Madrid, 1 de abril de 2024.- Un reciente estudio de Proofpoint, líder en ciberseguridad, revela una estadística preocupante. En 2023, el 67% de los empleados pusieron en riesgo a su organización debido a una falta de conocimientos sobre ciberseguridad. Esto se tradujo en un aumento del 25% de sanciones financieras, como multas por incumplimientos regulatorios, y un incremento del 56% en los daños a la reputación reportados. Se hace así evidente que, además de invertir en tecnología, es crucial que las empresas se enfoquen en concienciar y capacitar a sus colaboradores, ya que representan el eslabón más vulnerable ante posibles ciberincidentes.
Fanny Pérez Santiago, directora corporativa de Seguridad de la Información y Riesgos Tecnológicos de Grupo Codere, apunta que “Codere está continuamente expuesta a riesgos en materia de ciberseguridad, como les sucede a todas las empresas. Esto requiere que, tanto los empleados como los sistemas debamos estar al día. Para abordar esta situación, mantenemos un enfoque preventivo y de mejora continua que reforzamos a través de distintas iniciativas y de un Plan de concienciación de Ciberseguridad”.
El estudio también revela que el 73% de los profesionales encuestados admitió haber realizado acciones de riesgo para las organizaciones, como reutilizar o compartir contraseñas, hacer clic en enlaces de remitentes desconocidos o entregar sus credenciales a fuentes no fiables. Sin embargo, es alentador que el 94% de los que llevaron a cabo acciones arriesgadas eran conscientes de los peligros inherentes, lo que indica que la formación en seguridad funciona en la concienciación de los usuarios.
En 2023, el 70% de las organizaciones fue objeto de ataques BEC (Business Email Compromise o ataques al correo corporativo); mientras que el 69% experimentó una infección exitosa de ransomware. Además, siguen aumentando los ataques por teléfono (TOAD), cuando un empleado desprevenido llama a un call center fraudulento, proporcionando sus credenciales o concediendo acceso remoto a los ciberdelincuentes. Todo esto destaca la necesidad de estar alerta ante nuevas modalidades de ataques.
Los riesgos de la inteligencia artificial
Debido al auge de la inteligencia artificial, que permite a los atacantes crear emails más convincentes, están aumentado los ataques de phising a las organizaciones, tanto que el 91,1% de ellas ha enfrentado alguno. Los emails de phishing, generados por ChatGPT y otras IA, están redactados de manera impecable y obtienen una tasa de clics del 80%.
Los cibercriminales utilizan diversas técnicas, como los deepfakes, archivos de vídeo, imagen o voz que han sido manipulados mediante un software de inteligencia artificial (IA), de modo que parecen auténticos. Un ejemplo reciente es el caso de una compañía de Hong Kong víctima de una estafa través de videollamada:
“El insólito robo millonario que engañó a un empleado:
usó un filtro con la cara de su jefe”.
<<Una compañía de Hong Kong ha vivido un terrible suceso que ha dado la vuelta al mundo. Y es que uno de sus empleados ha sido víctima de una estafa mediante videollamada en la que se utilizaban deepfakes y con la que ciberatacantes consiguieron hacerse con 25 millones de euros.
Los estafadores usaron la tecnología deepfake para hacerse pasar por el director financiero y otros directivos en una videoconferencia. En la videoconferencia con múltiples personas, resulta que todos eran falsos. El estafado aseguró reconocer el aspecto y el tono de voz de sus colegas en la videollamada, así que bajó la guardia y realizó una transferencia por un valor de 200 millones de dólares hongkoneses (23,7 millones de euros) como le habían pedido.>>
Situación en Codere
En Codere, realizamos campañas de phishing de manera regular para concienciar a los empleados sobre los riesgos cibernéticos. Sin embargo, los resultados muestran un aumento del número de personas que caen este tipo de trampas. En la última campaña se comprometieron 316 credenciales, que suponen el 7,7 % de los empleados.
- Han aumentado las personas que han abierto el enlace del correo desde el 6,21% de octubre hasta el 14,53 % en diciembre.
- Igualmente se ha incrementado el número de credenciales comprometidas de un 1,98 % noviembre a un 7,78 % en diciembre.
Queda patente, por tanto, la necesidad de seguir realizando las campañas de formación y concienciación en esta materia, para disminuir el riesgo de este tipo de ataques en la organización.
Formación para la prevención en Codere
Con el objetivo de abordar y mejorar esta situación, nos complace anunciar el lanzamiento de un curso obligatorio diseñado para fortalecer el conocimiento en Ciberseguridad, a través de Codere Personas Digital. Esta formación proporcionará a nuestros colaboradores las herramientas necesarias para enfrentar y prevenir situaciones similares en el futuro, fortaleciendo así la seguridad y el conocimiento en toda la organización.
Además, se ha lanzado el curso “Ciberseguridad para dummies”, que contiene varias secciones con lo más relevante en cuanto a riesgos de ciberseguridad y cómo protegerse de ellos.
Por otro lado, vamos a activar una formación especial para el personal VIP, así como para las áreas que tienen accesos o información sensible.
Y para la mejora integral del proceso de concienciación, en base al resultado de las campañas de phishing pondremos en marcha las siguientes acciones:
- Las personas que hagan clic o comprometan credenciales recibirán en ese momento un curso de formación obligatoria de un minuto de duración.
- Asimismo, se facilitará el listado de empleados que han caído en la campaña al Departamento de Personas, para que les faciliten acceso a un curso más completo sobre phising, de 20 minutos de duración, en Codere Personas Digital.
- Los colaboradores que comprometan las credenciales en tres campañas serán contactados directamente por Ciberseguridad para realizar una formación presencial.
- Quienes hayan comprometido credenciales en tres campañas y no hayan realizado los cursos de formación, serán notificados a Personas, que establecerá las medidas oportunas según lo establecido en el proceso disciplinario de Ciberseguridad.
Con estas medidas, Codere no solo garantiza el cumplimiento de las certificaciones en ciberseguridad, sino que también promueve la responsabilidad individual de sus colaboradores en la protección de la información sensible de la empresa. El objetivo último es alcanzar la participación del 100% de los colaboradores del grupo, fomentando así una cultura interna sólida de seguridad de la información.
La compañía se compromete a continuar elevando su nivel de madurez en ciberseguridad a través de la mejora continua de los procesos, adopción de tecnologías avanzadas y programas de formación. De esta manera, se busca establecer una estrategia de ciberseguridad integral que aborde todos los aspectos relevantes y garantice la protección efectiva.
“Agradecemos el respaldo tanto de la alta dirección como de todos los colaboradores, que nos permite continuar elevando el nivel de madurez en ciberseguridad. Nuestro propósito trasciende la mera implementación de medidas o la introducción de nuevas soluciones y procesos para mitigar los riesgos. Nos enfrentamos al desafío de afianzar una cultura interna de concienciación que convierta a nuestros empleados en una barrera de protección insuperable. En última instancia, la seguridad depende de cada uno de nosotros”, concluye nuestra directora corporativa, Fanny Pérez.
En Codere, reconocemos que la seguridad depende de cada uno de nosotros. Por eso, es necesario el compromiso de todos en este esfuerzo conjunto por proteger nuestros activos y mantener la integridad de la compañía.
AGRADECIMIENTOS: Nos complace felicitar a quienes identificaron y reportaron con prontitud la campaña de phishing lanzada durante el mes de febrero: María Joao Caxide, María Torres, Angel Barrado, Ana Lipe, Alexis Vázquez, José Luis Santillana, José Luis Cerro, Ana López, Carlos Franco.
Igualmente, agradecemos a José Manuel León Alegría por su continuo apoyo en el desarrollo de la formación.
