Los ciberataques se intensifican, pero la percepción del riesgo también, lo que favorece la capacidad de las empresas para afrontarlo. Así al menos se desprende del Informe de Ciberpreparación de Hiscox 2022, que pone sobre la mesa que el 48% de las compañías informaron de un incidente cibernético en los últimos 12 meses, frente al 43% anterior.
ARTÍCULO PUBLICADO EN LA REVISTA PYMESEGUROS NÚMERO 118
Un crecimiento que tiene su claro reflejo en la cuenta de resultados, toda vez que hasta una de cada cinco empresas atacadas dice que su solvencia se vio amenazada, lo que supone un aumento del 24% respecto al año pasado. No obstante, el coste mediano de los ataques ha aumentado un 29%, hasta algo menos de 15.300 euros. Un aspecto que se intensifica en las empresas calificadas como “cibernovatas”, en las que los costes medianos de los ciberataques, expresados como porcentaje de los ingresos, son dos veces y media más altos.
Uno de los aspectos que más incidieron en el auge de estas amenazas fue el incremento del trabajo a distancia. La pandemia hizo que las empresas aceleraran su viaje a la nube, lo que provocó un gran salto en los ataques a través de servidores en la nube, que ya es el principal método de entrada de los hackers (el 41% de los incidentes se producen por esta vía), por encima del email y los servidores corporativos.
Además, han crecido los ataques de ransomware, de modo que el 19% de las empresas encuestadas notifica un ataque de extorsión, frente al 16% del año pasado. De las atacadas, dos tercios pagaron el rescate en una ocasión y un 53% los pagaron varias veces. Como dato positivo está que la mediana del total de rescates pagados ha bajado un 20% y los costes de recuperación se han reducido casi a la mitad. Además, más empresas recuperaron o reconstruyeron sus datos a partir de copias de seguridad en varias ocasiones.
Todo ello ha derivado en un aumento del gasto en ciberseguridad. El gasto medio ha crecido un 60% en el último año hasta los 4,8 millones y se ha incrementado un 250%, desde 2019. Además, el 64% de las empresas tienen actualmente coberturas cíber con un seguro específico o como parte de otra póliza, frente al 58% de hace dos años.
En cualquier caso, las empresas parecen estar volviendo a lo básico tras dos años de pandemia y varias vulnerabilidades a gran escala. Se están centrando en las amenazas existentes (asegurándose de que los dispositivos estén parcheados y actualizados), además de garantizar que las políticas y los procedimientos estén actualizados, en especial probando los planes de respuesta a incidentes. Por último, están combatiendo los ataques de phishing (el método de entrada más frecuente para los ataques de extorsión cibernética) impartiendo formación en ciberseguridad en sus organizaciones.
La percepción general del riesgo ha crecido, de modo que la amenaza cíber ya es considerada como el riesgo número uno para las empresas. Y es especialmente notorio entre las compañías que ya han sufrido un ciberataque: más de la mitad de las víctimas lo ven como un área de alto riesgo (el 55%), mientras que entre las que no fueron víctimas, la cifra es solo del 36%. Mantener los datos seguros, independientemente del riesgo cíber, parece ser importante para todas las empresas: el 72% está de acuerdo en que su reputación podría verse dañada si no gestionan los datos de los clientes y socios de manera segura.
Este abismo en la percepción se refleja en el número de organizaciones que dicen que han aumentado los riesgos en el último año. Más de dos de cada cinco, que sufrieron ataques (el 41%), dicen que ha aumentado su exposición al riesgo. Entre las que no padecieron incidentes, la cifra se acerca más a una de cada cinco (el 23%).
También se aprecian diferencias según el grado de madurez cibernética. La mayoría de las empresas que obtienen la calificación de expertas muestran una conciencia elevada del peligro, al igual que el 49% de los que tienen algún tipo de cobertura cíber. No obstante, la cantidad de compañías expertas que consideran que su exposición a los ataques es alta o muy alta es casi el doble que las novatas: el 59% frente al 32%. Es de señalar que cuatro de cada cinco empresas que no tienen cobertura cíber y que dicen que no tienen previsto obtenerla, no sufrieron un ataque en el último año. “No han pasado todavía por el cambio de percepción que experimentan por lo general las víctimas de ciberataques”, resalta el estudio.
En cualquier caso, se pone de relieve que dedicar esfuerzos refuerza la confianza. Así, una de cada seis expertas dice que ha disminuido su exposición a los ciberataques en el último año, gracias a una mejor implantación de procesos o procedimientos de ciberseguridad, como por ejemplo parches o pruebas de penetración (según el 62% de este grupo), y el nombramiento de funciones clave de ciberseguridad o el refuerzo del equipo de personas (según el 46%).
La reacción tras los ciberataques también fue homogénea entre las empresas expertas, de modo que dos de cada cinco implantaron requisitos adicionales de auditoría y ciberseguridad (el 41%), intensificaron la formación de los empleados (el 39%) y mejoraron su preparación para ciberataques (el 39%).
Las expertas han respondido también de forma más decidida a los desafíos de la pandemia. Es mucho más probable que hayan aumentado el trabajo remoto, adoptado tecnologías colaborativas y basadas en la nube, cambiado los pagos en línea y acelerado sus planes de transformación digital.
Precisamente el paso al trabajo remoto ha cambiado el foco de los ataques. La forma principal de entrada de los hackers son los servidores de empresa, aunque también ha habido un gran aumento en el número de notificaciones de entrada a través del servidor en la nube. Esta realidad está en consonancia con la advertencia que hacen las agencias internacionales de que los ciberdelincuentes dirigen ataques cada vez más a la infraestructura de la nube.
Aunque existe una percepción bastante uniforme de los diferentes tipos de ataques, la realidad enseña a las empresas dónde deben poner su foco de atención. Así, el uso indebido de recursos de TI (el 32%) y el fraude de desvío de pagos (el 31%) se posicionan como los dos tipos principales de ataques y, por tanto, parecen contar con más riesgos que la extorsión cibernética (el 19%). La conclusión del informe es que las empresas puede que no estén prestando la atención necesaria para evitar los dos primeros.
La cantidad media de ciberataques por empresa ha aumentado este año solo moderadamente: de 179 a 190. En la mayoría de los grupos ha aumentado a medida que los hackers han dirigido más su atención a las empresas medianas y pequeñas. Las grandes (a partir de 250 trabajadores) vieron aumentar el número medio de ataques de 45 a 69; las que tenían de 10 a 49 empleados sufrieron un promedio de 56 ataques, frente a 31 del año anterior; y las más pequeñas, con menos de 10 empleados, vieron cómo se multiplicaban casi por cuatro los ataques, pasando de 11 a 40.
En cualquier caso, en las compañías con ingresos de hasta 90.000 cabe esperar aproximadamente tantos ataques como las empresas que son 100 veces mayores, en línea con las advertencias de las agencias internacionales acerca de que los extorsionadores están trasladando su foco de atención para dirigirse cada vez menos a objetivos de ‘primer orden’ y más a los de tamaño mediano.
También ha habido un cambio en el enfoque sectorial. Los ramos que sufrieron más ataques fueron los de ocio y turismo (en el que el 61% notificaron uno o más ataques), los servicios profesionales (el 58%) y el comercio minorista/mayorista (el 56%). Los principales objetivos del año anterior, energía y transporte/distribución, experimentaron una marcada caída en los ataques.
Al igual que los ataques, el coste medio de todos los ciberataques sufridos por cada empresa también aumentó, en este caso un 30% en el último año, hasta situarse en los 15.300 euros. Además, el número de encuestados que despidieron personal tras un ataque se duplicó, pasando del 5% al 11%. A su vez, una de cada cinco empresas pagó una sanción administrativa sustancial, casi el doble que el año anterior, y una proporción similar dijo que el impacto supuso una amenaza para su solvencia (el 21%).
Este incremento en la amenaza cibernética ha derivado en que el gasto medio en ciberseguridad se incrementase, hasta un 60% el año pasado, hasta alcanzar los 4,8 millones de euros, experimentando un aumento del 250% desde 2019. Sin embargo, existe una gran división entre empresas grandes y pequeñas.
El gasto medio de las organizaciones de 250 a 999 empleados se ha duplicado en el último año y para las grandes empresas de más de 1.000 empleados, es un 65% superior. En el otro extremo de la escala, la historia es diferente. Las empresas que tienen entre 10 y 49 empleados han reducido casi a la mitad sus presupuestos de ciberseguridad, desde 369.900 euros hasta 229.500. Entre aquellas que tienen menos de 10 empleados, el gasto se ha desplomado, de un promedio de 135.000 euros hasta solo 26.100. “Es probable que esto guarde relación con la pandemia, ya que las empresas tienen menos recursos para gastar en TI”, sugiere el informe. Sin embargo, ha aumentado ligeramente el porcentaje del presupuesto de TI que han dedicado a la ciberseguridad las compañías de este tamaño, del 17% del año pasado al 20%.
Y aunque la brecha de gasto existente entre las expertas y el resto es notable, se ha reducido drásticamente en el último año. Las empresas que obtienen la calificación de novatas han aumentado el gasto medio en ciberseguridad más del triple (hasta 2,9 millones), mientras que las que obtienen la calificación de intermedias han aumentado el suyo en un 63% de media. Con 5,6 millones, gastan ahora más de 900.000 euros que la empresa experta media.
Respecto a la protección a través de un seguro cíber, más de un tercio de las empresas con 250 o más empleados tienen una póliza de este tipo independiente (el 35%), y el 40% tiene cobertura de ciberseguridad como parte de otra póliza. Por debajo de ese umbral, las cifras equivalentes son del 28% y el 29%. “La pertinencia de la protección es obvia para las empresas más pequeñas que no pueden emplear grandes equipos de especialistas en ciberseguridad, sobre todo porque la evidencia pone de manifiesto que las empresas pequeñas están cada vez más en la línea de fuego”, manifiesta el análisis.
Los tres motivos principales para obtener cobertura de ciberseguridad son la capacidad de adquirir experiencia, la gestión de crisis y el análisis pericial de TI (por detrás de las preocupaciones sobre la seguridad de los datos y un poco por delante de la necesidad de mostrar a los clientes que la empresa se toma la protección de ciberseguridad en serio).
Pero entre las expertas, que son las que tienen generalmente experiencia interna, el segundo motivo es la preocupación de que, en el caso de sufrir un ataque, los clientes podrían presentar una reclamación en su contra. En total, el 46% de estas tiene actualmente una póliza de seguro cíber independiente (en comparación con el 31% de media y el 29% de las novatas).
Por sectores, la adopción de seguros cíber es más alta en los servicios financieros, en el que el 74% tienen cobertura a través de una póliza independiente o como parte de una póliza más amplia, y otro 18% dice que tiene previsto obtener cobertura pronto. Las empresas de construcción y turismo se encuentran en el otro extremo del espectro: apenas el 53% de ambas industrias tiene algún tipo de cobertura cíber.
En cualquier caso, el seguro cíber se erige como una buena medida de seguridad. No obstante, como destaca el informe, las empresas aseguradas tienen más probabilidades de responder a un ciberataque aumentando sus defensas que las no aseguradas. Uno de los motivos que explica esta diferencia es el hecho de que la propia aseguradora que les respalda les pregunte si han mitigado ciertas amenazas o si les han ayudado a solucionar un problema tras un ataque anterior.
España es el único país entre los analizados (junto a Bélgica, Alemania, Países Bajos, Reino Unido, Francia, Irlanda y Estados Unidos), donde ha disminuido la proporción de empresas atacadas en el último año, del 53% al 51%. Además, el coste medio de los ataques se mantuvo estable en los 11.000 euros, aunque crecieron 8 puntos porcentuales aquellas compañías que padecieron un incidente de ransomware (el 22%), de las que el 64% pagaron (un 20% más que un año antes). Estas circunstancias se han materializado en un incremento del porcentaje de presupuesto de TI destinado a ciberseguridad (24%) y la mayor adopción del seguro cíber, del que ya disponen el 66% de las organizaciones.
El motivo principal para invertir en ciberseguridad que aducen las empresas españolas es la preocupación por la seguridad de los datos. De hecho, las tres prioridades de gastos son abordar las amenazas y vulnerabilidades existentes; conseguir o mantener el cumplimiento normativo; y mejorar la seguridad del servicio y las aplicaciones orientadas al cliente. No hay que olvidar el gran impacto que tienen estos ataques en la solvencia de las organizaciones. Para comprobarlo, un dato: las empresas que han perdido clientes como consecuencia de ataque se duplicaron con creces en los últimos dos años.
Ahora bien, esta mayor preocupación por la ciberseguridad no se está reflejando, por el momento, en el grado de madurez cíber de las compañías españolas. Junto con Bélgica, somos el país con menos empresas expertas (apenas el 2%), mientras que un 30% tienen un grado intermedio y hasta el 68% son novatas.
www.pymeseguros.com