Más de la mitad de las empresas españolas ha sido víctima de un ciberataque (51%) durante 2021, con una media de 84 ataques al año cada una de ellas. Esta realidad las ha llevado a colocar la ciberseguridad como el asunto que más les preocupa, tanto es así que un 48% le da una valoración de alta o muy alta, según recoge el 'Informe de Ciberpreparación 2022' elaborado por la compañía aseguradora Hiscox.
La mayoría de estos ataques han llegado a las organizaciones a través del correo corporativo, que se ha posicionado como la primera vía de entrada, con un 41% de los casos, seguido por los ataques a los servidores en la nube (38%), a los servidores corporativos (38%), a los móviles personales de los empleados (29%) y a los de empresa (27%).
“El cero riesgo no existe porque la última barrera de entrada son las personas y los errores humanos existen”, ha afirmado Benjamín Losada, suscriptor especializado en ciber de Hiscox, durante la presentación del documento.
El coste de los ataques se duplica
Para hacer frente al problema han aumentado su presupuesto de TI, de 13 millones de euros a 17,7 millones de media. Además, también han incrementado el porcentaje de ese dinero que dedican a ciberseguridad, del 22 al 24%.
A pesar de esta inversión, sólo el 2% se declara ciberexpertas y un 30%, de hecho, son consideradas cibernovatas. Es más, a pesar de ser conscientes de la exposición a los ciberataques, únicamente el 26% de las empresas encuestadas considera que ese riesgo ha crecido en el último año, frente al 60% que considera que se mantiene en el mismo punto que el año anterior.
“Durante los últimos meses muchas empresas se han dado cuenta de que no estaban tan bien preparadas como creían. Mientras que en 2020 el 5% se consideraban ciberexpertas, en 2021 ese porcentaje ha caído al 2%”, ha precisado Fernando Conde, cibercolaborador de Hiscox.
Una percepción que va en aumento teniendo en cuenta que el coste de los ciberataques se ha duplicado en el último año para las empresas españolas, pasando de 54.388 € en 2020 hasta los 105.655 € en 2021 de media (la cifra mundial se sitúa en 78.409 €).
Menos ciberexpertas
Aunque el ransomware se sitúa en tercera posición entre los ciberataques más comunes (22%), por detrás de los de denegación de servicio - DDoS (38%) y fraude bancario (32%), es uno de los más peligrosos por su impacto. De hecho, el 43% de las empresas españolas dejó de estar operativa después de un ataque de este tipo, un porcentaje que se eleva hasta el 56% en el caso de las pymes.
Además del coste que supone recuperarse del ataque, que el informe cifra en una media de 10.843 €, las compañías que ceden al chantaje de los ciberdelincuentes también pagan un rescate para volver a tener sus datos operativos.
Entre las empresas españolas, el 64% reconoce haber hecho este desembolso, un 20% más que el año pasado.
Esto supone que el pago por todos los rescates les ha costado una media de 19.400 €, una cifra que en el caso de muchas pequeñas y medianas empresas podría poner en especial peligro la viabilidad del negocio.
Sin embargo, pagar el rescate no siempre significa acabar con la amenaza de los delincuentes ya que, según recoge el documento de Hiscox, el 47% de las entidades que cedió al chantaje volvió a sufrir otro ataque.
La mayoría de estos ataques llegaron a las empresas a través de email de phishing no identificados como tal por los empleados de las compañías (64%). Adicionalmente, el 47% llegó a través de otros proveedores y el 38% por robo de credenciales.
Pérdida de clientes y de reputación
Los problemas que provocan los ciberataques no se limita únicamente al momento en el que ocurren. Tan sólo el 38% de las empresas españolas tarda menos de una semana en recuperarse de un ciberataque, el 34% entre una y dos, y otro 15% más de dos.
Más allá del tiempo necesario para volver a la actividad normal, el negocio de las empresas se vio resentido, tanto que el 28% perdió clientes.
En este aspecto, y como detalla Conde, hay diferencias según el tamaño de las empresas: en el caso de las grandes ese porcentaje baja al 23%, mientras que para las pymes se eleva hasta el 32%.
Otros impactos negativos de los ciberataques son la pérdida de reputación, que afectó al 29% de las organizaciones, y el aumento de los costes asociados a la necesidad de notificar a los clientes del incidente, que tuvo impacto en el 30% de las compañías.
La buena noticia es que muchas empresas escarmentaron y el 35% de ellas implantó requisitos adicionales de ciberseguridad y auditoría, otro 30% aumentó la evaluación de la estrategia de seguridad, en especial en su cadena de suministro para evitar que los proveedores se convirtieran en vías de entrada; y otro 27% trabajó activamente para mejorar su preparación ante los ciberataques.