El 95 % de las empresas españolas ha sufrido un ciberincidente con consecuencias significativas para la compañía en el último año. Este dato, sin lugar a duda, es imponente, aunque resulta necesario ponerlo en su justo contexto.
Todos recordamos cuando en marzo, debido al impacto de la pandemia, el IBEX 35 registró una caída muy acusada. El parqué español pasó de los más de 10.000 puntos a encontrarse por debajo de los 7.000. Hasta el mes de noviembre, coincidiendo con los resultados clínicos de las primeras vacunas, los índices no han empezado a recuperarse, aunque aún queda bastante para alcanzar los niveles previos.
La economía española ha sido de las más afectadas a nivel global, debido a su dependencia de los sectores más castigados -turismo, servicios, ocio y consumo-. Las economías modernas funcionan como ecosistemas interdependientes, donde la caída de un sector puede desencadenar un efecto dominó en el resto, como ha ocurrido en el caso español.
Este revés sufrido en nuestro mercado contrasta con otros índices como el NASDAQ 100. Este indicador de las principales empresas tecnológicas estadounidenses pasó de los 9.700 puntos, de antes de la pandemia, a los más de 12.500 puntos en la actualidad.
Estos casos muestran dos realidades: las empresas españolas han visto afectadas sus cuentas de resultados y se han visto forzadas, en muchas ocasiones, a implementar políticas de reducción de gastos. Al mismo tiempo, han tenido que hacer frente al auge de la digitalización como si de una nueva revolución industrial se tratara, en la que internet son las nuevas fábricas a las que han de migrar los negocios más “artesanales”.
En este contexto, las organizaciones cibercriminales están aprovechando estas circunstancias para lanzar campañas de ciberataques a nuestras empresas. Estas amenazas se caracterizan por ser realmente sofisticadas y rentables para sus autores. Este incremento de los riesgos digitales se constata en que el 62 % de las empresas afirma haber recibido más ciberataques desde la declaración de la pandemia por la OMS.
Los cibercriminales no atienden a patrones morales o sociales. Tanto es así que, en pleno colapso sanitario, los hospitales y empresas del sector sanitario se convirtieron en el objetivo de muchos ciberataques, llegándose a perder durante semanas millones de expedientes sanitarios.
Otra muestra de ello son los ataques de “ransomware de doble extorsión”. Mediante esta amenaza, las empresas ven bloqueados sus equipos y la información que sustenta las operaciones de sus negocios, lo que les imposibilita su funcionamiento, al mismo tiempo que se produce una filtración de la información más sensible de la compañía. En esta situación de vulnerabilidad, los cibercriminales piden rescates que pueden ascender a varios millones de euros.
Covid-19 e incremento del cibercrimen
El aumento de los ciberataques es notable. El fraude y el delito digital resulta una vía más cómoda para el atacante y más compleja de perseguir por las Fuerzas y Cuerpos de Seguridad del Estado.
Además, igual que las empresas compiten internacionalmente por conseguir una mayor cuota de clientes, con independencia de las barreras fronterizas, los cibercriminales también aprovechan internet y les es irrelevante la ubicación de la empresa a la que atacan. Su único criterio es buscar a la organización más vulnerable y rentable.
El caso español no es muy diferente al de otros países y se enfrenta a un reto importante: mientras los negocios continúen la senda de la digitalización, el perímetro a proteger será cada vez mayor. Esta complejidad, unida a un escenario de contención del gasto y a la desaceleración de la inversión en ciberseguridad, puede desembocar en que los nuevos ciberataques hagan tambalear la subsistencia de algunas organizaciones, ya resentidas financieramente por la crisis actual.
Este año se ha destinado a ciberseguridad un 9,3 % del total del presupuesto de IT/OT, lo que supone un 0,07% más respecto al periodo anterior. Este incremento es insuficiente, si atendemos al aumento exponencial de ciberataques registrados, lo que influye en que la preparación de las organizaciones españolas no alcance los niveles necesarios. Existe una correlación directa entre inversión en ciberseguridad y números de incidentes: las organizaciones que destinan menos del 3% de su presupuesto de IT/OT contabilizan una media de más de dos incidentes críticos al año frente a casi un incidente que experimentan las organizaciones que invierten más del 3%.
Consecuencia de ello, el sector financiero es el único que se siente realmente preparado para hacer frente a ciberincidentes, lo que muestra que el resto de sectores tienen un menor nivel de madurez en nuestro país. Muy a menudo, se infravalora la importancia de implementar una gestión profesional de la ciberseguridad porque no genera ingresos directos. Sin embargo, este razonamiento no tiene en cuenta las derivadas de una mejora en la gestión de los riesgos como son la reputación, la confianza del cliente, la disminución de perdidas, el cumplimiento normativo, etc. Todos estos son componentes relevantes de la sostenibilidad a medio y largo plazo de cualquier estrategia de negocio.
En un contexto cada vez más digital, en el que en 2020 los ataques informáticos supusieron un coste para las organizaciones que alcanzó la cifra de 170.000 millones de dólares, urge la preparación de nuestras compañías ante posibles ataques. En todo ello, el presupuesto destinado a ciberseguridad jugará un papel muy relevante, pues contribuye de manera decisiva a una mejor preparación de la organización.
La ciberseguridad no es un lujo, sino una necesidad para garantizar la continuidad y la sostenibilidad del negocio, y como tal ha de ser percibida por nuestras organizaciones.
*** Gianluca D’Antonio (socio de Risk Advisory) y Miguel Olías de Lima (manager de Risk Advisory) trabajan en Deloitte