Madrid, 10 Oct. (Portaltic/EP) – El 49 por ciento de las empresas españolas sufrieron al menos un ciberataque en 2022, un dato que mejora con respecto a los últimos dos años, ya que en 2020 se registró un 53 por ciento de organizaciones afectadas.
Así lo determina el último Informe de Ciberpreparación 2023 de Hiscox, que ha matizado que 2022 -año que analiza en el estudio- volvió a ser un año crítico para la ciberseguridad de las empresas españolas, «para quienes la amenaza cibernética no deja de crecer», según una nota de prensa.
Para llevar a cabo este estudio, la compañía aseguradora encuestó a un total de 5.005 responsables de la estrategia de ciberseguridad en sus empresas de Estados Unidos y Europa. Del total, más de 400 fueron de España, 200 o más de Bélgica y más de 900 de Estados Unidos, Reino Unido, Francia y Alemania.
En líneas generales, Hiscox puntualiza que los ciberataques aumentaron en 2022 a nivel global por cuarto año consecutivo, ya que un 53 por ciento de las empresas sufrieron ciberataques, frente a un 48 por ciento que los registraron en 2021.
A pesar de este aumento, la mediana de los costes para las empresas atacadas disminuyó ligeramente, de casi 15.640 euros a poco más de 14.766 euros. Asimismo, Hiscox señala que la mediana del gasto en ciberseguridad ha crecido un 39 por ciento en los últimos tres años, hasta alcanzar los 142.600 euros.
En cuanto a los objetivos de los ciberdelincuentes, se determina que estos apuestan por las empresas que tienen 1.000 o más empleados, donde las campañas maliciosas «se han convertido en su día a día», hasta el punto de que el 70 por ciento denunciaron al menos una de ellas.
Las de menor tamaño también están en el radar de los ciberdelincuentes, puesto que en los últimos tres años el número de compañías con menos de 10 empleados que experimentaron ataques ha aumentado de un 23 a un 36 por ciento.
Asimismo, el informe indica que los ciberdelinceuntes prefirieron atacar a través del correo electrónico de la empresa, seguido de un servidor corporativo o en la nube. Este último método, de hecho, ha sido el más habitual en España.
Impacto económico de los ciberataques
Hiscox también comenta en este informe que el impacto económico de los ciberataques ha caído ligeramente año tras año, lo que significa que las empresas mejoran a la hora de identificar y frenar los ataques.
El coste actual de los ataques a medianas empresas fue de 14.720 euros por cada compañía atacada y la mediana del mayor ataque individual fue de 4.922 euros. Esta cifra se calcula teniendo en cuenta los gastos de empresas de hasta nueve empleados (1.968 euros de mediana) y de las compañías con más de 1.000 trabajadores (hasta 9.844 euros).
Por otra parte, el estudio señala que en 2022 tan solo cuatro empresas reportaron costes de ciberataques por encima de los 4,6 millones de euros, mientras que este año se han encontrado ocho empresas en este rango y tres en el de 9,2 millones de euros o más. Así, una de cada ocho empresas (12%) sufrieron costes de 230.000 euros o más.
Los gastos que deben asumir estas compañías en materia de ciberseguridad también varían en función del sector al que pertenezcan. En total, cuatro sectores -fabricación, energía, transporte y distribución y gobierno y organizaciones sin ánimo de lucro- asumieron costes medianos de 18.400 euros o más. Estos tres últimos vieron un incremento significativo de los costes año a año.
Pago de rescates para proteger a clientes
La principal vía de entrada de los ‘hackers’ fue mediante correos electrónicos de ‘phishing’, según el 63 por ciento de los encuestados; una vía que ha sido de nuevo la fuente principal de ataques de ‘ransomware’ y el segundo objetivo más habitual sigue siendo el robo de credenciales.
Entre los motivos por los que las compañías deciden abonar lo que exigen los ciberdelincuentes tras sus ataques se encuentra el de proteger los datos de los clientes, seguido del de preservar la seguridad de los datos de los empleados.
Además, el 38 por ciento de las compañías con menos de 250 empleados paga un rescate para preservar su reputación, frente al 36 por ciento de aquellas en las que hay más de 250 trabajadores.
Las organizaciones también pagan rescates por proteger documentos oficiales, recuperar datos sin copias de seguridad o para volver a estar operativos, entre otras de las razones comentadas.
En cualquier caso, desde Hiscox señalan que el 20 por ciento de las empresas sufrió otro ataque después de pagar la cantidad exigida (frente al 36% de 2022), mientras que el 22 por ciento aseguran que el atacante exigió más dinero.
Por otra parte, el 32 por ciento de los encuestados confirmó haber recuperado con éxito parte de su información, el 46 por ciento toda la información requisada y el 38 por ciento aseguró que la información robada por los ciberdelincuentes no se llegó a filtrar.
España, menos ciberataques, pero más «ransomware»
El informe de Hiscox dedica uno de sus apartados a España, país cuyos registros varían con respecto a los generales. Mientras que a nivel global crecieron los ciberataques, este país vio descender el impacto de la ciberdelincuencia en las empresas, puesto que en 2022 el 49 por ciento de las empresas notificaron una de estas incidencias, frente al 53 por ciento de 2021. A pesar de este dato, el 23 por ciento de los encuestados afirmó haber sufrido al menos un ataque de ‘ransomware’ en 2022, un 1 por ciento más que en 2022.
Por otra parte, el 57 por ciento de los encuestados españoles que fueron víctimas de este tipo de ataque de ‘software’ dedicado al robo de datos pagó por el rescate de su información, frente al 64 por ciento registrado en 2022.
Con respecto a otros países, como Alemania o Reino Unido, España también pagó menos a los ciberdelincuentes por recuperar información robada, puesto que el coste económico de un ciberataque en 2022 fue de 11.400 euros de media.
Este dato, no obstante, demuestra que el año pasado los rescates fueron más caros que en los dos anteriores, puesto que en el infrome de 2021 se indicó que el coste fue de 10.800 euros y en 2020, de 10.900 euros.
Otro dato que llama la atención en este informe es el que hace referencia al porcentaje del presupuesto de TI destinado a ciberseguridad, que el año pasado descendió del 24 por ciento de 2021 al 21 por ciento. Esta cifra es incluso más baja a la de 2020 (22%).
Esto contrasta con otro dato relacionada con mentalidad que existe acerca de los riesgos cibernéticos, ya que ha aumentado en un 25 por ciento la creencia de que estos se están reduciendo debido al aumento de los presupuestos destinados a ciberseguridad.
Cómo predecir ciberataques?
La compañía aseguradora aclara en la edición 2023 de su informe que cuanto más maduras sean las defensas de una empresa en el entorno ciber, mejor equipada está para prevenir nuevos ciberataques o minimizar su impacto.
Si bien un ciberataque no se puede predecir con precisión, la falta de atención a atributos como la aplicación de la autenticación multifactor (AMF) o la comprobación de vulnerabilidades en el nuevo ‘software’ puede indicar un posible ataque.
También se recomienda realizar pruebas de penetración y evaluaciones de vulnerabilidad, inspeccionar comunicaciones cifradas, proporcionar redes virtuales cifradas (VPN), solucionar vulnerabilidades de seguridad y analizar datos sobre incidentes anteriores.
