En 14,8 millones de dólares al año o en unos 1.500 dólares por empleado cifra el coste medio del phishing un estudio que han llevado a cabo Proofpoint y el Instituto Ponemon. Una cantidad que cuadriplica la que provocaba este malware hace seis años. Casi 600 profesionales de la seguridad y la tecnología han participado en el mismo, que han señalado que los ataques Business Email Compromise (BEC) y los que se articulan como un ransomware son las amenazas más costosas para las empresas.
Larry Ponemon, presidente y fundador del Instituto Ponemon, recordó que cuando una empresa decide pagar para dar solución a un problema de ransomware, el “rescate” solo representa menos del 20 % del coste que supone este tipo de ataques. “Dado que los ataques de phishing aumentan la probabilidad de que se produzca una filtración de datos y se interrumpa el negocio, la mayor parte de los costes para las empresas proviene más de la pérdida de productividad y de la reparación del problema que del rescate que se ha pagado a los atacantes”.
Relato de costes del phishing
La pérdida de productividad es una de las consecuencias del phishing que implica mayor coste. El estudio señala que en una empresa estadounidense, con alrededor de 10.000 empleados, se perderían cada año unas 63.343 horas de trabajo. Cada trabajador perdería de media unas siete horas anuales debido a estas estafas, lo que supone un aumento frente a las cuatro horas de 2015.
Los ataques BEC cuestan casi seis millones de dólares anuales a una organización de gran tamaño. De esa cantidad, los pagos ilícitos a los atacantes serían de 1,17 millones de dólares.
El ransomware supone a las grandes organizaciones costes por valor de 5,66 millones de dólares al año, de los que casi 800.000 dólares corresponden al pago de rescates.
Y las soluciones…
La formación a los empleados es una de las mejores soluciones. Según el estudio, reduce de media los gastos por phishing en más de un 50%.
El coste para solucionar las infecciones por malware se ha duplicado en los últimos seis años: este año responder a un ataque de malware cuesta de media unos 807.506 dólares, frente a los 338.098 dólares que suponía en 2015.
También ha aumentado el coste por compromiso de credenciales en el último lustro: ha pasado de 381.920 dólares en 2015 a 692.531 dólares en 2021. Las organizaciones han experimentado una media de 5,3 incidentes de este tipo en el último año.
El estudio insiste en que el compromiso o robo de credenciales suele preceder a ataques como BEC y ransomware. Generalmente se produce en forma de phishing a un empleado para que entregue sus credenciales de acceso.
