El coste de los ciberataques se duplica en España en el último año

Dos de cada tres empresas acceden a pagar rescates para liberar sus dispositivos

Los ciberataques pasan factura. ¡Y qué factura! Si en el 2020 las empresas españolas sufrieron daños que tenían en promedio un coste de casi 55.000 euros, en el 2021 esta cifra se ha duplicado a más de 105.000, según los cálculos del grupo de seguros especializados Hiscox que se publicaron ayer.

En España los ataques informáticos son especialmente virulentos y dañinos, porque el coste supera incluso el promedio mundial, que ronda los 78.000 euros por cada empresa.

Más de la mitad de las compañías admite que ha sido víctima de un ciberataque a lo largo del último año. Sobre cuál es la puerta de entrada o el eslabón débil de los muros de protección, sigue siendo el e-mail corporativo fraudulento (41% de los casos). Es el caso del correo electrónico que el trabajador abre engañado sobre su real procedencia y que acaba infectando el sistema. Por detrás están los ataques a los servidores (38%) y los móviles de los empleados (29%).

¿Cuáles son los daños que padecen las compañías? Hay un impacto económico directo, como en el caso de los fraudes financieros (se llevan a cabo pagos indebidos) y las peticiones de rescates. Sobre este último punto, el estudio ofrece un dato llamativo: dos de cada tres compañías españolas admiten que accedieron a pagar.

Pero las pérdidas no están representadas solo por el coste económico, porque es el mismo negocio de la compañía el que acaba resentido en caso de ciberataque: desde una interrupción provisional del negocio pasando por la disminución de la reputación hasta la pérdida de clientes.

Para hacer frente a esta plaga, el informe asegura que las empresas españolas han aumentado su presupuesto en tecnología de la información desde 13 millones hasta casi 18 millones, con la ciberseguridad representando ya una quinta parte de esa suma.

El Instituto Nacional de Ciberseguridad (Incibe) gestionó 109.126 incidentes de ciberseguridad durante el año 2021. De esta cifra, 90.168 corresponden a ciudadanos y a empresas; 680, a operadores estratégicos, y 18.278, a la Red Española para Interconexión de los Recursos Informático de las Universidades y Centros de Investigación RedIRIS, según el Balance de Ciberseguridad 2021. La previsión es que estas cifras sigan al alza.

Gareth Wharton, consejero delegado de ciberseguridad de Hiscox, señala varios factores detrás de este empeoramiento. Primero, cuando estalló la pandemia, muchas empresas adoptaron soluciones de trabajo en remoto sin tener experiencia tecnológica previa. Segundo, la creciente difusión de las criptomonedas ha hecho que el 100% de los pagos de los rescates se haga mediante este activo, lo que incentiva la ciberdelincuencia. “El maletín ha desaparecido, y las criptomonedas permiten el anonimato”, comenta.

En cuanto a los perfiles de los criminales, Wharton identifica varias categorías. Los activistas, que atacan a las empresas como forma de rebelión y protesta para lanzar un determinado mensaje; los que no tienen motivaciones específicas, pero infectan a compañías simplemente para demostrar que pueden hacerlo, y los que operan animados por la posibilidad de ganar dinero.

También están creciendo los ataques lanzados de forma organizada como si de una guerra (cibernética) se tratara, por estados o instituciones. Francisco Valencia, director general de la firma Secure&IT, explicaba recientemente que “muchos de los ataques proceden de economías a las que les va mejor cuanto peor le va al modelo económico occidental. Países como Rusia, China y Corea del Norte suelen ser origen de ciberataques dirigidos a Estados Unidos y Europa”.

“El problema no es si serás objeto de algún ataque informático, sino cuándo”, alerta Wharton. “Es como una casa. Te puedes proteger. Pero no basta con una buena ventana, sino que también tienes que tener una puerta blindada, alarma… Al final tienes que concienciar a los trabajadores. Porque es un problema humano, no de tecnología disponible”. Su última recomendación: “Tendemos a encontrar una buena contraseña y entonces usamos la misma para todo. No es una buena práctica”, concluye. Las firmas españolas sufren un promedio de 105.000 euros en daños, por encima de la media mundial. “El problema no es si serás objeto de algún ataque informático, sino cuándo”, alerta Gareth Wharton.

P. Sandri (La Vanguardia) mayo 2022