Decenas de empresas de Gipuzkoa reciben ciberataques simulados con resultados "más que preocupantes"
Según el proyecto del Centro de Ciberseguridad Ziur, entre un 72% y un 93% de los trabajadores habría sido víctima de 'fishing'
Decenas de empresas de Gipuzkoa reciben ciberataques simulados con resultados "más que preocupantes"
El código iframe se ha copiado en el portapapeles
San Sebastián
Cuarenta empresas de la industria de Gipuzkoa han participado en la campaña de simulación de ataques del Centro de Ciberseguridad, Ziur, con un resultado "mucho más preocupante". Y es que porcentaje de éxito que obtienen los ciber atacantes cuando un usuario pincha en el enlace del correo o abre el adjunto oscila entre un 72% y un 93%. en el marco del primer proyecto de estas características en el territorio
Según ha informado Ziur, la iniciativa experimental, denominada "Spear Phishing", revela que el nivel de concienciación en las pymes sobre el peligro que suponen estos ataques "sigue siendo bajo". El objetivo, es sensibilizar a las empresas y a sus equipos profesionales de la importancia de llevar a cabo prácticas de ciberseguridad y de identificar las amenazas más frecuentes en este ámbito.
Los resultados del estudio evidencian que el nivel de concienciación en las pymes respecto al "peligro financiero o reputacional que suponen estos ataques sigue siendo bajo" y que "las formaciones al respecto en los centros de trabajo también obtienen una escasa participación", explica la directora técnica de Ziur, María Penilla, "la concienciación en ciberseguridad no debe ser una actividad puntual sino que tiene que formar parte de un plan continuado de formación en todas las empresas, independientemente de su dimensión y su sector de actividad".
Baja participación en formación
Según explica, el correo electrónico continúa siendo uno de los "principales vectores de ataque usado por los ciberdelincuentes" y que, por ello, el proyecto experimental se centró en este aspecto. En concreto se pusieron en marcha tres campañas de ataques, con una duración de cuatro meses cada una, en las que se llevaron a cabo diferentes simulaciones de correo de "phishing" dirigido al personal de cuarenta empresas.
Por otra parte, también se llevaron a cabo ataques tipo BEC dirigidos, por un lado, a los equipos directivos de las empresas y, por otro, al resto de la plantilla suplantando a la primera víctima. El porcentaje de éxito en el primer caso desciende notablemente, si bien en la segunda fórmula se mantiene en elevados porcentajes.
Una vez detectada la brecha de seguridad, el proyecto incluye una segunda fase con formación específica, sin embargo en la mayoría de los casos la participación en las sesiones formativas ha sido "muy escasa" lo que, según advierte Ziur, supone "un riesgo para las industrias y una oportunidad para los ciberdelincuentes".
Entre un 11 % y un 42 % de las empresas no aplicaron ninguna formación y solamente en 4 de cada 10 casos un 40% de la plantilla completó alguna formación.
"Nuestra idea es intentar llegar a más empresas, ayudar a aquellas que no han podido participar en este proyecto", explica Penilla. En esta ocasión, "hay empresas que incluso han decidido ampliar el proyecto siendo conscientes de que es necesario y es su responsabilidad seguir con iniciativas de este tipo".
