En el panorama digital actual, los ataques de phishing se han convertido en una amenaza persistente, que pone en peligro la seguridad y la privacidad de particulares y organizaciones por igual. Comprender el alcance y el impacto de estas amenazas es crucial para aplicar medidas eficaces de ciberseguridad o evitar costes potencialmente debilitantes.
Hablar de phishing y estadísticas puede servir como una visualización fiable de la amenaza real que se esconde tras este tipo de ataque. Con fuentes dispares en línea, hemos reunido datos sobre el impacto general de los ataques de phishing mediante el examen de los datos de phishing en la economía mundial.
-
- Datos sobre phishing en el sector financiero
- Campañas de phishing de Carbanak, 2015
- Datos sobre phishing en el sector sanitario
- Datos de phishing en el sector manufacturero
- Datos de phishing de empresas de medios sociales
- Datos de phishing de servicios gubernamentales
- COVID-19 Estafas de phishing, 2020
- Ver más
-
- Datos sobre phishing en el sector financiero
- Campañas de phishing de Carbanak, 2015
- Datos sobre phishing en el sector sanitario
- Datos de phishing en el sector manufacturero
- Datos de phishing de empresas de medios sociales
- Datos de phishing de servicios gubernamentales
- COVID-19 Estafas de phishing, 2020
Estadísticas destacadas del phishing
- Los ataques de phishing representaron el 36% de todas las violaciones de datos en EE.UU. en 2023.
1339 marcas fueron objetivo de ataques de phishing en el cuarto trimestre de 2023. - El número de sitios únicos de phishing (ataques) alcanzó los 5 millones en 2023.
- En 2023, los ataques de phishing fueron la segunda fuente más costosa de credenciales comprometidas.
- La sanidad ha seguido siendo el primer sector más costoso por filtración de datos durante 13 años, mientras que otros sectores están experimentando un cambio de tendencia.
Resumen de los tipos de ataques de phishing: estadísticas
Las estafas de phishing representan casi el 36% de todas las violaciones de datos, según el Informe sobre violaciones de datos 2023 de Verizon.
Y según un estudio de Proofpoint, el 71% de las empresas experimentaron un ataque de phishing con éxito en 2023.
He aquí algunos de los ataques de phishing más comunes a los que puede enfrentarse una organización:
Estadísticas de phishing por objetivos
Según un informe del Centro de Denuncias de Delitos en Internet (IC3) del FBI, éste recibió 800.944 denuncias de phishing, con pérdidas superiores a 10.300 millones de dólares en 2022.
El Informe sobre Delitos en Internet 2022 del IC3 muestra cómo las estafas de phishing se han vuelto significativamente más perjudiciales para particulares y empresas.
Ataques personales de phishing
Los ataques de phishing personal se dirigen a particulares a través del correo electrónico, mensajes de texto u otros métodos de comunicación personalizados. Un ataque de phishing personal suele tener como objetivo recopilar datos confidenciales de una persona para acceder a cuentas financieras u otros datos.
Según el informe IC3 2022, las personas de entre 30 y 39 años fueron el grupo que más estafas de phishing denunció.
Los ciudadanos de 60 años o más sufrieron las pérdidas económicas más importantes.
Otro estudio de la Encuesta sobre Delitos Telefónicos de Inglaterra y Gales (TCSEW) descubrió que las personas de entre 25 y 44 años tenían más probabilidades de ser objeto de estafas en estas regiones.
Según la encuesta realizada en el Reino Unido, las empresas de mensajería fraudulentas fueron los remitentes falsos más destacados de estafas de phishing a particulares.
Los datos del Grupo de Trabajo Antiphishing (AWPG) también muestran que el número de sitios únicos de phishing (ataques) alcanzó los 5 millones en 2023.
Esto convierte a 2023 en el peor año de phishing registrado, eclipsando los 4,7 millones de ataques registrados en 2022.
Ataques de phishing a empresas
Según una encuesta de IRONSCALES, el phishing por correo electrónico es una preocupación clave para el 90% de los profesionales de TI.
Además, las estafas de phishing han aumentado en los últimos años.
Un análisis exhaustivo de IBM en 2023 reveló que el 16% de las violaciones de datos de empresas fueron consecuencia directa de un ataque de phishing.
De hecho, el phishing fue tanto el tipo más frecuente de violación de datos como uno de los más caros.
Además, según el APWG, 1339 marcas fueron objetivo de ataques de phishing en el cuarto trimestre de 2023 (Q4 2023).
Esto supone un descenso de 447 ataques en comparación con el cuarto trimestre de 2022, cuando el número de marcas atacadas ascendió a 1786.
El sector industrial más atacado en el cuarto trimestre de 2023 fueron las redes sociales, que representaron el 42,8% de todos los ataques de phishing.
Esto supone una explosión desde el 18,9% de todos los ataques registrados en el 3er trimestre.
El coste de los ataques de phishing
He aquí algunos de los costes de los ataques de phishing:
- Costes para los consumidores
- Costes para las empresas
- Costes de prevención
- Otros costes ocultos
Algunos ejemplos de costes ocultos son el coste de la reputación de una empresa, la pérdida de confianza de los consumidores o la violación de información personal.
Coste del phishing para los consumidores
El informe 2022 IC3 FBI Crime reveló una pérdida de unos 52 millones de dólares por estafas de phishing.
Un informe de la Comisión Federal de Comercio (FTC) reveló informes de fraude de 2,6 millones de consumidores en 2023, por valor de más de 10.000 millones de dólares. El tipo de fraude más frecuente fue el de los impostores.
Según el mismo informe del IC3, el phishing fue el tipo de delito más común en 2022, con 300.497 víctimas.
En comparación, el segundo tipo de delito más común fue la violación de datos personales, con 58.859 víctimas.
El Informe de IBM sobre el coste de una filtración de datos reveló que el 60% de las organizaciones estudiadas aumentaron sus precios debido a una filtración.
Los consumidores pueden estar pagando un precio más alto por bienes y servicios debido al riesgo de ataques de phishing.
Coste de los ataques de phishing para las empresas
Las empresas afrontan el coste de los ataques de phishing de dos maneras: la cantidad real perdida por los ataques de phishing y la cantidad gastada intentando evitar los ataques de phishing.
El coste de recuperar datos de ataques de phishing
Un ataque de phishing cuesta 4,45 millones de dólares de media a las organizaciones que responden. Según el informe 2023 de IBM, los ataques de phishing fueron la segunda fuente más costosa de credenciales comprometidas.
Por término medio, hacer frente a la amenaza de un solo correo electrónico de phishing lleva 27,5 minutos, con un coste de 31,32 dólares por mensaje de phishing, según se indica en el Informe sobre el Coste Empresarial del Phishing 2022 de IRONSCALES.
Además de la pérdida monetaria, las empresas que sufren un ataque de phishing con éxito pueden sufrir daños en su reputación, valor de mercado y multas reglamentarias, como señala el informe IRONSCALES 2022.
Los costes de la prevención de los ataques de phishing de datos
Los ataques de phishing acumulan gastos entre formación, detección y mayor dotación de personal informático.
El Informe Ironscales 2022 descubrió que las empresas medianas (con 5 profesionales de TI) gastan 228.630 $ anuales sólo en ataques basados en el correo electrónico. Para las empresas con más de 25 profesionales de TI, el phishing puede costar 1,1 millones de dólares al año.
Estadísticas de phishing por país
EE.UU., Brasil e India fueron las víctimas más comunes del phishing a través de la infección de usuarios de grupos de Telegram, según los datos recogidos de Group-1B.
Estadísticas de phishing: EE.UU.
El Informe 2023 de IBM sobre la violación de datos reveló que el coste medio mundial de una violación de datos fue de 4,45 millones de dólares, mientras que el coste medio de una violación de datos en EE.UU. fue de 9,48 millones de dólares.
Las reclamaciones por estafas en Internet han disminuido de 2021 a 2022, según el Informe IC3 2022, mientras que las pérdidas totales han aumentado drásticamente.
En 2021, se denunciaron pérdidas totales por valor de 6.900 millones de dólares, frente a los 10.300 millones de dólares de pérdidas totales en 2022.
Las estafas de phishing también han aumentado drásticamente, con un incremento del 1.139% en los ataques de phishing denunciados de 2018 a 2022.
Estadísticas de phishing: REINO UNIDO
Una encuesta de la Oficina de Estadísticas Nacionales (ONS) descubrió que más de la mitad de las personas del Reino Unido recibieron un mensaje de phishing, y sólo un 3% hizo clic en el enlace.
Se ha producido un aumento del 900% en el “fraude de comisiones por adelantado” en comparación con los niveles anteriores a la pandemia.
El fraude de comisiones por adelantado es un tipo de estafa en la que el individuo tiene que pagar una comisión antes de recibir alguna ganancia monetaria prometida, que nunca se da.
Hasta enero de 2024, se han denunciado 29 millones de estafas al Centro Nacional de Ciberseguridad del Reino Unido (NCSC).
Como resultado, se han eliminado 168.000 estafas en 306.400 URL.
Estadísticas de phishing: Canadá
En 2022, el Centro Canadiense de Lucha contra el Fraude recibió un total de 70.878 denuncias de fraude y ciberdelincuencia.
El phishing fue el tipo de fraude más denunciado, seguido de la extorsión y las estafas de información personal.
Las pérdidas sufridas por las víctimas ascendieron a 530 millones de dólares en 2022, un 40% más que en 2021.
Las estafas de inversión, romance y spear-phishing fueron las tres con mayores niveles de pérdidas para las víctimas.
Los fraudes de phishing en línea también se situaron entre los tres principales tipos de estafas en Canadá a través de una encuesta de Ipsos.
Según la encuesta, las estafas de phishing son el tercer tipo más común de estafa denunciada en el país (8% de los fraudes denunciados), después de los fraudes con tarjetas de crédito y débito.
Estadísticas de phishing: Australia
El 65% de las personas recibieron una solicitud de estafa en 2022-2023 en Australia, frente al 55% en 2021, según la Encuesta sobre Fraudes Personales realizada por la Oficina Australiana de Estadística (ABS).
Las estafas por teléfono fueron el tipo de fraude más común (48%), y las estafas por mensajes de texto fueron las segundas más comunes (47%) en Australia.
Estos datos de phishing difieren de otros datos internacionales que señalan el correo electrónico como una de las formas más comunes de ataques de phishing.
En 2023, los consumidores australianos perdieron 25,9 millones de dólares en Australia por estafas, con 108.636 denuncias, según datos de la Comisión Australiana de la Competencia y el Consumidor (ACCC).
Estadísticas de phishing: India
Un estudio exhaustivo de Group-IB, reveló que India es el tercer país más atacado del mundo y el más atacado de Asia.
Otro estudio de Microsoft muestra que los consumidores indios tienen más probabilidades de verse afectados económicamente por las ciberestafas en comparación con los datos mundiales.
300 millones de personas en India son vulnerables a los ataques de phishing, de las cuales 500.000 son engañadas por estas estafas, según un debate celebrado en el Mobile World Congress de Barcelona y detallado en el India Times.
El mismo informe muestra que sólo un 7% de las personas que son estafadas lo denuncian a las autoridades competentes.
Estadísticas de phishing: Brasil
En 2023, se registraron un total de 3.589 dominios potenciales de phishing con la intención de hacerse pasar por organizaciones brasileñas, según un informe de SOCRadar.
Los sectores más atacados por el phishing en Brasil son:
- Criptomoneda y NFT
- Seguridad Nacional y Asuntos Internacionales
- Servicios de Información
- Administración Pública
- Banca
El IBM X-Force Threat Intelligence Index 2024 también señala que el 68% de todos los casos a los que X-Force respondió en Latinoamérica procedían de Brasil.
Estadísticas de phishing por sector
Según los datos del Informe IBM 2023 sobre el coste de una filtración de datos, estos fueron los cinco sectores más afectados económicamente por las filtraciones de datos:
La sanidad se ha mantenido durante 13 años como la primera industria más costosa en violaciones de datos, mientras que otros sectores están experimentando un cambio de impulso.
Por ejemplo, la tecnología ocupó la 4ª posición en 2022, pero fue sustituida por la energía y la industria en 2023. Además, las industrias farmacéutica y financiera registraron un ligero descenso de los costes.
- Sanidad
- Financiero
- Farmacéutica
- Energía
- Industrial
Datos sobre phishing en el sector financiero
En 2023, el coste medio de una violación de datos en el sector financiero fue de 5,9 millones de dólares, según IBM.
Esto lo convierte en el sector que sufre el segundo coste más elevado de una violación de datos, sólo superado por el sector sanitario.
Campañas de phishing de Carbanak, 2015
La campaña de phishing Carbanak se detectó por primera vez en 2015 y resultó ser uno de los mayores atracos a instituciones financieras mundiales de la historia.
El grupo atacó a más de 100 bancos e instituciones de todo el mundo, utilizando correos electrónicos avanzados de spear-phishing y malware.
Según la Declaración sobre la Amenaza a la Seguridad de Visa de 2015, se calcula que se perdieron hasta 1.000 millones de dólares en total, entre 2,5 y 10 millones por banco atacado.
Datos sobre phishing en el sector sanitario
En 2023, el coste medio de una violación de datos en el sector sanitario fue de 10,9 millones de dólares, según IBM.
Esto lo convierte en el sector que sufre el mayor coste de una violación de datos. Ha mantenido esta clasificación durante 13 años.
En una encuesta realizada por la Healthcare Information and Management Systems Society (HIMSS), la mayoría (59%) de los encuestados afirmó que el phishing general de correo electrónico fue el punto inicial de compromiso del incidente de seguridad más importante de su organización.
Los tipos de phishing señalados en la encuesta y su prevalencia fueron:
- Phishing general por correo electrónico – 59
- Spear-phishing – 31
- Phishing por SMS – 29
- Phishing de sitios web – 21
- Phishing en redes sociales – 17
- Whaling – 13
- Phishing/vishing de voz – 12
Ataque del ransomware WannaCry, 2017
El ataque de ransomware WannaCry comenzó en mayo de 2017. Un artículo publicado en The Journal of Law & Cyber Warfare explica que el ataque de ransomware se produjo en más de 150 países. Puso de manifiesto algunas deficiencias en el Servicio Nacional de Salud del Reino Unido (NHS) cuando más de 40 hospitales se vieron afectados simultáneamente.
El ataque comenzó con un correo electrónico de phishing dirigido al personal y a los empleados de los hospitales. Una vez conseguido, la estafa podía acceder y obtener el control total de datos y funciones valiosas. Los autores retenían el acceso a estos datos y funciones esenciales hasta que se pagaba un rescate.
Aunque el ataque WannaCry no supuso una pérdida económica significativa para los hospitales, puso de manifiesto los puntos débiles del sector.
Además, ilustró cómo un correo electrónico de phishing podía escalar rápidamente a algo más.
Ataque de phishing al Centro Médico de la Universidad de Vermont, 2020
El Centro Médico de la Universidad de Vermont sufrió un extenso ataque de phishing en 2020. El ataque comenzó con un correo electrónico de phishing enviado a los empleados de la UVM.
Aunque la UVM no pagó ningún rescate a los hackers, el incidente costó unos 50 millones de dólares.
Según informes de la Healthcare Compliance Association (HCCA), el ataque de phishing provocó la caída del sistema de la UVM durante 28 días, y los empleados se vieron obligados a limpiar de malware 1.300 servidores.
Datos de phishing en el sector manufacturero
Según el informe de IBM Cost of a Data Breach, el sector industrial sufrió pérdidas por valor de 4,73 millones de dólares en 2023.
De hecho, la industria manufacturera volvió a ser el sector más atacado en 2023 por tercer año consecutivo, según el Informe de Inteligencia sobre Amenazas de IBM X-Force.
Representó el 25,7% de los incidentes dentro de las 10 industrias más atacadas.
Ciberespionaje de ThyssenKrupp, 2016
En 2016, ThyssenKrupp sufrió un importante ciberataque que comenzó con correos electrónicos de spear-phishing que contenían archivos adjuntos maliciosos enviados a figuras específicas de la empresa. Una vez abiertos, los hackers tuvieron acceso a información sensible y diseños secretos.
Según varios informes, se descubrieron diseños de alto secreto y se robaron datos de proyectos de varias divisiones. No hubo robo directo de fondos de la empresa en este ataque de phishing, pero es un ejemplo de cómo el phishing puede provocar pérdidas financieras indirectas.
Según el Informe de Tendencias de la Actividad de Phishing de APWG, los ataques de phishing contra plataformas de medios sociales constituyeron el 42,8% de todos los ataques de phishing en el cuarto trimestre de 2023, casi la mitad.
Según un comunicado de prensa de Check Point de 2022, LinkedIn es la marca más suplantada en los ataques de phishing.
Según los mismos datos de Check Point, las principales marcas suplantadas son las siguientes: