+50 estadísticas de phishing que debes conocer: quién es el objetivo

Fiabilidad

En el panorama digital actual, los ataques de phishing se han convertido en una amenaza persistente, que pone en peligro la seguridad y la privacidad de particulares y organizaciones por igual. Comprender el alcance y el impacto de estas amenazas es crucial para aplicar medidas eficaces de ciberseguridad o evitar costes potencialmente debilitantes.

Hablar de phishing y estadísticas puede servir como una visualización fiable de la amenaza real que se esconde tras este tipo de ataque. Con fuentes dispares en línea, hemos reunido datos sobre el impacto general de los ataques de phishing mediante el examen de los datos de phishing en la economía mundial.

Estadísticas destacadas del phishing

  • Los ataques de phishing representaron el 36% de todas las violaciones de datos en EE.UU. en 2023.
    1339 marcas fueron objetivo de ataques de phishing en el cuarto trimestre de 2023.
  • El número de sitios únicos de phishing (ataques) alcanzó los 5 millones en 2023.
  • En 2023, los ataques de phishing fueron la segunda fuente más costosa de credenciales comprometidas.
  • La sanidad ha seguido siendo el primer sector más costoso por filtración de datos durante 13 años, mientras que otros sectores están experimentando un cambio de tendencia.

Resumen de los tipos de ataques de phishing: estadísticas

Las estafas de phishing representan casi el 36% de todas las violaciones de datos, según el Informe sobre violaciones de datos 2023 de Verizon.

Y según un estudio de Proofpoint, el 71% de las empresas experimentaron un ataque de phishing con éxito en 2023.

He aquí algunos de los ataques de phishing más comunes a los que puede enfrentarse una organización:

Tipo de Phishing Explicación
Email Phishing
  • La forma más prominente de phishing.
  • El atacante envía un correo electrónico engañoso que parece ser de una fuente legítima.
  • Los correos electrónicos a menudo solicitan información sensible, como credenciales de inicio de sesión, números de seguridad social o detalles financieros.
Spear Phishing
  • Una forma de ataque más dirigida.
  • El atacante realiza investigaciones previas sobre un individuo para crear mensajes personalizados.
  • Esto puede aumentar la probabilidad de éxito, ya que el remitente parece más creíble e informado.
Whaling
  • Se dirige a personas de alto perfil, como altos directivos o ejecutivos.
  • El atacante adapta la correspondencia a personas que trabajan por debajo de su objetivo, a menudo alentando al sujeto a transferir fondos o proporcionar otra información importante.
  • Esto permite al atacante un mayor acceso al sistema.
Pharming
  • Involucra redirigir a los usuarios a sitios web fraudulentos que imitan al sitio web real.
  • El atacante busca que el usuario ingrese información personal en el sitio web falso para obtener un acceso adicional.

Estadísticas de phishing por objetivos

Según un informe del Centro de Denuncias de Delitos en Internet (IC3) del FBI, éste recibió 800.944 denuncias de phishing, con pérdidas superiores a 10.300 millones de dólares en 2022.

El Informe sobre Delitos en Internet 2022 del IC3 muestra cómo las estafas de phishing se han vuelto significativamente más perjudiciales para particulares y empresas.

Ataques personales de phishing

Los ataques de phishing personal se dirigen a particulares a través del correo electrónico, mensajes de texto u otros métodos de comunicación personalizados. Un ataque de phishing personal suele tener como objetivo recopilar datos confidenciales de una persona para acceder a cuentas financieras u otros datos.

Según el informe IC3 2022, las personas de entre 30 y 39 años fueron el grupo que más estafas de phishing denunció.

Los ciudadanos de 60 años o más sufrieron las pérdidas económicas más importantes.

Otro estudio de la Encuesta sobre Delitos Telefónicos de Inglaterra y Gales (TCSEW) descubrió que las personas de entre 25 y 44 años tenían más probabilidades de ser objeto de estafas en estas regiones.

Phishing Data Target Companies

Según la encuesta realizada en el Reino Unido, las empresas de mensajería fraudulentas fueron los remitentes falsos más destacados de estafas de phishing a particulares.

Los datos del Grupo de Trabajo Antiphishing (AWPG) también muestran que el número de sitios únicos de phishing (ataques) alcanzó los 5 millones en 2023.

Esto convierte a 2023 en el peor año de phishing registrado, eclipsando los 4,7 millones de ataques registrados en 2022.

Ataques de phishing a empresas

Según una encuesta de IRONSCALES, el phishing por correo electrónico es una preocupación clave para el 90% de los profesionales de TI.

Además, las estafas de phishing han aumentado en los últimos años.

Un análisis exhaustivo de IBM en 2023 reveló que el 16% de las violaciones de datos de empresas fueron consecuencia directa de un ataque de phishing.

De hecho, el phishing fue tanto el tipo más frecuente de violación de datos como uno de los más caros.

Cost and frequency of a data breach by initial attack vector in 2023
Fuente IBM. Techopedia

Además, según el APWG, 1339 marcas fueron objetivo de ataques de phishing en el cuarto trimestre de 2023 (Q4 2023).

Esto supone un descenso de 447 ataques en comparación con el cuarto trimestre de 2022, cuando el número de marcas atacadas ascendió a 1786.

El sector industrial más atacado en el cuarto trimestre de 2023 fueron las redes sociales, que representaron el 42,8% de todos los ataques de phishing.

Esto supone una explosión desde el 18,9% de todos los ataques registrados en el 3er trimestre.

Most targeted industries for phishing attacks in Q4 2023

El coste de los ataques de phishing

He aquí algunos de los costes de los ataques de phishing:

  • Costes para los consumidores
  • Costes para las empresas
  • Costes de prevención
  • Otros costes ocultos

Algunos ejemplos de costes ocultos son el coste de la reputación de una empresa, la pérdida de confianza de los consumidores o la violación de información personal.

Coste del phishing para los consumidores

El informe 2022 IC3 FBI Crime reveló una pérdida de unos 52 millones de dólares por estafas de phishing.

Un informe de la Comisión Federal de Comercio (FTC) reveló informes de fraude de 2,6 millones de consumidores en 2023, por valor de más de 10.000 millones de dólares. El tipo de fraude más frecuente fue el de los impostores.

Según el mismo informe del IC3, el phishing fue el tipo de delito más común en 2022, con 300.497 víctimas.

En comparación, el segundo tipo de delito más común fue la violación de datos personales, con 58.859 víctimas.

phishing statistics 2022 crime types
Fuente IBM. Techopedia

El Informe de IBM sobre el coste de una filtración de datos reveló que el 60% de las organizaciones estudiadas aumentaron sus precios debido a una filtración.

Los consumidores pueden estar pagando un precio más alto por bienes y servicios debido al riesgo de ataques de phishing.

Coste de los ataques de phishing para las empresas

Las empresas afrontan el coste de los ataques de phishing de dos maneras: la cantidad real perdida por los ataques de phishing y la cantidad gastada intentando evitar los ataques de phishing.

El coste de recuperar datos de ataques de phishing

Un ataque de phishing cuesta 4,45 millones de dólares de media a las organizaciones que responden. Según el informe 2023 de IBM, los ataques de phishing fueron la segunda fuente más costosa de credenciales comprometidas.

Total cost of a data breach from 2017 to 2023

Por término medio, hacer frente a la amenaza de un solo correo electrónico de phishing lleva 27,5 minutos, con un coste de 31,32 dólares por mensaje de phishing, según se indica en el Informe sobre el Coste Empresarial del Phishing 2022 de IRONSCALES.

Además de la pérdida monetaria, las empresas que sufren un ataque de phishing con éxito pueden sufrir daños en su reputación, valor de mercado y multas reglamentarias, como señala el informe IRONSCALES 2022.

Los costes de la prevención de los ataques de phishing de datos

Los ataques de phishing acumulan gastos entre formación, detección y mayor dotación de personal informático.

El Informe Ironscales 2022 descubrió que las empresas medianas (con 5 profesionales de TI) gastan 228.630 $ anuales sólo en ataques basados en el correo electrónico. Para las empresas con más de 25 profesionales de TI, el phishing puede costar 1,1 millones de dólares al año.

Estadísticas de phishing por país

EE.UU., Brasil e India fueron las víctimas más comunes del phishing a través de la infección de usuarios de grupos de Telegram, según los datos recogidos de Group-1B.

phishing stats top 10 countries Telegram
Captura de pantalla Group-1B. Techopedia

Estadísticas de phishing: EE.UU.

El Informe 2023 de IBM sobre la violación de datos reveló que el coste medio mundial de una violación de datos fue de 4,45 millones de dólares, mientras que el coste medio de una violación de datos en EE.UU. fue de 9,48 millones de dólares.

Las reclamaciones por estafas en Internet han disminuido de 2021 a 2022, según el Informe IC3 2022, mientras que las pérdidas totales han aumentado drásticamente.

En 2021, se denunciaron pérdidas totales por valor de 6.900 millones de dólares, frente a los 10.300 millones de dólares de pérdidas totales en 2022.

Phishing Stats IC3 FBI Report Complaints Losses Five Years
Fuente: ICR Report. Techopedia

Las estafas de phishing también han aumentado drásticamente, con un incremento del 1.139% en los ataques de phishing denunciados de 2018 a 2022.

Phishing Stats IC3 Report Top Five Crime Types
Fuente: ICR Report. Techopedia

Estadísticas de phishing: REINO UNIDO

Una encuesta de la Oficina de Estadísticas Nacionales (ONS) descubrió que más de la mitad de las personas del Reino Unido recibieron un mensaje de phishing, y sólo un 3% hizo clic en el enlace.

Se ha producido un aumento del 900% en el “fraude de comisiones por adelantado” en comparación con los niveles anteriores a la pandemia.

El fraude de comisiones por adelantado es un tipo de estafa en la que el individuo tiene que pagar una comisión antes de recibir alguna ganancia monetaria prometida, que nunca se da.

phishing stats UK data
Fuente: National Cyber Security Centre. Techopedia

Hasta enero de 2024, se han denunciado 29 millones de estafas al Centro Nacional de Ciberseguridad del Reino Unido (NCSC).

Como resultado, se han eliminado 168.000 estafas en 306.400 URL.

Estadísticas de phishing: Canadá

En 2022, el Centro Canadiense de Lucha contra el Fraude recibió un total de 70.878 denuncias de fraude y ciberdelincuencia.

El phishing fue el tipo de fraude más denunciado, seguido de la extorsión y las estafas de información personal.

Las pérdidas sufridas por las víctimas ascendieron a 530 millones de dólares en 2022, un 40% más que en 2021.

Las estafas de inversión, romance y spear-phishing fueron las tres con mayores niveles de pérdidas para las víctimas.

Los fraudes de phishing en línea también se situaron entre los tres principales tipos de estafas en Canadá a través de una encuesta de Ipsos.

Según la encuesta, las estafas de phishing son el tercer tipo más común de estafa denunciada en el país (8% de los fraudes denunciados), después de los fraudes con tarjetas de crédito y débito.

Estadísticas de phishing: Australia

El 65% de las personas recibieron una solicitud de estafa en 2022-2023 en Australia, frente al 55% en 2021, según la Encuesta sobre Fraudes Personales realizada por la Oficina Australiana de Estadística (ABS).

Las estafas por teléfono fueron el tipo de fraude más común (48%), y las estafas por mensajes de texto fueron las segundas más comunes (47%) en Australia.

Estos datos de phishing difieren de otros datos internacionales que señalan el correo electrónico como una de las formas más comunes de ataques de phishing.

En 2023, los consumidores australianos perdieron 25,9 millones de dólares en Australia por estafas, con 108.636 denuncias, según datos de la Comisión Australiana de la Competencia y el Consumidor (ACCC).

Amount lost and number of reports in Australia
Captura de ABS. Techopedia

Estadísticas de phishing: India

Un estudio exhaustivo de Group-IB, reveló que India es el tercer país más atacado del mundo y el más atacado de Asia.

Otro estudio de Microsoft muestra que los consumidores indios tienen más probabilidades de verse afectados económicamente por las ciberestafas en comparación con los datos mundiales.

India more likely to be scam victims microsoft
Fuente: Group-IB. Techopedia

300 millones de personas en India son vulnerables a los ataques de phishing, de las cuales 500.000 son engañadas por estas estafas, según un debate celebrado en el Mobile World Congress de Barcelona y detallado en el India Times.

El mismo informe muestra que sólo un 7% de las personas que son estafadas lo denuncian a las autoridades competentes.

Estadísticas de phishing: Brasil

En 2023, se registraron un total de 3.589 dominios potenciales de phishing con la intención de hacerse pasar por organizaciones brasileñas, según un informe de SOCRadar.

Los sectores más atacados por el phishing en Brasil son:

  • Criptomoneda y NFT
  • Seguridad Nacional y Asuntos Internacionales
  • Servicios de Información
  • Administración Pública
  • Banca

El IBM X-Force Threat Intelligence Index 2024 también señala que el 68% de todos los casos a los que X-Force respondió en Latinoamérica procedían de Brasil.

Estadísticas de phishing por sector

Según los datos del Informe IBM 2023 sobre el coste de una filtración de datos, estos fueron los cinco sectores más afectados económicamente por las filtraciones de datos:

La sanidad se ha mantenido durante 13 años como la primera industria más costosa en violaciones de datos, mientras que otros sectores están experimentando un cambio de impulso.

Por ejemplo, la tecnología ocupó la 4ª posición en 2022, pero fue sustituida por la energía y la industria en 2023. Además, las industrias farmacéutica y financiera registraron un ligero descenso de los costes.

  • Sanidad
  • Financiero
  • Farmacéutica
  • Energía
  • Industrial
Industry data breach costs in 2023 and 2022
Fuente: IBM. Techopedia

Datos sobre phishing en el sector financiero

En 2023, el coste medio de una violación de datos en el sector financiero fue de 5,9 millones de dólares, según IBM.

Esto lo convierte en el sector que sufre el segundo coste más elevado de una violación de datos, sólo superado por el sector sanitario.

Campañas de phishing de Carbanak, 2015

La campaña de phishing Carbanak se detectó por primera vez en 2015 y resultó ser uno de los mayores atracos a instituciones financieras mundiales de la historia.

El grupo atacó a más de 100 bancos e instituciones de todo el mundo, utilizando correos electrónicos avanzados de spear-phishing y malware.

Según la Declaración sobre la Amenaza a la Seguridad de Visa de 2015, se calcula que se perdieron hasta 1.000 millones de dólares en total, entre 2,5 y 10 millones por banco atacado.

Datos sobre phishing en el sector sanitario

En 2023, el coste medio de una violación de datos en el sector sanitario fue de 10,9 millones de dólares, según IBM.

Esto lo convierte en el sector que sufre el mayor coste de una violación de datos. Ha mantenido esta clasificación durante 13 años.

En una encuesta realizada por la Healthcare Information and Management Systems Society (HIMSS), la mayoría (59%) de los encuestados afirmó que el phishing general de correo electrónico fue el punto inicial de compromiso del incidente de seguridad más importante de su organización.

Los tipos de phishing señalados en la encuesta y su prevalencia fueron:

  • Phishing general por correo electrónico – 59
  • Spear-phishing – 31
  • Phishing por SMS – 29
  • Phishing de sitios web – 21
  • Phishing en redes sociales – 17
  • Whaling – 13
  • Phishing/vishing de voz – 12

Ataque del ransomware WannaCry, 2017

El ataque de ransomware WannaCry comenzó en mayo de 2017. Un artículo publicado en The Journal of Law & Cyber Warfare explica que el ataque de ransomware se produjo en más de 150 países. Puso de manifiesto algunas deficiencias en el Servicio Nacional de Salud del Reino Unido (NHS) cuando más de 40 hospitales se vieron afectados simultáneamente.

El ataque comenzó con un correo electrónico de phishing dirigido al personal y a los empleados de los hospitales. Una vez conseguido, la estafa podía acceder y obtener el control total de datos y funciones valiosas. Los autores retenían el acceso a estos datos y funciones esenciales hasta que se pagaba un rescate.

Aunque el ataque WannaCry no supuso una pérdida económica significativa para los hospitales, puso de manifiesto los puntos débiles del sector.

Además, ilustró cómo un correo electrónico de phishing podía escalar rápidamente a algo más.

Ataque de phishing al Centro Médico de la Universidad de Vermont, 2020

El Centro Médico de la Universidad de Vermont sufrió un extenso ataque de phishing en 2020. El ataque comenzó con un correo electrónico de phishing enviado a los empleados de la UVM.

Aunque la UVM no pagó ningún rescate a los hackers, el incidente costó unos 50 millones de dólares.

Según informes de la Healthcare Compliance Association (HCCA), el ataque de phishing provocó la caída del sistema de la UVM durante 28 días, y los empleados se vieron obligados a limpiar de malware 1.300 servidores.

Datos de phishing en el sector manufacturero

Según el informe de IBM Cost of a Data Breach, el sector industrial sufrió pérdidas por valor de 4,73 millones de dólares en 2023.

De hecho, la industria manufacturera volvió a ser el sector más atacado en 2023 por tercer año consecutivo, según el Informe de Inteligencia sobre Amenazas de IBM X-Force.

Representó el 25,7% de los incidentes dentro de las 10 industrias más atacadas.

Ciberespionaje de ThyssenKrupp, 2016

En 2016, ThyssenKrupp sufrió un importante ciberataque que comenzó con correos electrónicos de spear-phishing que contenían archivos adjuntos maliciosos enviados a figuras específicas de la empresa. Una vez abiertos, los hackers tuvieron acceso a información sensible y diseños secretos.

thyssenkrupp logo
ThyssenKrupp. Techopedia

Según varios informes, se descubrieron diseños de alto secreto y se robaron datos de proyectos de varias divisiones. No hubo robo directo de fondos de la empresa en este ataque de phishing, pero es un ejemplo de cómo el phishing puede provocar pérdidas financieras indirectas.

Datos de phishing de empresas de medios sociales

Según el Informe de Tendencias de la Actividad de Phishing de APWG, los ataques de phishing contra plataformas de medios sociales constituyeron el 42,8% de todos los ataques de phishing en el cuarto trimestre de 2023, casi la mitad.

Según un comunicado de prensa de Check Point de 2022, LinkedIn es la marca más suplantada en los ataques de phishing.

Según los mismos datos de Check Point, las principales marcas suplantadas son las siguientes:

Nombre de la Marca Porcentaje de Suplantación
LinkedIn 45%
Microsoft 13%
DHL 12%
Amazon 9%
Apple 3%
Adidas 2%
Google 1%
Netflix 1%
Adobe 1%
HSBC 1%

Estafa Spear Phishing de LinkedIn, 2012

Según los informes, en 2012 se robaron 117 millones de registros de LinkedIn y se vendieron en la web oscura.

Aunque esto comenzó como una violación de datos, proporcionó la ventana perfecta para los ataques de phishing.

Ataque de phishing a Facebook y Google, 2017

Facebook y Google fueron víctimas del mismo ataque de phishing en 2017, perdiendo un total de 100 millones de dólares a manos de un hacker lituano.

Según la Fiscalía de Estados Unidos, el hacker se hizo pasar por un fabricante asiático utilizado por Facebook y Google. Envió con éxito un correo electrónico de phishing con una factura falsa en la que se solicitaba que se transfiriera dinero al hacker.

Datos de phishing de servicios gubernamentales

Según la FTC, algunos de los organismos gubernamentales más populares en los que se suplanta la identidad con frecuencia son

  • Administración de la Seguridad Social
  • Hacienda
  • Medicare

Las estafas de phishing de servicios gubernamentales pueden desarrollarse y responder más fácilmente en función del clima actual o de las tendencias sociales.

Por ejemplo, durante la pandemia del COVID-19 aparecieron varias estafas de phishing relacionadas con cheques de estímulo o ayudas del gobierno.

La filtración de datos de la Oficina de Gestión de Personal (OPM), 2015

La filtración de datos de la OPM comenzó varios años antes de 2015. Los piratas informáticos empezaron a hacerse un pequeño hueco en el sistema y acabaron accediendo a información crítica.

Según muchos informes, no hay pruebas claras de cómo comenzó la filtración de datos de la OPM de 2015. Sin embargo, sí desencadenó una oleada de ataques de phishing.

Según la Oficina de Gestión de Personal de EE.UU., en la filtración de datos se divulgó información confidencial de 21,5 millones de personas.

COVID-19 Estafas de phishing, 2020

Los ataques de phishing aumentaron un 220% durante la época de la ayuda COVID-19 y desde entonces se han mantenido algunos números importantes relacionadas con estafas de Internet.

phishing stats COVID19 data
Fuente: Inky Stimulus Phishing Report. Techopedia

Los ataques de phishing surgieron cuando la gente recibió información sobre la ayuda del gobierno durante la pandemia.

El Inky Stimulus Phishing Report señala que la mayoría eran correos electrónicos que se hacían pasar por funcionarios del gobierno, animando a los objetivos a introducir información personal para “recibir un cheque de estímulo”.

Referencias

  1. Explore our security report archive. (Verizon)
  2. 2024 State of the Phish (ProofPoint)
  3. Internet Crime Complaint Center Releases 2022 Statistics (FBI)
  4. Phishing Activity Trends Reports (APWG)
  5. IRONSCALES Releases Findings from State of Cybersecurity Survey (IRONSCALES)
  6. Cost of a Data Breach Report 2023 (IBM)
  7. Phishing attacks – who is most at risk? (ONS)
  8. Cybersecurity 2022: Attackers will target remote teams’ weak spots (Samsung)
  9. The Impact of the New Normal on Workplace Privacy: A Study of Business & IT and IT Security Managers (Ponemon Institute)
  10. As Nationwide Fraud Losses Top $10 Billion in 2023, FTC Steps Up Efforts to Protect the Public (FTC)
  11. The Business Cost of Phishing (IRONSCALES)
  12. The large, less obvious costs of phishing attacks on organisations – report (SecurityBrief NZ)
  13. Professional stealers: opportunistic scammers targeting users of Steam, Roblox, and Amazon in 111 countries (Group-IB)
  14. Almost a quarter of all spam emails were sent from Russia in 2021 (ItPro)
  15. Cyber security breaches survey 2023 (Gov.UK)
  16. Phishing: Spot and report scam emails, texts, websites and calls (NCSC)
  17. Fraud Prevention Month 2023: Fraud losses in Canada reach another historic level (Canadian Anti-Fraud Centre)
  18. Fraud is too Common in Canada: Nearly Half (43%) of Canadians Have Knowingly Been Victimized by Fraud or Scams, in their Lifetime (Ipsos)
  19. 13.2 million Australians exposed to scams (ABS)
  20. Scam statistics (ACCC)
  21. Scam statistics (ScamWatch)
  22. Global Tech Support Scam Research: India (Microsoft)
  23. Around 5 lakh people potentially fall victim to phishing scams in India: report (India Times)
  24. Brazil Threat Landscape Report 2023 (SOCRadar)
  25. IBM X-Force Threat Intelligence Index 2024 (IBM)
  26. Nordea loses $1.1 million to online fraud (NS Banking)
  27. Carbanak (Anunak) Advanced Persistent Threat (VISA)
  28. A Cost Analysis of Healthcare Sector Data Breaches Health Sector Cybersecurity Coordination Center (HC3) (HHS)
  29. 2023 HIMSS Healthcare Cybersecurity Survey (HIMSS)
  30. The Ransomeware Assault on the Healthcare Sector (JSTOR)
  31. Hacked, Shut Down, But Still Seeing Patients: U. of Vermont Medical Center Shares Strategies (JDSupra)
  32. Whaling Case Study: Mattel’s $3 Million Phishing Adventure (InfoSec)
  33. Hackers steal Thyssenkrupp secrets (DW)
  34. Scam Of The Week: LinkedIn Email Change Your Password (KnowBe4)
  35. Lithuanian Man Arrested For Theft Of Over $100 Million In Fraudulent Email Compromise Scheme Against Multinational Internet Companies (United States Attorney’s Office)
  36. Cybersecurity Incidents (OPM)
  37. Phishing Attacks Soar 220% During COVID-19 Peak as Cybercriminal Opportunism Intensifies (F5)
  38. Pandemic Phish Are Attacking Without Conscience (Inky)

Temas relacionados

Artículos relacionados

Jo Rushton
Editor
Jo Rushton
Editor

Jo es escritora y editora especializada en ciberseguridad, relaciones con desarrolladores de software y gestión de proyectos. También es experta en marketing en la industria para adultos. En su tiempo libre se dedica a perseguir puestas de sol y a aprender mitología asiática.