una vez que este es el caso, los atacantes pueden obtener acceso a las redes o datos de su empleador. Tampoco es un evento único, ya que los datos de Lookout muestran que para 2022, más del 50 por ciento de los dispositivos personales han estado expuestos a algún tipo de ataque de phishing móvil al menos una vez por trimestre.
Millones están en juego
Los datos no son lo único a lo que se arriesgan las empresas cuando los empleados caen en una estafa de phishing. Lookout estima que el impacto financiero máximo de un ataque de phishing exitoso ha aumentado a casi $5.000 millones para empresas con XNUMX empleados. Las industrias altamente reguladas, como los seguros, la banca y la legal, se consideran los mercados más lucrativos y son particularmente vulnerables a los ataques debido a la gran cantidad de datos confidenciales que contienen.
Estos altos costos llegan en un momento en que los ataques de phishing están en su punto más alto. En comparación con 2020, la cantidad de ataques de phishing ahora es un 10 % mayor en dispositivos corporativos y un 20 % mayor en dispositivos personales. Además, las personas hacen clic en enlaces de phishing con más frecuencia que en 2020, lo que podría significar que los atacantes están mejorando en la elaboración de mensajes que parecen auténticos. Con más riesgo y más dinero en juego que nunca, las organizaciones deben adaptar sus estrategias de seguridad para proteger sus datos.
Proteja los datos contra las amenazas de phishing móvil
El panorama del phishing móvil es más traicionero que nunca, especialmente a medida que aumenta el trabajo remoto. Los equipos de TI y seguridad deben emplear estrategias que les permitan visualizar, detectar y mitigar los riesgos de datos que plantean los ataques de phishing en todos los dispositivos de los empleados. Esto se aplica independientemente de si los dispositivos son propiedad de la empresa o privados. Con la estrategia adecuada, basada en el principio Zero Trust y SASE (Secure Access Service Edge), es posible hacer que el mundo laboral híbrido sea seguro.
“La detección de phishing en el dispositivo y con tecnología de inteligencia artificial a través de una plataforma de seguridad basada en la nube hace posible detener los ataques donde comienzan. Una solución de seguridad como esta evita que los usuarios se conecten a sitios web de phishing tanto en dispositivos corporativos como personales”, dijo Sascha Spangenberg, Arquitecto de Soluciones Globales de MSSP en Lookout. “Esta solución detecta y bloquea los ataques de phishing a través de cualquier aplicación móvil y evita que los empleados revelen sus credenciales o descarguen software malicioso. La protección contra las amenazas de phishing móvil debe ser una prioridad si el trabajo híbrido es una realidad”.
Más en Lookout.com
Acerca de Lookout Los cofundadores de Lookout, John Hering, Kevin Mahaffey y James Burgess, se unieron en 2007 con el objetivo de proteger a las personas de los riesgos de seguridad y privacidad que plantea un mundo cada vez más conectado. Incluso antes de que los teléfonos inteligentes estuvieran en el bolsillo de todos, se dieron cuenta de que la movilidad tendría un profundo impacto en la forma en que trabajamos y vivimos.