Zaragoza
España tiene la "medalla de bronce" al figurar entre los países con más ciberincidentes, ya que el 51% de las compañías se vio afectada por un ciberataque en 2021. Un porcentaje que se sitúa lejos del registrado, por ejemplo, en Reino Unido (42%) o Bélgica (43%).
Y la tendencia continúa al alza por que el 48% de las empresas ha informado de un ataque de este tipo en los últimos 12 meses frente al 43% del año pasado. Los ciberataques "se traducen en mucho coste para las empresas dentro de un entorno económico deteriorado. El coste medio es de 15.300 euros", lo que supone un aumento del 30% en el último año, aunque en España se sitúa en torno a los 11.000 euros de media en las pymes, afirma Benjamín Losada, Suscriptor Profesionales y Empresas / Cyber en Hiscox, a elEconomista
La presión sobre la cuenta de resultados de la empresa es una de las consecuencias de este tipo de ataques porque pone en peligro su capital económico. En concreto, el 21% de las compañías afirma que el impacto supuso una amenaza para su solvencia. Pero aún hay más efectos. El porcentaje de las que despidieron personal por un ciberincidente se ha duplicado, pasando del 5% al 11%, y, en España, el número de empresas que ha perdido clientes por un ataque de este tipo se ha duplicado en los últimos dos años, según se recoge en el 'Informe de Ciberpreparación 2022' de Hiscox. No obstante, "a largo plazo es difícil cuantificar las consecuencias porque no es solo pagar un rescate, es el deterioro de la imagen de la compañía". La ciberseguridad es "un intangible que puede suponer el florecimiento o el declive en el tiempo de la empresa", añade el responsable de Hiscox.
Dentro de las ciberamenazas, el ramsonware es una de las más frecuentes -es el tercer tipo con el 22% tras la denegación de servicio (38%) y el fraude financiero (32%)-, y de mayor incidencia en las empresas al quedar paralizada su actividad. Una consecuencia ante la que el 64% opta por pagar el rescate solicitado por los ciberdelincuentes porque "supone un alto coste por parte de las empresas". Tan solo en 2021, el pago de los rescates costó una media de 19.400 euros a cada empresa a lo que habría que sumar 10.843 euros adicionales de media en la inversión para recuperar la actividad normal tras sufrir ransomware. "Es un ataque en el que te paralizan operaciones y tecnología", añade Benjamín Losada. De hecho, el 44% decide abonar la cantidad económica para volver a ser operativas, porcentaje que se eleva hasta el 56% en el caso de las pymes.
Pero pagar el rescate no garantiza no volver a ser atacada. En ocasiones, se produce el efecto contrario, puesto que los ciberdelincuentes entienden que se volverá a abonar la cantidad exigida. Los datos así lo reflejan: el 47% de las empresas y el 50% de las pymes que pagaron la cuantía recibieron un segundo ataque y el 53% lo abonó en varias ocasiones.
El presupuesto TI no es suficiente
La ciberseguridad es una de las claves para reducir o evitar estos ataques. Las pymes consideradas cibernovatas (están menos preparadas en materia ciber), reciben una media de 28 ataques frente a los 3 de las ciberexpertas (tienen capacidad de responder rápida y eficazmente a un cibertaque para garantizar la resiliencia del negocio).
Sin embargo, solo el 2% de las pymes se considera ciberexperta. Esto es especialmente relevante porque 1 de cada 4 pymes cibernovata pierde clientes.
El presupuesto en ciberseguridad crece pero no es suficiente para hacer frente a los ciberataques
Además, las pequeñas y medianas empresas no ven crecer el riesgo de ser atacadas lo que conlleva un menor nivel inversor en el presupuesto TI destinado a la ciberseguridad: el 22,6% de las cibernovatas frente al 26% de las ciberexpertas.
En conjunto, el porcentaje del presupuesto TI destinado a ciberseguridad ha crecido en España, pasando del 22% al 24%, pero es necesaria una mayor concienciación porque "el presupuesto aumenta en las empresas, pero todavía no es suficiente porque las amenazas van evolucionando y el ciberdelincuente también invierte en herramientas y recursos".
En general, el presupuesto suele destinarse a abordar las amenazas y vulnerabilidades existentes, así como a la mejora de la seguridad del servicio y las aplicaciones orientadas al cliente. También se focaliza en el cumplimiento normativo. Entre las opciones para protegerse, están también los ciberseguros -el 66% adopta este tipo de pólizas-, que "tienen un coste anual muy pequeño y ayudan con un conjunto de servicios y herramientas".
El fallo humano es la principal puerta de entrada para los ciberdelincuentes, quienes suelen acceder a través del email phising no identificados por los empleados (64%). Es necesario así educar y formar a los empleados porque "las personas son los salvaguardas de los sistemas de información", añade el responde de Hiscox.
Y, por supuesto, hay que evitar usar contraseñas poco seguras -por ejemplo la más usada es 123456 o solo el número 1-, no emplear la misma en diversas webs, no usar sistemas sin soporte oficial porque no reciben actualizaciones lo que aumenta la vulnerabilidad, tener copia de seguridad para recuperar la información y no utilizar los equipos profesionales para uso personal o viceversa. Y, por supuesto, hay otro elemento clave: el antivirus.
Ciberamenazas por sectores
Las pymes del sector de servicios financieros y empresariales son las que mejor están gestionando la ciberseguridad de sus negocios, seguidas de las pequeñas y medianas empresas manufactureras, las especializadas en servicios legales, turismo, tecnología, retail y las de farmacia y salud.
A continuación, según el Ranking de Ciberserguridad de de las Pymes elaborado por Hiscox, se sitúan aquellas cuya actividad se centra en el sector inmobiliario, construcción, alimentación y bebidas y transporte y distribución, estando estas últimas en el puesto 12 al ser las que menor capacidad presentan a la hora de afrontar el reto de la ciberseguridad.
Las pymes del sector financiero son las más atacadas por los ciberdelincuentes
Si se atiende al número de ciberataques, las pequeñas y medianas empresas del sector financiero fueron las más atacadas (79,6%), mientras que las que sufren mayores costes por los ataques de este tipo son las pymes de servicios empresariales con un coste medio de 64.431 euros.
En cuanto a la pérdida de clientes, las mayores afecciones se registran en el sector inmobiliario y construcción en el que el 50% de las pymes ha experimentado esta consecuencia por estos incidentes. Y, ¿qué sucede con la actividad en el negocio? Las pymes del retail son en este caso las más afectadas: el 43% de las pequeñas y medianas empresas de este sector ha visto amenazada su viabilidad.
