Según un informe de VPNRanks, el 82% de los incidentes ocurren debido a errores humanos o manipulación, generando enormes pérdidas en las diferentes industrias.
Si uno imagina el concepto de ciberataque, rápidamente se le viene a la mente la imagen de un atacante desde su equipo lanzando códigos maliciosos directamente contra la computadora de la víctima para robar información.
Pero en un mundo donde a los usuarios les cuesta decir que no y donde la confianza en el otro se encuentra en su punto más alto, los ataques de ingeniería social se han convertido en la principal causa de incidentes organizacionales durante los últimos años.
La descarga de un adjunto proveniente de un correo electrónico phishing, es decir, con suplantación de identidad, es lo que separa a una compañía de verse infectada y perder una gran cantidad de información, la cual luego puede derivar en una caída en la reputación, así como también costos extraordinarios que se deben afrontar por consecuencia del incidente.
Para los ciberdelincuentes la manera más fácil de penetrar en una compañía es por el eslabón más bajo, es decir, por el empleado poco concientizado, el cual realiza la acción que definimos anteriormente, poniendo en riesgo los activos organizacionales.
Hace cinco años, los ataques por ingeniería social representaban apenas el 22% de todas las filtraciones de datos. Hoy en día son el 36% y se prevé un sustancial aumento para los próximos años. Además, debemos tener en cuenta que cada vez son más sofisticados, por lo que más usuarios desprevenidos terminan cayendo en el señuelo del ciberdelincuente.
En cuanto a los sectores más afectados, tenemos en primer lugar y por amplia diferencia a la industria de la salud, bien conocida por almacenar activos que tienen un importante valor. Para 2021, la ingeniería social era responsable del 50% de todas las filtraciones de datos en el ámbito.
En segundo lugar encontramos al sector financiero, que ha sido un objetivo recurrente para los ataques de ingeniería social, pues las largas sumas de dinero y la información sensible de los clientes los hace un punto de referencia bastante lucrativo.
Y ya en unos escalones por debajo tenemos a las instituciones educativas, especialmente por la información personal de los estudiantes y padres, y a la administración pública, donde el 69% de los ataques eran generados por ingeniería social, siendo uno de los sectores más susceptibles al phishing y otros métodos similares.
El problema principal radica en las pérdidas que genera ser víctima de un incidente de este estilo, tanto para las organizaciones privadas como para el sector público. En 2019 las pérdidas superaban levemente los $2 mil millones de dólares. En este año, ya hemos superado los $4 mil millones de dólares y se espera que para 2025, el número ascienda a $5 mil millones de dólares, lo que representa un aumento del 150% con respecto hace apenas cinco años.
Si hablamos de los grupos etarios, sorprendentemente quienes más caen en los ataque son las personas de entre 40 y 49 años. El motivo principal se debe a que son ellos quienes tienen roles clave en las organizaciones y asumen posiciones donde la toma de decisiones es crucial, observándose ataques sofisticados y con la inclusión de la inteligencia artificial.
Obviamente también se tiene en cuenta a las personas por encima de los 60 años, quienes aún no están tan familiarizados con el entorno digital.
Y uno de los principales inconvenientes de la IA es la posibilidad de robustecer aún más los ataques de ingeniería social. La aparición del concepto del Deepfake, en otras palabras, la creación de videos y audios extremadamente realistas con inteligencia artificial, ha hecho que los usuarios tengan aún más chances de ser víctimas de un ciberataque, con una mayor capacidad de manipulación.
Todos estos indicadores nos señalan que es importante tomar medidas urgentes para aumentar la seguridad en el plano informático. No obstante, todo esto será en vano si no se acompaña con una constante educación a los empleados y a los puestos clave dentro de la pirámide jerárquica de la organización.
Cuando más evolucionen los ataques, más lo deberían hacer nuestras defensas, con una continua adaptación a los cambios y a las nuevas tecnologías que puedan ser utilizadas por los atacantes de manera malintencionada.