Cuando se piensa en phishing y los daños que puede causar a una organización, lo primero que viene a la mente es el robo de datos e identidad, además de las pérdidas financieras. Aunque un ataque de suplantación de identidad puede causar ese tipo de daños, existe una categoría más crítica que muchas organizaciones pasan por alto: el daño reputacional, que no siempre es tan evidente como la fuga de información o recursos financieros, pero puede ser muy destructivo y causar un impacto considerable en la pérdida de la confianza de los clientes y, por ende, tener implicaciones legales y monetarias.

Existen casos documentados en los que organizaciones como Facebook y Google desembolsaron hasta $100 millones de dólares, que fueron a parar a manos de los delincuentes después de una campaña de phishing que se prolongó por más de 2 años. Sin embargo, en la mayoría de las intrusiones, los actores maliciosos no buscan beneficios económicos, sino la información sensible de la organización.

De acuerdo con Avanan e IBM, estos son algunos datos que se deben tener en consideración:

• 1 de cada 99 correos que se envían por Internet es phishing.
• De los correos catalogados como phishing, 2 de cada 3 contienen enlaces maliciosos o malware.
• En promedio, un empleado puede recibir 4.8 correos de phishing en una semana laboral de 5 días.
• Hay un 27% de probabilidad de que una empresa experimente, en los próximos dos años, una brecha de seguridad debido a un ataque de phishing.
• Existe un 42% menos de posibilidades que un cliente quiera participar en negocios con una empresa que fue víctima de un ataque exitoso de phishing.

¿Qué se puede hacer para mitigar el riesgo?

• Robustecer el programa de concientización a todos los empleados, usando ejemplos de ataques phishing que se han dado en los últimos años a lo largo del mundo.
• Generar campañas de concientización mediante correo electrónico.
• Invertir en tecnología, ajustando a sus necesidades las herramientas de antispam.
• Usar herramientas de autoservicio, con las que, una vez concientizado el usuario, sea capaz reenviar correo malicioso tipo phishing para su análisis.

Referencias:
https://www.cybsafe.com/community/blog/how-can-phishing-affect-a-business/
https://www.stage2data.com/what-damage-can-phishing-cause-to-your-business/#:~:text=In%20this%20regard%2C%20Avanan%20points,and%20reputational%20damage%20(50%25).
https://www.itproportal.com/2016/06/24/phishing-attacks-pose-serious-threat-brands-reputation/
https://retruster.com/blog/phishing-attack-true-cost.html