Un nuevo informe de LevelBlue muestra el crecimiento de este problema a nivel mundial. El 41 % de las organizaciones afirma estar sufriendo más ciberataques que hace un año, cifra que asciende al 49 % en Asia-Pacífico. Los empleados tienen dificultades para distinguir entre comunicaciones reales y falsas. A nivel mundial, el 59 % de los encuestados reporta este problema, y en Latinoamérica la cifra asciende al 66 %.
El informe señala que la IA está transformando las tácticas de ingeniería social , haciéndolas más convincentes, más fáciles de escalar y potencialmente más dañinas.
La cultura y el liderazgo no están a la altura
Los datos muestran que las brechas culturales y de liderazgo están dejando a las organizaciones expuestas. Solo el 43 % de las organizaciones afirma contar con una cultura de ciberseguridad eficaz en toda la empresa. En Latinoamérica, esa cifra se reduce al 36 %. La gobernanza no es mucho más sólida. El 45 % de las organizaciones informa que su equipo de gobernanza no comprende la ciberresiliencia, cifra que se acerca a la mitad en Europa y Latinoamérica.
Los ejecutivos también presentan deficiencias. La mitad de las organizaciones afirma que el liderazgo no prioriza la ciberresiliencia . La colaboración también es deficiente. Solo uno de cada cuatro equipos de ciberseguridad se considera altamente eficaz al colaborar con el resto de la empresa.
La capacitación del personal es otro punto débil. Solo el 20 % de las organizaciones ha implementado una estrategia para educar a los empleados sobre ingeniería social. Incluso con miras al futuro, la capacitación sigue siendo una prioridad baja. Durante los próximos 12 meses, solo el 26 % de las organizaciones afirma que será una prioridad. La mayoría planea invertir en medidas técnicas (41 %) o en la participación del liderazgo (37 %).
“Establecer una cultura de ciberresiliencia es fundamental para que las organizaciones se preparen eficazmente ante la aparición de ataques de ingeniería social más sofisticados”, afirmó Theresa Lanowitz , Jefa Evangelista de LevelBlue. “Estos ataques explotan el comportamiento humano, por lo que, sin la inversión adecuada en formación y capacitación, incluyendo procesos de ciberresiliencia y la participación de consultores de ciberseguridad, las organizaciones y sus empleados siguen siendo vulnerables”.
Las organizaciones no están preparadas para nuevos métodos de ataque
Si bien las organizaciones se sienten relativamente preparadas para los ataques tradicionales, tienen mucha menos confianza en los más recientes. Más de la mitad afirma estar preparada para la vulneración del correo electrónico empresarial o el robo de información personal. Sin embargo, solo el 32 % afirma estar preparado para los deepfakes, a pesar de que el 44 % prevé enfrentarse a un ataque de este tipo el próximo año. Tan solo el 29 % está preparado para los ataques basados en IA.
Los planes de gasto presentan resultados dispares. El 33 % de las organizaciones está realizando inversiones significativas en procesos de resiliencia en toda la empresa, y el 31 % en IA generativa para defensa. Al mismo tiempo, solo el 13 % está invirtiendo grandes recursos en una arquitectura de confianza cero.
El apoyo externo también está infrautilizado. El 37 % ha trabajado con consultores de ciberseguridad, y solo el 32 % ha contratado expertos en formación y concienciación. El informe muestra que estas cifras solo aumentarán ligeramente en los próximos dos años.
Los hallazgos concluyen con cuatro recomendaciones: aumentar la participación del liderazgo, ampliar la capacitación adaptada a los roles de los empleados, prepararse para las amenazas de ingeniería social tanto establecidas como nuevas, e incorporar experiencia externa cuando sea necesario.
Fuente y redacción: helpnetsecurity.com
