You are here
España 

Netskope Threat Labs: los clics en enlaces de phishing casi se triplicaron en 2024

Alberto Marin Moran

El uso omnipresente de apps personales en la nube y herramientas IA generativa requiere una seguridad moderna en el lugar de trabajo para mitigar el riesgo

Madrid, 8 de enero de 2025 – Netskope, líder global en Secure Access Service Edge (SASE), ha publicado hoy un nuevo estudio que muestra que, como resultado de la creciente prevalencia y sofisticación de los ataques de phishing, los empleados hicieron clic en señuelos de phishing casi tres veces más en 2024 que el año anterior. Los resultados, basados en datos recopilados por Netskope de empresas de todo el mundo y publicados en el informe anual Cloud & Threat Report de Netskope, revelan un continuo aumento de los problemas de seguridad relacionados con el uso persistente de apps personales en la nube y la adopción generalizada de herramientas de IA generativa (genAI) en el lugar de trabajo, lo que subraya la necesidad de adoptar una seguridad de datos moderna para gestionar proactivamente ese riesgo.

El porcentaje de éxito del phishing se triplicó

A pesar de los repetidos intentos de las organizaciones por concienciar e informar sobre la seguridad, haciendo hincapié en cómo los empleados pueden evitar ser víctimas de phishing, en 2024 los usuarios empresariales hicieron clic en falsos enlaces a un ritmo casi tres veces mayor que el año anterior. Más de ocho de cada mil usuarios hicieron clic en un enlace de phishing cada mes, lo cual supone un incremento del 190 % con respecto al año pasado, cuando menos de tres de cada mil trabajadores fueron víctimas de intentos de phishing.

El alojamiento de las cargas maliciosas por parte de los agresores también es un componente de ingeniería social. Los atacantes quieren introducir contenido malicioso en plataformas en las que las víctimas depositen cierta confianza tácita, entre las que se encuentran aplicaciones populares en la nube como GitHub, Microsoft OneDrive y Google Drive. En 2024, el 88 % de las organizaciones descargaron contenido malicioso a través de aplicaciones populares en la nube al menos una vez al mes.

El principal propósito de las campañas de phishing en las que los usuarios hicieron clic en 2024 fueron las apps en la nube, que representaron más de una cuarta parte de todos los clics de phishing, con un 27 %. Entre las citadas aplicaciones, Microsoft fue, con diferencia, la más atacada, con un 42 %, dirigiéndose los atacantes a credenciales de Microsoft Live y Microsoft 365.

Apps personales

La ubicuidad de las apps personales en la nube empresarial ha creado un entorno en el que los empleados, a veces de forma consciente y otras no, las utilizan para procesar o almacenar información confidencial, lo que lleva a la pérdida de control de los datos por parte de la organización y a posibles violaciones de la normativa de protección de datos. Entre las principales apps personales a las que los usuarios envían datos se encuentran las de almacenamiento en la nube, correo web, genAI, redes sociales y calendario personal.

En 2024, el 88 % de los empleados utilizaban aplicaciones personales en la nube mensualmente y más de una cuarta parte (26 %) de los usuarios cargaba, publicaba o enviaba datos a dichas apps. La fuga de datos confidenciales a través de aplicaciones personales es una de las principales preocupaciones de la mayoría de las organizaciones y el tipo más común de infracción de la política de datos es el de los datos regulados (60 %), que incluyen datos personales, financieros o sanitarios cargados en aplicaciones personales. Los otros tipos de datos implicados en violaciones son propiedad intelectual (16 %), código fuente (13 %), contraseñas y claves (11 %) y datos cifrados (1 %).

Continúa la tendencia al alza de la IA generativa

En 2023, la inteligencia artificial generativa irrumpió con fuerza en el lugar de trabajo y la creciente adopción de esta tecnología por parte de organizaciones y usuarios, así como el volumen general de aplicaciones genAI en uso, continuó hasta 2024. En concreto:

  • En 2023, el 81 % de las empresas utilizaban aplicaciones de IA generativa; esta cifra subió al 94 % en 2024. ChatGPT sigue siendo la aplicación más popular, con un 84 % de cuota de mercado.
  • El uso de aplicaciones genAI por parte de los empleados se ha triplicado, pasando del 2,6 % al 7,8 %. El Comercio minorista y las empresas tecnológicas lideran todos los sectores con una media de más del 13 % de empleados que utilizan aplicaciones IA generativa mensualmente.
  • Las organizaciones utilizan ahora una media de 9,6 aplicaciones de IA generativa, frente a las 7,6 de hace un año. El 25 % de las mejores organizaciones utilizan ahora al menos 24 aplicaciones IA generativa, mientras que el 25 % de las menos utilizan como máximo 4 aplicaciones IA generativa.

Gestión del riesgo de los datos de la IA generativa

A medida que las aplicaciones de genAI se consolidaban como un componente esencial de la empresa (el 94 % de las organizaciones ya las utilizan), en 2024 quedó claro que las empresas todavía estaban en las primeras etapas de implementación de controles para habilitar de manera segura la IA generativa y ayudar a mitigar los riesgos de datos planteados por estas aplicaciones:

  • El 45 % de las organizaciones utilizan DLP para controlar el flujo de datos en aplicaciones genAI. La adopción de DLP para genAI en el sector varía mucho, siendo el de las telecomunicaciones el más alto, con un 64 %.
  • El 34 % de las organizaciones utilizan el coaching interactivo del usuario en tiempo real para capacitar a los individuos para que tomen decisiones apropiadas e informadas.
  • El 73 % de las veces, cuando se les advierte de una posible violación de la política de la empresa, los usuarios optan por no seguir adelante tras recibir la información de coaching correspondiente. 
  • El 73 % de las organizaciones bloquea al menos una aplicación genAI, con una tasa constante de 2,4 aplicaciones genAI bloqueadas de media al año.
  • El número de aplicaciones bloqueadas por el 25 % organizaciones que bloquean aplicaciones genAI se ha más que duplicado, pasando de 6,3 a 14,6 en el último año.

Claves para las organizaciones

Netskope recomienda a las organizaciones que tomen las siguientes medidas para proteger sus entornos:

  • Los usuarios sufren un bombardeo constante de mensajes de phishing por correo electrónico, redes sociales, anuncios en los resultados de los motores de búsqueda y a través de toda la web. Además, la gen AI está facilitando a los atacantes la creación de correos electrónicos de phishing convincentes. Todo esto pone de manifiesto que confiar únicamente en la formación para ayudar a los usuarios a detectar un intento de phishing es insuficiente y debe ir acompañado de inversiones en un sistema moderno de protección de datos.
  • Cuando los empleados dejan la organización, siguen compartiendo archivos accidentalmente (o intencionadamente) a través de sus cuentas personales, incluyendo información privada en sus copias de seguridad personales y utilizando aplicaciones personales para copiar datos. Aunque la intención pueda ser buena, las organizaciones deben limitar el acceso a únicamente aquellas apps que sirvan a un propósito legítimo, crear un proceso de revisión y aprobación de nuevas apps e implantar un proceso de supervisión continua que alerte a los operadores de seguridad cuando las apps se estén utilizando indebidamente o se hayan visto comprometidas.
  • La tendencia de que cada vez más organizaciones y empleados utilicen la IA generativa se mantendrá en 2025, a medida que esta tecnología se consolide en el lugar de trabajo. Al mismo tiempo, el número de estas aplicaciones seguirá creciendo, por lo que será imprescindible establecer controles para garantizar que solo se utilicen aquellas que hayan sido aprobadas y para los casos de uso autorizados. Las organizaciones deben utilizar la seguridad de datos moderna para controlar el movimiento de datos mediante las aplicaciones aprobadas, aprovechar la formación del usuario en tiempo real para ayudarles a tomar decisiones informadas al utilizar aplicaciones de IA generativa y aplicar controles que bloqueen las aplicaciones no aprobadas.

“El denominador común de las organizaciones que trabajan para garantizar de forma segura el uso de las apps en la empresa y minimizar los impactos del panorama de las amenazas es la necesidad de contar con una seguridad de datos actualizada”, comenta Ray Canzanese, director de Netskope Threat Labs. “Han quedado atrás los días en que la seguridad de los datos era una medida tomada a última hora. Debe estar perfectamente integrada en todos los aspectos de las operaciones de una organización. Desde la defensa contra el phishing hasta la protección de las aplicaciones personales y la gestión de la inteligencia artificial generativa, la seguridad de los datos ya no se limita a la defensa perimetral. Se trata de un planteamiento dinámico y proactivo que incluye orientación a usuarios en tiempo real, DLP y controles específicos de apps para adelantarse a un panorama de amenazas en constante cambio”.

Related posts

Leave a Comment

Abrir chat
Escanea el código
Powered by Joinchat
Hola 👋
¿En qué podemos ayudarte?