En el mundo de la ciberseguridad, la mayor amenaza no siempre es una pieza de código malicioso o un error del sistema. Es algo mucho más difícil de remediar: el elemento humano.

A diferencia de las amenazas cibernéticas tradicionales que buscan explotar las vulnerabilidades del sistema, los ataques de ingeniería social evaden las defensas técnicas manipulando a las personas para que revelen información confidencial o cometan errores de seguridad.

Es por eso que entender la ingeniería social es tan vital. No se trata solo de implementar los últimos controles de seguridad; se trata de reconocer las vulnerabilidades humanas dentro de nuestras organizaciones y aprender cómo fortalecerlas.

Así que profundicemos más en el mundo de la ingeniería social, entendamos la magnitud de la amenaza que representa con las últimas estadísticas de ingeniería social y exploremos cómo las organizaciones pueden protegerse contra esta formidable amenaza.

¿Qué son los ataques de ingeniería social?

La ingeniería social es un método utilizado por los ciberdelincuentes que implica engañar a las personas para que compartan información confidencial, como contraseñas y números de tarjetas de crédito, o para acceder a sus sistemas informáticos donde instalan software malicioso. En lugar de entrar directamente en un sistema, los ingenieros sociales manipulan a las personas para que cometan errores de seguridad o revelen información sensible.

La confianza que depositamos en los demás, nuestro deseo de ser serviciales e incluso nuestros miedos son todas vulnerabilidades que los ciberdelincuentes explotan con entusiasmo. No necesitan habilidades avanzadas de piratería si pueden simplemente engañar a un empleado para que haga clic en un enlace malicioso o revele una contraseña.

La ingeniería social es una de las técnicas más comunes utilizadas por los actores malintencionados para explotar una organización, y los ataques son cada vez más sofisticados. Los ingenieros sociales están utilizando tácticas cada vez más personalizadas para ganar confianza y evitar sospechas. La clonación de voz y la tecnología deepfake hacen posible que los actores de amenazas se hagan pasar por sus objetivos de maneras aún más convincentes. En un caso de alto perfil, la voz creada por IA de un director de banco se utilizó para engañar a un gerente de banco y transferir 35 millones de dólares a los actores de amenazas.

Los ataques de ingeniería social son una amenaza especialmente peligrosa para las organizaciones precisamente por el elemento humano. Los errores cometidos por usuarios legítimos son más difíciles de detectar, predecir y remediar. En muchos casos, las víctimas ni siquiera se dan cuenta de que han sido engañadas.

Tipos más comunes de ataques de ingeniería social

1. Ataques de ransomware: El software malicioso cifra los archivos de la víctima, haciéndolos inaccesibles hasta que se pague un rescate.
2. Ataques de phishing: Correos electrónicos genéricos se envían a un gran número de personas, engañándolas para que revelen información sensible.
3. Phishing dirigido: Estafas de phishing dirigidas a individuos específicos, a menudo utilizando información personal para parecer más legítimas.
4. Fraude del CEO/Suplantación de identidad: Se hacen pasar por altos ejecutivos para engañar a los empleados y que realicen acciones como transferir fondos.
5. Compromiso del correo electrónico empresarial (BEC, por sus siglas en inglés): Similar al fraude del CEO, pero el atacante infiltra la cuenta de correo electrónico del ejecutivo para que las solicitudes parezcan más legítimas.
6. Smishing: Phishing a través de SMS. El atacante envía un mensaje de texto solicitando al destinatario que revele información sensible o haga clic en un enlace malicioso.
7. Vishing: Phishing de voz, donde el atacante se hace pasar por una entidad de confianza en una llamada telefónica.
8. Cebo: El atacante deja un dispositivo físico, como una memoria USB cargada con malware, en un lugar donde la víctima lo encontrará.
9. Colarse/Aprovecharse: El atacante obtiene acceso físico a un área restringida siguiendo a alguien que tiene autorización para estar allí.
10. Pretexting: El atacante fabrica un escenario creíble (o pretexto) para robar la información personal de la víctima.
11. Quid Pro Quo/Estafas de soporte técnico: El atacante ofrece un servicio o beneficio a cambio de información o acceso.
12. Scareware: El malware se incrusta en software gratuito, que luego se distribuye a usuarios desprevenidos.
13. Ataques de water hole: El atacante infecta sitios web que su objetivo visita con la intención de comprometer el dispositivo del objetivo.

Estadísticas de ingeniería social para 2023

Revisamos los informes de datos más recientes de autoridades confiables como el FBI, Verizon, IBM, Kaspersky y muchas más para encontrar las últimas estadísticas de ingeniería social que debes conocer.

Estadísticas de malware y ransomware

1. Hubo 493 millones de ataques de ransomware en todo el mundo en 2022. Statista
2. Según una encuesta de ciberseguridad de 2020, el 68% de las organizaciones estadounidenses habían experimentado un ataque de ransomware y pagaron el rescate. El 22% dijo que no habían sido infectados y el 10% dijo que fueron infectados pero no pagaron. Statista
3. 2022 vio un aumento del 13% en las brechas de ransomware, un aumento tan grande como en los últimos 5 años combinados. Verizon
4. El 40% de los incidentes de ransomware involucran el uso de software de uso compartido de escritorio y el 35% involucran el uso de correo electrónico. Verizon
5. 700 millones de ataques usaron rescate o extorsión en 2021. Arctic Wolf
6. El 70% de los líderes de TI y seguridad vieron al ransomware como su principal preocupación de amenaza de seguridad en 2022. Arctic Wolf
7. Los sectores de atención médica, servicios financieros y tecnología de la información son los sectores más propensos a experimentar un ataque de ransomware. FBI
8. El 11% de las brechas en 2022 fueron ataques de ransomware, un 41% más que en 2021. IBM
9. El porcentaje de usuarios afectados por ransomware dirigido se duplicó en los primeros 10 meses de 2022. Kaspersky
10. Nuevas variantes de ransomware continúan emergiendo. En el transcurso de 2022, Kaspersky detectó más de 21,400 cepas de ransomware. Kaspersky
11. Los pagos promedio de rescate en el cuarto trimestre de 2022 aumentaron un 58% con respecto al tercer trimestre, alcanzando los $408,644, mientras que el pago medio aumentó un 342% hasta los $185,972. Coveware
12. En 2021, el IC3 del FBI recibió 3,729 quejas de ransomware con pérdidas de más de $49,2 millones. FBI
13. El 70% de los ejecutivos de TI y corporativos dijeron que el ransomware era su principal preocupación de seguridad en 2022. El phishing es la segunda amenaza más preocupante. Arctic Wolf
14. 2021 vio algunas de las demandas de rescate más altas registradas, con una institución financiera pagando $40 millones para descifrar sus datos. SonicWall
15. Las violaciones de ransomware tardan un promedio de 326 días en contenerse, 49 días más que la violación de datos promedio. IBM
16. El costo promedio de un ataque de ransomware, sin incluir el costo del rescate en sí, fue de $4.54 millones. IBM
17. El costo promedio de una violación de ransomware es un 13.1% más alto para las organizaciones que no pagan el rescate. IBM
18. En 2022, hubo 5.5 mil millones de ataques de malware en todo el mundo. Statista
19. El correo electrónico es el método de entrega de malware más común. Verizon
20. El Instituto AV-Test registra 450,000 nuevas piezas de malware cada día. AV-Test
21. Los expertos estiman que un ataque de ransomware en empresas ocurre cada 11 segundos. Cybercrime Magazine

Estadísticas de phishing

1. El phishing fue, con mucho, el delito cibernético más reportado en 2022, afectando a más de 5 veces la cantidad de individuos que cualquier otro tipo de delito cibernético. Statista
2. Para el tercer trimestre de 2022, se detectaron casi 1.3 millones de sitios de phishing únicos en todo el mundo, un aumento de más del 15% con respecto al segundo trimestre de 2022. Statista
3. Una encuesta de 2021 muestra que el 48% de las organizaciones con sede en EE.UU. experimentaron entre 4 y 9 ataques de phishing exitosos ese año. Statista
4. Una encuesta de 2021 a especialistas en seguridad informática en todo el mundo encontró que el 79% de las organizaciones experimentaron ataques de spear phishing. El 13% de los encuestados dijo que su organización vio más de 50 ataques. Statista
5. Un promedio del 2.9% de los empleados hace clic en correos electrónicos de phishing. Verizon
6. Las estafas de phishing fueron el tipo de delito número uno con 300,497 quejas. FBI
7. Hubo 323,972 quejas reportadas al FBI relacionadas con phishing, pesca, smashing y/o pharming, un aumento del 34% con respecto a 2021. FBI
8. Los correos electrónicos de phishing, la explotación del Protocolo de Escritorio Remoto (RDP) y la explotación de vulnerabilidades de software fueron los tres vectores de infección iniciales principales para los incidentes de ransomware en 2021. FBI
9. Los ataques de phishing aumentaron un 29% en 2021 en comparación con 2020. Zscaler
10. El comercio minorista y mayorista fueron las industrias más atacadas en 2021, con un aumento del 436% en los ataques de phishing. Zscaler
11. El phishing por SMS vio un aumento del 700% en la primera mitad de 2021. Zscaler 
12. El CEO promedio recibe 57 ataques de phishing dirigidos cada año. Barracuda 
13. El 43% de los ataques de phishing se hacen pasar por marcas de Microsoft. Barracuda 
14. El personal de TI recibe un promedio de 40 ataques de phishing dirigidos cada año. Barracuda 
15. Los ataques de suplantación de identidad, donde los atacantes se hacen pasar por correos electrónicos de una marca o servicio conocido para engañar a las víctimas y hacer que hagan clic en un enlace de phishing, constituyen el 49% de todas las amenazas de ingeniería social. Barracuda 
16. SlashNext informa que se detectan 80,000 URL maliciosas diariamente. Esto equivale a 255 millones de ataques de phishing detectados en 2022, un aumento del 61% con respecto a 2021. SlashNext
17. 2022 vio un aumento del 50% en las amenazas de phishing móvil. SlashNext 
18. En 2022, la pérdida económica asociada al phishing fue de 52 millones de dólares. FBI 
19. El 62% de las organizaciones utilizan un programa de capacitación en concienciación sobre seguridad para reducir la probabilidad de un ataque de phishing exitoso. Arctic Wolf 
20. El phishing es la segunda causa más común de una brecha y la más costosa, con un costo promedio de $4.91 millones en costos de brecha. IBM
21. Marcas más imitadas en ataques de phishing en 2021: Zscaler y Barracuda
    -Microsoft
    -WeTransfer
    -DHL
    -Google
    -eFax
    -DocuSign
    -USPS
    -Dropbox
    -Xerox
    -Facebook
    -Amazon
    -OneDrive
    -PayPal
    -Roblox
    -WhatsApp
    -Microsoft 365
    -Adobe
    -Fidelity

Estadísticas de Compromiso de Correo Electrónico Empresarial

1. 1 de cada 10 ataques de ingeniería social son ataques de compromiso de correo electrónico empresarial (BEC). Barracuda 
2. El 77% de los ataques BEC están dirigidos a empleados fuera de los roles financieros y ejecutivos. 1 de cada 5 ataques BEC están dirigidos a empleados de ventas. Barracuda 
3. Los ataques de compromiso de correo electrónico empresarial (BEC) constituyeron el 10% de todos los ataques de ingeniería social en 2021. Barracuda 
4. Los ataques de compromiso de correo electrónico empresarial (BEC) representan el 6% de todas las brechas con un costo promedio de $4.89 millones. IBM

Estadísticas de brechas de datos

1. A partir de 2022, el costo promedio de una violación de datos en los Estados Unidos fue de 9.44 millones de dólares, en comparación con los 9.05 millones de dólares en 2021. El costo promedio global por violación de datos fue de 4.35 millones de dólares en 2022. Statista
2. Se cree que el 80% de las violaciones son causadas por amenazas externas. Verizon
3. El 20% de las violaciones de datos confirmadas involucran ingeniería social. Verizon
4. El 82% de las violaciones involucran un elemento humano. Verizon
5. El 83% de las organizaciones ha experimentado más de una violación de datos. IBM 
6. Las violaciones en organizaciones con IA de seguridad y automatización completamente implementadas cuestan 3.05 millones de dólares menos que las violaciones en organizaciones sin IA de seguridad ni automatización implementadas, lo que representa una diferencia del 65.2% en el costo promedio de una violación. Las empresas con IA de seguridad y automatización completamente implementadas también experimentaron, en promedio, 74 días menos para identificar y contener la violación. IBM 
7. Las credenciales de inicio de sesión robadas o comprometidas son la causa más común de una violación de datos, actuando como el vector de ataque principal en el 19% de todas las violaciones de datos en 2022. IBM 
8. El 90% de los ciberataques están dirigidos a los empleados de una organización. Arctic Wolf
9. La organización promedio es objeto de más de 700 ataques de ingeniería social al año. Barracuda 
10. El 89% de los ataques de ingeniería social fueron motivados por ganancias financieras, el 11% por espionaje. Verizon
11. El pretexto constituye el 27% de las violaciones de ingeniería social. Verizon
12. En 2021 se registró un aumento del 7% en las violaciones de datos reportadas, con pérdidas potenciales que superan los 6.9 mil millones de dólares. Los esquemas de ransomware y compromiso de correo electrónico empresarial (BC) fueron entre las principales quejas reportadas al FBI. FBI

Protegiéndose contra una amenaza invisible: Cómo prevenir ataques de ingeniería social

A diferencia de otros tipos de amenazas cibernéticas que explotan vulnerabilidades del sistema, la ingeniería social apunta al elemento más impredecible en una organización: el factor humano. Es por eso que la concienciación y la educación son sus primeras y mejores líneas de defensa. Al comprender los ataques de ingeniería social, sus fases y los tipos comunes, su equipo ya está mejor preparado para reconocer y contrarrestar estas amenazas cibernéticas antes de que puedan afectar a su organización.

1. Crear una cultura de concienciación sobre la seguridad

Desarrollar un marco de ciberseguridad robusto comienza por fomentar una cultura de concienciación sobre la seguridad. Esta no es una tarea que debe dejarse únicamente a su departamento de TI, es una responsabilidad colectiva. Todos en su organización deben entender las amenazas a las que se enfrentan y su papel en prevenirlas.

La capacitación sobre concienciación en seguridad debe ser una parte regular del proceso de incorporación de nuevos empleados y debe continuar a lo largo de la permanencia del empleado. Esta capacitación también debe evolucionar para igualar la sofisticación de las tácticas de ingeniería social. Recuerde, una cadena es tan fuerte como su eslabón más débil.

2. Aprenda a reconocer tácticas de ingeniería social

Sus empleados deben estar familiarizados con las tácticas que emplean los ingenieros sociales. Aquí hay algunas medidas clave:

• Verificar direcciones de correo electrónico: Los piratas informáticos a menudo se hacen pasar por fuentes confiables. Siempre verifique la dirección de correo del remitente. Por ejemplo, 'support@micros0ft.com' podría parecer legítimo a primera vista, pero note el número '0' reemplazando la letra 'o'.
• No haga clic en enlaces sospechosos: Pase el cursor sobre los enlaces para mostrar la URL real antes de hacer clic. Tenga cuidado con las URLs que no coinciden con el destino supuesto o que son innecesariamente largas con caracteres aleatorios.
• Preste atención a las líneas de asunto comúnmente utilizadas: Frases como "Se requiere restablecimiento de contraseña inmediatamente", "Su cuenta ha sido suspendida" e "Intento de inicio de sesión no autorizado" se utilizan comúnmente para generar urgencia y miedo.
• Contacte directamente al remitente: Si un correo electrónico o mensaje parece sospechoso, contacte directamente al remitente usando información de contacto conocida, no los detalles proporcionados en la comunicación sospechosa.

3. Realice pruebas de phishing regularmente

Las pruebas de phishing son un enfoque proactivo para fortalecer la defensa de su organización. Realizar regularmente campañas de phishing simuladas puede ayudar a evaluar la respuesta de su equipo e identificar áreas que necesitan mejorar. Este enfoque también ayuda a los empleados a comprender la importancia de los protocolos de seguridad y les permite aplicar su capacitación en un entorno seguro.

4. Complete los parches regulares y las actualizaciones de seguridad

Independientemente de cuán conscientes de la seguridad sean sus empleados, el software, hardware y aplicaciones desactualizados pueden facilitar la entrada de los piratas informáticos. Los parches regulares y las actualizaciones de seguridad son cruciales para corregir vulnerabilidades conocidas y mantener sus sistemas seguros. Considere los sistemas de gestión de parches automatizados para agilizar este proceso.

5. Implementar monitoreo continuo

El monitoreo continuo es un paso crucial para detectar y responder a incidentes de seguridad de manera oportuna. Analizar el tráfico y la actividad del sitio web en busca de anomalías puede ayudar a detectar comportamientos inusuales que puedan indicar un intento de ingeniería social. Usando aprendizaje automático e IA, los sistemas de seguridad modernos pueden detectar patrones y proporcionar alertas en tiempo real para actividades sospechosas.

La ingeniería social es una amenaza significativa que requiere una respuesta estratégica. Fomentando una cultura de concienciación en seguridad, capacitando regularmente a los empleados, realizando pruebas de phishing, manteniendo todos los sistemas actualizados y monitoreando continuamente en busca de actividades sospechosas, las organizaciones pueden protegerse eficazmente contra ataques maliciosos.

Protéjase contra los ingenieros sociales y los ciberdelincuentes con Secureframe Train

Nuestra plataforma de automatización de seguridad y cumplimiento incluye capacitación de concienciación en seguridad propia, lo que facilita la asignación, seguimiento y reporte de la capacitación requerida para los empleados. Nuestros programas de capacitación atractivos se mantienen actualizados, por lo que las mejores prácticas más recientes se aprenden y aplican en toda su organización. También puede segmentar su fuerza laboral y asignar solo la capacitación requerida para cada grupo o rol.

Obtenga más información sobre Secureframe Training, o programe una demostración con un experto en productos.