Los ciberataques cuestan cada vez más caros a las empresas, según Hiscox, compañía aseguradora que acaba de publicar su Informe de Ciberpreparación 2022.
Según sus datos, el coste medio de la suma de los sufridos de media en 2021 asciende a 105.655 euros, frente a los 54.388 euros en 2020, lo cual “tiene un gran impacto en la viabilidad económica del negocio”.
Las empresas españolas pierden más dinero que la media mundial
España, peor
Esta cifra supone que las empresas españolas pierden más dinero por los ciberataques que la media mundial, que se sitúa en 78.409 euros. Además, más de la mitad ellas han sido víctimas de uno (51%), con una media de 84 ataques a cada una de ellas.
“Sin duda la ciberseguridad es uno de los grandes asuntos que ocupan a las empresas hoy en día y es imprescindible que se redoblen los esfuerzos en esta área”, afirma Nerea de la Fuente, Directora de Suscripción de Hiscox Iberia.
Solo el 2% de las empresas pueden ser consideradas ciberexpertas
Poca preparación
El informe señala que solo el 2% de las empresas tienen los conocimientos suficientes para ser consideradas ciberexpertas. “Es importante adquirir conciencia del grave impacto que un problema de ciberseguridad puede tener en las organizaciones, llevándolos incluso a la pérdida de clientes”, explica de la Fuente.
Esa falta de preparación ha provocado que la mayoría de estos ataques hayan llegado a través del correo electrónico corporativo, que se ha posicionado como la primera vía de entrada, con un 41% de los casos, seguido de cerca por los ataques a los servidores en la nube (38%), a los servidores corporativos (38%), a los móviles personales de los empleados (29%) y a los de empresa (27%).
En cuanto a los tipos de ataque, los de Denegación de Servicio se han convertido en la principal técnica empleada (38%), seguido del fraude financiero (32%) y el ransomware (22%). En el caso concreto de las pymes, los ataques de ransomware son cada vez más frecuentes y se han elevado hasta el 20% en 2021, frente a un 11% en 2020.
El presupuesto de TI ha pasado de 13 a 17,7 millones de euros de media
Más inversión
Para hacer frente a la problemática que plantea la ciberseguridad, las compañías españolas han aumentado su presupuesto de TI, de 13 millones de euros a 17,7 de media. Además, también ha aumentado el porcentaje de ese dinero que dedican a ciberseguridad, del 22 al 24%.
Sin embargo, a pesar de esta inversión, solo el 2% son consideradas como ciberexpertas y un 30% son incluidas por esta compañía en la categoría de cibernovatas. Es más, a pesar de ser conscientes de la exposición a los ciberataques, solo el 26% de las organizaciones encuestadas considera que ese riesgo ha crecido en el último año, frente al 60% que considera que se mantiene en el mismo punto.
Ransomware
Según el informe, el ransomware -que se sitúa en tercera posición por frecuencia- sigue siendo uno de los más peligrosos por su impacto en las compañías: además del coste en sí de recuperarse del ataque, a las compañías se les exige pagar un rescate para volver a tener sus datos operativos. En el caso concreto de las españolas, el 64% decidió someterse a las exigencias de los ciberdelincuentes, un 20% más de las que pagaban el año pasado.
Esto supone que el pago por todos los rescates tras estos ataques de ransomware les han costado una media de 19.400 euros, “una cifra que podría poner en especial peligro la viabilidad del negocio de determinadas empresas. Más allá del coste en sí del rescate, recuperarse de los ataques de este calibre sufridos el pasado año, cuesta de media 10.843 euros a las oganizaciones en España”. Sin embargo, según Hiscox pagar no siempre significa acabar con la amenaza de los delincuentes: el 47% de ellas sufrió otro ataque de ransomware como resultado de pagar el rescate del anterior.
Impacto
El impacto de este tipo de ataques es enorme: el 43% de las empresas españolas dejaron de estar operativas después de uno, el 56% en el caso de las pymes. Otro 37%, además, pagó para recuperar sus datos porque su copia de seguridad también fue robada. La mayoría de ellos se produjeron a través de correos electrónicos de phishing no identificados como tales por los empleados de las compañías (64%). Por otro lado, el 47% llegó a través de otros proveedores y el 38% por robo de credenciales.
“La problemática no se limita únicamente al momento en el que ocurren, sino que su impacto perdura”, señala el informe. El 38% de las compañías españolas tardan menos de una semana en recuperarse de uno, el 34% entre una y dos semanas y otro 15% más de dos.
Más allá del tiempo necesario para volver a la actividad normal, el 28% perdieron clientes como resultado de un ciberataque. En este aspecto hay diferencias según el tamaño [grandes, 23%; pymes, 32%].
Otros impactos negativos son la pérdida de reputación, que afectó al 29% de las organizaciones, y el aumento de los costes asociados a la necesidad de notificar a los clientes del incidente.
“La buena noticia es que muchas empresas escarmentaron después del incidente y el 35% de ellas implementó requisitos adicionales de ciberseguridad y auditoría, otro 30% aumentó la evaluación de la estrategia de seguridad, en especial en su cadena de suministro para evitar que los proveedores se convirtieran en vías de entrada; y otro 27% trabajó activamente para mejorar su preparación”, destaca Hiscox.
