Facebook Linkedin Twitter Instagram Youtube Telegram

Los riesgos cibernéticos son ahora la principal preocupación de las empresas a nivel global

Artículo de opinión por Juan Manuel Negro, CEO AGCS Spain

Juan Manuel Negro, CEO AGCS Spain

 Aparte de las recientes y muy publicitadas perturbaciones en los negocios a nivel global como el Brexit, el brote de coronavirus y el cambio climático, este año ya ha hecho historia de otra manera. Por primera vez en la historia, el informe anual del Barómetro de Riesgos 2020 de Allianz, publicado en enero, ha demostrado que los incidentes de seguridad cibernética son ahora la principal preocupación de las empresas y organizaciones de todo el mundo. Casi el 40% de las empresas encuestadas para el informe califican los ciberataques como el riesgo más importante para su negocio, frente al 6% de las empresas encuestadas que los identificaban como un problema en el año 2013. Este aumento de seis veces en menos de una década es una clara indicación de la rapidez con que ha crecido la conciencia de la amenaza cibernética, impulsada por la creciente dependencia de las empresas de sus datos y sistemas de TI.

¿Por qué consideran las empresas que las ciberamenazas son ahora un riesgo mayor que las amenazas más «tradicionales» como los incendios, los desastres naturales u otras formas de interrupción de la actividad comercial? Porque los costes de un incidente cibernético están aumentando de manera generalizada, como resultado de una complejidad creciente, una reglamentación más estricta y las consecuencias cada vez más perjudiciales para una empresa por la pérdida de datos o de sistemas críticos. En particular, el coste de las grandes violaciones de datos sigue aumentando, a medida que las normativas sobre la protección de los datos y la privacidad se amplía en su alcance y en su ámbito geográfico y los litigios de acción colectiva también empiezan a repercutir en el coste de hacer frente a un ataque. Entretanto, cuando un incidente da lugar a una importante interrupción de las actividades comerciales, las pérdidas suelen ser también muy elevadas.  

Violaciones de datos más grandes y más caras

A medida que las empresas generan, recopilan y utilizan volúmenes cada vez mayores de datos personales de sus clientes, las violaciones de los mismos son cada vez mayores y más costosas. En particular, las denominadas ‘mega-volaciones de datos’ (que implican más de un millón de registros) son cada vez más frecuentes y costosas. En julio de 2019, el banco estadounidense Capital One reveló que había sido golpeada por una de las mayores infracciones jamás ocurridas en el sector bancario, con aproximadamente 100 millones de clientes afectados. Sin embargo, esta violación no es de ninguna manera la más grande de los últimos años. Según el Ponemon Institute, una mega-violación cuesta ahora un promedio de 42 millones de dólares, lo cual supone un aumento de casi el 8% con respecto a 2018. Para las violaciones de datos que superan los 50 millones de registros, se estima que el coste es de 388 millones de dólares (un 11% más que en 2018).

Las normas del Reglamento General de Protección de Datos (GDPR) que entraron en vigor en toda Europa en 2018 probablemente traigan consigo nuevas multas en 2020. La Junta Europea de Protección de Datos (EDPB) publicó un informe preliminar en el que se afirmaba que de los 206.326 casos notificados en virtud de la GDPR en 31 países en los primeros nueve meses de su aplicación, los organismos nacionales de protección de datos sólo habían resuelto alrededor del 50% de ellos. Como se ha indicado anteriormente, a medida que los organismos reguladores han ido trabajando en este atraso, se han registrado más multas de mayor cuantía.

Los sofisticados y frecuentes ataques de ransomware traen consigo cada vez más pérdidas

Según Europol, la agencia de la UE para la aplicación de la ley, el ransomware es la amenaza más importante de la ciberdelincuencia. Ya de por sí alta en frecuencia, los incidentes son cada vez más dañinos, apuntando cada vez más a las grandes empresas con sofisticados ataques y fuertes demandas de extorsión. Hace cinco años, una típica demanda de rescate habría sido de decenas de miles de dólares. Ahora pueden ser millones.

Las consecuencias de un ataque pueden ser paralizantes, especialmente para las organizaciones que dependen de los datos para proporcionar productos y servicios. Las demandas de extorsión son sólo una parte del panorama. La interrupción de las actividades comerciales acarrea las pérdidas más graves de los ataques de ransomware y, en algunos casos, el ransomware es una pantalla de humo para el objetivo real de los delincuentes, como el robo de datos personales. Las empresas industriales y manufactureras están cada vez más en el punto de mira, pero las pérdidas tienden a ser mayores para los bufetes de abogados, consultores y arquitectos, para los que los sistemas y datos informáticos son vitales.

Incidentes como los del malware de Ryuk se han convertido en un factor clave para las reclamaciones de los ciber-seguros en los últimos años. Llamado así por un personaje manga ficticio, fue denunciado por primera vez en agosto de 2018 y ha sido responsable de múltiples ataques contra grandes empresas, hospitales y gobiernos locales en todo el mundo.

Los ataques de BEC dan lugar a un fraude de miles de millones de dólares

Los ataques de Business Email Compromise o BEC, también conocidos en español como “el fraude del CEO” o de «spoofing» – también están aumentando en frecuencia. Los incidentes de BEC han tenido como consecuencias pérdidas a nivel global de al menos 26.000 millones de dólares desde 2016, según el FBI estadounidense. Estos ataques suelen incluir correos electrónicos de ingeniería social y phishing para engañar a los empleados o a los altos directivos para que revelen sus credenciales de acceso o para realizar transacciones fraudulentas.

Creciente aumento de las perspectivas de litigio

Hoy en día, muchas grandes infracciones de datos desencadenan acciones reguladoras, pero también pueden desencadenar litigios por parte de los consumidores, socios comerciales e inversores afectados. Cuando lo hacen, los gastos legales pueden aumentar considerablemente los costes.

Los litigios por la infracción de los datos en EE.UU. son una situación en desarrollo. Una serie de grandes infracciones han desencadenado acciones de clase por parte de consumidores o inversores – en julio de 2019, Equifax llegó a un acuerdo de 700 millones de dólares por su mega infracción de 2017. Los tribunales de EE.UU. han estado batallando con las cuestiones de la «posición legal» – si los demandantes tienen derecho a demandar – pero la tendencia parece estar favoreciendo a los demandantes. Los cambios estatutarios y reglamentarios también podrían facilitar la compensación por las violaciones de datos. La Ley de Privacidad del Consumidor de California, por ejemplo, establece un mecanismo para que los consumidores puedan demandar a las empresas y, por primera vez en los Estados Unidos, establece una indemnización por daños y perjuicios legales por las violaciones de los datos.

Fuera de Estados Unidos, varios países han ampliado los derechos de litigio de las demandas colectivas. Por ejemplo, en Europa, el GDPR facilita a las víctimas de una violación de datos o de privacidad la búsqueda de una reparación jurídica. Además, los bufetes de abogados demandantes y los financiadores de los litigios buscan activamente entablar demandas colectivas por violaciones de datos en Europa y en otros lugares – recientemente se dio el visto bueno en los tribunales del Reino Unido a una demanda colectiva contra British Airways tras su violación de datos en 2018. Los grupos de consumidores también están buscando poner a prueba la GDPR y desafiar la interpretación de la nueva ley por parte de algunas organizaciones.

Las fusiones y adquisiciones pueden tener problemas cibernéticos heredados

Las exposiciones cibernéticas han surgido como un tema candente en las fusiones y adquisiciones (M&A) después de algunas grandes infracciones de datos. Incluso las empresas mejor protegidas estarán expuestas si adquieren una empresa con una ciberseguridad débil o con vulnerabilidades existentes. La empresa adquirente podría ser responsable de cualquier daño por incidentes anteriores a la fusión. Por ejemplo, la violación de datos del grupo Marriott en 2018 se remonta a una intrusión en 2014 en Starwood, un grupo hotelero que adquirió en 2016. 

En última instancia, la consideración de las posibles vulnerabilidades y exposiciones cibernéticas debe convertirse en una prioridad para las empresas durante una fusión o adquisición, ya que muchas empresas no están siendo lo suficientemente diligente en este ámbito. Al mismo tiempo, una vez que se ha completado un acuerdo, muchas empresas no abordan con suficiente rapidez las deficiencias de los sistemas adquiridos.

Los factores políticos juegan un papel importante en el ciberespacio

La participación de los Estados nacionales en los ciberataques aumenta el riesgo para las empresas, que son objetivo de aquellos que buscan robar la propiedad intelectual o de grupos que intentan causar trastornos o daños físicos. Por ejemplo, las crecientes tensiones en el Oriente Medio han hecho que el transporte marítimo internacional sea blanco de ataques de falsificación en el Golfo Pérsico, mientras que las instalaciones de petróleo y gas han sido objeto de ciberataques y campañas de ransomware.

Las sofisticadas técnicas de ataque y el malware también pueden estar filtrándose hacia los ciberdelincuentes, mientras que la participación de los estados nacionales está proporcionando una mayor financiación a los hackers. Incluso cuando las empresas no son el objetivo directo, los ciberataques respaldados por el estado pueden causar daños colaterales. En 2017 el ataque de malware NotPetya se dirigió principalmente a Ucrania, pero se extendió rápidamente por todo el mundo.

Gestionar el riesgo cibernético y mejorar la resistencia

La compra de un seguro cibernético debe ser uno de los puntos finales del plan de una empresa para mejorar su resistencia cibernética. El seguro tiene un papel vital para ayudar a las empresas a recuperarse si todas las demás medidas son insuficientes, pero no debe sustituir a la gestión estratégica de riesgos. La actualización y la supervisión continua de los sistemas debería ser obviamente la prioridad de la estrategia de seguridad cibernética de cualquier empresa, pero también debería serlo la inversión en la concienciación de los empleados.

La preparación y la capacitación son las formas más eficaces de mitigación y pueden reducir significativamente la probabilidad o las consecuencias de un evento cibernético. Muchos incidentes son el resultado de errores humanos, que pueden ser mitigados mediante la capacitación, especialmente en áreas como el phishing y el compromiso del correo electrónico empresarial, que se encuentran entre las formas más comunes de ciberataque.

La capacitación también podría ayudar a mitigar los ataques con programas de rescate, aunque el mantenimiento de copias de seguridad seguras también puede limitar los daños causados por esos incidentes. La capacidad de recuperación de las empresas y la planificación de la continuidad de las actividades también son fundamentales para reducir el impacto de un incidente cibernético, aunque los planes de respuesta deben probarse, practicarse y revisarse periódicamente.

Picture of Redacción

Redacción

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.