Una pregunta rápida. ¿Qué es mayor? 1) El porcentaje de estadounidenses que entienden correctamente que la Tierra gira alrededor del Sol, o 2) el porcentaje de organizaciones que admitieron que un ataque de phishing había penetrado sus defensas en 2015. ¿El ganador? El número 2, por un amplio margen.
In 2012, the National Science Foundation surveyed 2,200 Americans and asked them: “Does the Earth go around the Sun, or does the Sun go around the Earth?” 74% got it right.[1] {Insert your own American educational system joke here.}
En la primavera de 2016, un estudio patrocinado por Cloudmark encuestó a 300 empresas, todas ellas con más de 1000 empleados, y el 84 % admitió que un ataque de spear phishing había penetrado sus defensas de seguridad en el último año.[2]
En el mundo de las estadísticas, el 84 % es abrumador. Si el pronóstico del tiempo dice que hay un 84 % de probabilidades de que llueva, ¿cuántas personas se arriesgan con el 16 % y dejan el paraguas en casa? Los candidatos necesitan un mínimo del 15 % en varias encuestas para poder participar en los debates presidenciales de este año; si obtienes un 16 %, se te considera apenas relevante. Si los corredores de apuestas de Las Vegas consideraran que tu equipo tiene un 16 % de posibilidades de ganar el domingo, ganarías siete veces tu apuesta si dieran la sorpresa; nadie aceptaría una apuesta igualada con un 16 % de posibilidades de ganar.
Y seamos sinceros, ese 16 % probablemente sea inferior. De las 48 empresas (16 %) encuestadas que afirmaron no haber sido víctimas de spear phishing, ¿cuántas realmente impidieron la penetración y cuántas simplemente no fueron objeto de ataques en los últimos 12 meses?
Sin embargo, es sorprendente que los usuarios de las herramientas actuales de supervisión de amenazas de proveedores apuesten por la posibilidad del 16 % de que se pueda impedir que los sofisticados atacantes de hoy en día penetren en las defensas de la red externa. La tecnología de supervisión de amenazas de los proveedores se centra actualmente en el análisis y la puntuación de las defensas de la red externa de un proveedor, la higiene de las direcciones IP, las conversaciones en la web oscura o las redes sociales, la aplicación de parches o el mantenimiento de certificados SSL/TLS: información que tiene muy poca o ninguna relevancia para la capacidad de una organización de prevenir un ataque de phishing exitoso. Es difícil de aceptar, pero un cortafuegos es el equivalente moderno de la línea Maginot.
Los teléfonos móviles han sustituido a los fijos. Las noticias de Yahoo han sustituido a los periódicos. Google Maps ha sustituido al AAA TripTik[3]. Juego de Tronos ha sustituido a Los Soprano. Y la detección ha sustituido a la prevención. Que los proveedores estén preparados para proteger los datos confidenciales deuna primera parte tiene que ver en un 95 % con lo que hacen detrás del cortafuegos y en un 5 % con lo que hacen delante de él.
O tal vez sea un 84 % frente a un 16 %... pero ya te haces una idea.
[1] http://www.npr.org/sections/thetwo-way/2014/02/14/277058739/1-in-4-americans-think-the-sun-goes-around-the-earth-survey-says
[2] https://blog.cloudmark.com/2016/01/13/survey-spear-phishing-a-top-security-concern-to-enterprises/
[3] Sí. El autor de este blog es mayor.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
