El 49% de las empresas españolas sufrieron al menos un ciberataque en 2022, un dato que mejora con respecto a los últimos dos años, ya que en 2020 se registró un 53% de organizaciones afectadas.
Así lo determina el “Informe de Ciberpreparación 2023” de Hiscox, que ha matizado que 2022 -año que analiza en el estudio- volvió a ser un año crítico para la ciberseguridad de las empresas españolas, “para quienes la amenaza cibernética no deja de crecer”, según una nota de prensa.
Para llevar a cabo este estudio, la compañía aseguradora encuestó a un total de 5,005 responsables de la estrategia de ciberseguridad en sus empresas de Estados Unidos y Europa. Del total, más de 400 fueron de España, 200 o más de Bélgica y más de 900 de Estados Unidos, Reino Unido, Francia y Alemania.
En líneas generales, Hiscox puntualiza que los ciberataques aumentaron en 2022 a nivel global por cuarto año consecutivo, ya que un 53% de las empresas sufrieron ciberataques, frente a un 48% que los registraron en 2021.
A pesar de este aumento, la mediana de los costes para las empresas atacadas disminuyó ligeramente, de casi €15,640 a poco más de €14,766. Asimismo, Hiscox señala que la mediana del gasto en ciberseguridad ha crecido un 39 por ciento en los últimos tres años, hasta alcanzar los €142,600.
En cuanto a los objetivos de los ciberdelincuentes, se determina que estos apuestan por las empresas que tienen 1,000 o más empleados, donde las campañas maliciosas “se han convertido en su día a día”, hasta el punto de que el 70% denunciaron al menos una de ellas.
Las de menor tamaño también están en el radar de los ciberdelincuentes, puesto que en los últimos tres años el número de compañías con menos de 10 empleados que experimentaron ataques ha aumentado de un 23 a un 36%.
Asimismo, el informe indica que los ciberdelinceuntes prefirieron atacar a través del correo electrónico de la empresa, seguido de un servidor corporativo o en la nube. Este último método, de hecho, ha sido el más habitual en España.
IMPACTO ECONÓMICO DE LOS CIBERATAQUES
Hiscox también comenta en este informe que el impacto económico de los ciberataques ha caído ligeramente año tras año, lo que significa que las empresas mejoran a la hora de identificar y frenar los ataques.
El coste actual de los ataques a medianas empresas fue de €14,720 por cada compañía atacada y la mediana del mayor ataque individual fue de €4,922. Esta cifra se calcula teniendo en cuenta los gastos de empresas de hasta nueve empleados (€1,968 de mediana) y de las compañías con más de 1,000 trabajadores (hasta €9,844).
Por otra parte, el estudio señala que en 2022 tan solo cuatro empresas reportaron costes de ciberataques por encima de los €4.6 millones, mientras que este año se han encontrado ocho empresas en este rango y tres en el de €9.2 millones o más. Así, una de cada ocho empresas (12%) sufrieron costes de €230,000 o más.
Los gastos que deben asumir estas compañías en materia de ciberseguridad también varían en función del sector al que pertenezcan. En total, cuatro sectores –fabricación, energía, transporte y distribución y gobierno y organizaciones sin ánimo de lucro– asumieron costes medianos de €18,400 o más. Estos tres últimos vieron un incremento significativo de los costes año a año.
LA MAYORÍA PAGA LOS RESCATES PARA PROTEGER A SUS CLIENTES
La principal vía de entrada de los ‘hackers’ fue mediante correos electrónicos de ‘phishing’, según el 63% de los encuestados; una vía que ha sido de nuevo la fuente principal de ataques de ‘ransomware’ y el segundo objetivo más habitual sigue siendo el robo de credenciales.
Entre los motivos por los que las compañías deciden abonar lo que exigen los ciberdelincuentes tras sus ataques se encuentra el de proteger los datos de los clientes, seguido del de preservar la seguridad de los datos de los empleados.
Además, el 38 por ciento de las compañías con menos de 250 empleados paga un rescate para preservar su reputación, frente al 36 por ciento de aquellas en las que hay más de 250 trabajadores.
Las organizaciones también pagan rescates por proteger documentos oficiales, recuperar datos sin copias de seguridad o para volver a estar operativos, entre otras de las razones comentadas.
En cualquier caso, desde Hiscox señalan que el 20 por ciento de las empresas sufrió otro ataque después de pagar la cantidad exigida (frente al 36% de 2022), mientras que el 22% aseguran que el atacante exigió más dinero.
Por otra parte, el 32% de los encuestados confirmó haber recuperado con éxito parte de su información, el 46 por ciento toda la información requisada y el 38 por ciento aseguró que la información robada por los ciberdelincuentes no se llegó a filtrar.
ESPAÑA, MENOS CIBERATAQUES, PERO MÁS ‘RANSOMWARE’
El informe de Hiscox dedica uno de sus apartados a España, país cuyos registros varían con respecto a los generales. Mientras que a nivel global crecieron los ciberataques, este país vio descender el impacto de la ciberdelincuencia en las empresas, puesto que en 2022 el 49% o de las empresas notificaron una de estas incidencias, frente al 53% de 2021. A pesar de este dato, el 23% de los encuestados afirmó haber sufrido al menos un ataque de ‘ransomware’ en 2022, un 1% más que en 2022.
Por otra parte, el 57% de los encuestados españoles que fueron víctimas de este tipo de ataque de ‘software’ dedicado al robo de datos pagó por el rescate de su información, frente al 64% registrado en 2022.
Con respecto a otros países, como Alemania o Reino Unido, España también pagó menos a los ciberdelincuentes por recuperar información robada, puesto que el coste económico de un ciberataque en 2022 fue de €11,400 de media.
Este dato, no obstante, demuestra que el año pasado los rescates fueron más caros que en los dos anteriores, puesto que en el informe de 2021 se indicó que el coste fue de €10,800, y en 2020 de €10,900.
Otro dato que llama la atención en este informe es el que hace referencia al porcentaje del presupuesto de TI destinado a ciberseguridad, que el año pasado descendió del 24 por ciento de 2021 al 21 por ciento. Esta cifra es incluso más baja a la de 2020 (22%).
Esto contrasta con otro dato relacionada con mentalidad que existe acerca de los riesgos cibernéticos, ya que ha aumentado en un 25 por ciento la creencia de que estos se están reduciendo debido al aumento de los presupuestos destinados a ciberseguridad.
CÓMO PREDECIR CIBERATAQUES
La compañía aseguradora aclara en la edición 2023 de su informe que cuanto más maduras sean las defensas de una empresa en el entorno ciber, mejor equipada está para prevenir nuevos ciberataques o minimizar su impacto.
Si bien un ciberataque no se puede predecir con precisión, la falta de atención a atributos como la aplicación de la autenticación multifactor (AMF) o la comprobación de vulnerabilidades en el nuevo ‘software’ puede indicar un posible ataque.
También se recomienda realizar pruebas de penetración y evaluaciones de vulnerabilidad, inspeccionar comunicaciones cifradas, proporcionar redes virtuales cifradas (VPN), solucionar vulnerabilidades de seguridad y analizar datos sobre incidentes anteriores.
