Por Maribel Poyato, Country Manager de Tixeo España.

Los avances tecnológicos y las nuevas formas de comunicación han abocado al planeta al mundo digital. Un cambio que, en su cara menos agradable, cuenta con efectos indeseados. Y es que se han abierto las puertas a unos ciberdelincuentes cada vez más sofisticados.  El nacimiento y la rápida difusión de las redes informáticas, están propiciando que la cibercriminalidad sea uno de los ámbitos delictivos con más rápido crecimiento a nivel mundial.

El cibercrimen compite ya de igual a igual con el narcotráfico y la venta de armas ilegales, posicionándose en materia de lucro ilícito por encima de ambos, es decir que el cibercrimen mueve actualmente más dinero que el narcotráfico. 

El año pasado se batió el récord de ciberataques, con más de 10.500 millones de incidentes en todo el mundo. Además, en 2018 se detectaron casi 75.000 nuevos tipos de ataques cibernéticos.

En España según datos del Observatorio Español de delitos informáticos, los ciberdelitos han crecido exponencialmente en los últimos años, pasando de 37.458 ciberataques en 2011 a 81.307 ciberataques en 2017.

Según estudios publicados, más del 64% de las empresas españolas se ha enfrentado en los últimos 24 meses al menos a un ciberataque, todo y así el 75% de los ataques nunca son de conocimiento público a pesar de los requisitos de notificación de infracciones de la GDPR. Por otro lado un 44% ni siquiera ha sido consciente de haber sido atacada. En este punto es importante destacar que las más vulnerables son las pequeñas y medianas empresas. De hecho, son el objetivo de un 43% de las intromisiones. Otro dato interesante es que el 46% de los ataques de éxito se dirigen a empleados con cualificación insuficiente. 

Según el Centro Criptológico Nacional, del total de ciberataques registrados en 2018, 13.000 fueron de carácter grave, estando el ciberespionaje a la cabeza de los ciberdelitos.

Estas cifras muestran el incremento que se está registrando durante los últimos años, aunque este aumento según el Centro Criptológico Nacional, se debe tanto a un aumento de ciberincidentes como a su mayor detección. En este marco, los actores estatales y los criminales profesionales continúan siendo las amenazas más importantes, al tiempo que la ciberguerra económica se hace cada día más presente en el mundo. 

¿Cómo se traduce todo esto en pérdidas económicas para las empresas?

En líneas generales, el impacto económico que los ciberataques tienen a nivel mundial es de más de un billón de euros. 

Pese a estas cifras y los problemas causados, muchas compañías desconocen los riesgos a los que se enfrentan por una falta de seguridad. Estas pérdidas son debidas en gran parte al robo de datos e información estratégica. Todo y así, la ciberdelincuencia, sigue sin ser prioridad para las empresas y el nivel de protección es bajo. Hasta que no lo sufren en sus carnes, muchas compañías lo ven como algo secundario, así pues se detecta una falta de concienciación en el ámbito empresarial acerca de las consecuencias económicas y productivas que puede tener un ataque de este tipo y de si, realmente, una pequeña o mediana empresa puede ser objetivo de una intromisión en sus datos. 

De hecho, según un estudio global tan solo una de cada diez empresas cuenta con el presupuesto necesario para protegerse contra los ataques digitales con sistemas efectivos de ciberseguridad y un 38% de las empresas no tiene la capacidad de detectar un ataque sofisticado. 

En una encuesta llevada a cabo por Baker & Mckenzie, se detectó que el 82% de los empresarios consideran los secretos comerciales como “parte esencial de su negocio”. Casi la mitad de los 400 directivos encuestados dijo que esta información es más importante que sus patentes y sus marcas, pero menos de un tercio admitió disponer de procedimientos para responder a la amenaza de los robos. Ahí está el problema. Actualmente es mucho más fácil acceder a los datos y las compañías de repente se han dado cuenta de que no habían cerrado la puerta con llave. 

Algunos informes y estudios:

Según el informe de NTT Com Security, recuperarse de un ciberataque cuesta una media de 300.000 € a una empresa con 1000 empleados o menos, y hasta 1,3 millones de € a una empresa con más de 5000 empleados. 

Un informe de Acceture dice que en 2018 la media del impacto económico en las empresas fue de 13 millones de dólares, un 12% más con respecto al 2017. En cuanto a países, el coste medio anual debido al cibercrimen en EEUU es de más de 27 millones de dólares, comparado con España que es de más de 8 millones de dólares. A nivel sectores, el sector bancario es el que asume un coste mayor, siendo el coste medio anual de más de 18 millones de dólares.

Otro estudio de McAfee y el Centro de Estudios Estratégicos e Internacionales, dice que el cibercrimen tiene un coste anual por empresa de 520.000 millones de euros.

Vamos a ver algún ejemplo concreto:

Lo cierto es que ni las grandes, con toda su inversión, escapan a la amenaza. De ejemplo están Telefónica, Maersk, FedEx, Altran, Airbus, Amadeus, Naturgy, Apple, Ministerio de defensa, etc. 

Un ejemplo concreto es el ciberataque sufrido por la empresa noruega Demant el pasado 3 de septiembre. A falta de recuperarse totalmente, estiman las pérdidas en 80 millones de euros. Este ciberataque se produjo directamente a su infraestructura de software. Gracias a la rápida respuesta de su equipo pudieron recuperar parte de la producción, pero a día de hoy faltan por recuperar la producción de las fabricas de Dinamarca y Francia, así como revisar la cadena de suministro y distribución. Solo se ha recuperado casi totalmente las líneas de producción de Polonia y México. Calculan que faltan unas dos o tres semanas para estar completamente operativos. Este ataque no solo afecta a la empresa o el mercado, también a los más de 14.000 empleados que tienen distribuidos por el mundo. Gracias a que esta empresa contaba con un seguro de ciberriesgos, las pérdidas económicas se estiman en 7 millones de euros más el retraso en el crecimiento estimado del mercado de EEUU, en el cual estaban enfocados.

Conclusiones y recomendaciones:

Existen 2 tipos de empresas, las que han sido atacadas y las que no saben que han sido atacadas o van a serlo en breve. La realidad es que hoy en día nadie se libra de ser atacado y la pregunta no es cómo evitar el ataque sino cómo estar protegido cuando me ataquen.

Las empresas deben incrementar su inversión en ciberseguridad y asumir que la ciberseguridad no es un gasto sino una inversión frente a pérdidas, implementar políticas de zero trust, usar software y aplicaciones seguros desde el diseño, formar en ciberseguridad a los empleados, disponer de un ciberseguro, etc.

Según un análisis realizado por Faronics, aquellas empresas que disponen de un sistema de protección de equipos informáticos pueden reducir en un 63% el número de incidencias.

Lo que queda claro es que prevenir un ataque siempre será más barato que afrontar las costosas consecuencias del mismo. Todo y así la prevención, como no genera beneficios directos o inmediatos, brilla por su ausencia para muchos.