Asistimos en los últimos meses a un número creciente de noticias relacionadas con ciberataques exitosos y de gran impacto. Según la ONU cada 39 segundos se produce un ciberataque en el mundo y el número de correos maliciosos ha crecido nada menos que un 600% en el último año. Empresas del Ibex 35, pymes, ministerios y organismos públicos y privados de todo tipo parecen haberse convertido súbitamente y por sorpresa en el objetivo preferido de los ciberdelincuentes. La realidad es que estos ataques no son en absoluto novedosos ni por las técnicas empleadas en ellos, ni por los objetivos que persiguen.
Desde hace años, estos ciberdelincuentes se rigen por un criterio estricto de coste beneficio y aplican en sus ataques metodologías orientadas a maximizar la recompensa económica de sus acciones. Según el informe Hiscox Cyber Readiness Report 2020, el coste medio por ciberataque para el conjunto de las empresas en España en 2020 fue de 66.800 euros y se acerca al medio millón en los casos de las empresas de mayor tamaño. Tenemos además el dudoso honor de haber sufrido el segundo ataque más costoso de toda Europa (+15 millones €). Un dato aún más significativo es que este coste es un 30% superior a la media de otros países de nuestro entorno. Si tenemos en cuenta que el negocio del cibercrimen es uno de los más deslocalizados e internacionales que existen vemos con claridad que se da un incentivo muy claro para atacar organizaciones españolas en comparación con las de otros países.
¿Por qué son más rentables los ataques en España?
Sin duda existen múltiples razones, pero, por destacar algunas, parece evidente que no tenemos en España suficiente cultura empresarial relacionada con la ciberseguridad tanto a nivel directivo como entre los empleados de base. Aunque los presupuestos dedicados a ciberseguridad claramente están creciendo en los últimos tiempos aún no se dota a los equipos de IT de los recursos suficientes para acometer inversiones en infraestructuras de seguridad, ni para la contratación de personal experto en ciberseguridad. Tampoco suele considerarse necesario invertir en la formación en ciberseguridad del personal a nivel global. Todo ello hace que ataques que normalmente serían sencillos de detectar con las herramientas y la formación adecuadas estén logrando su objetivo cada día en mayor número de empresas. Entre los ataques más "exitosos" cabe destacar:
Los que explotan técnicas de ingeniería social (engañar a los empleados para realizar un pago o suministrar cierta información)
Phishing (correos fraudulentos que instalan malware o roban información)
Ransomware (correos de extorsión, normalmente mediante el cifrado/robo de datos críticos)
Robo de cuentas (lograr las credenciales de acceso al correo de un usuario, por ejemplo)
Otro elemento catalizador en esta tormenta perfecta de ciberataques sería el de la pandemia de COVID-19, la cual podría haber afectado en dos vertientes simultáneas:
Por un lado, a consecuencia de la pandemia se ha producido una utilización masiva y repentina del teletrabajo en diversos sectores. Sin embargo, muy pocas empresas se encontraban realmente preparadas para adoptarlo de manera segura y mucho menos para hacerlo tan rápidamente. Muchos trabajadores han estado utilizando dispositivos que no estaban correctamente protegidos o que se conectaban mediante sistemas inseguros que no habían sido diseñados para hacer frente a este entorno.
Por otro lado, otra consecuencia clara de la pandemia ha sido el debilitamiento de los balances de muchas compañías que simplemente han tenido que realizar recortes en sus inversiones para seguir operando. Los departamentos de IT se han encontrado en la necesidad de hacer frente a la casuística del teletrabajo al mismo tiempo que contaban con un presupuesto inferior. En esas circunstancias, una de las variables que más podría resentirse es el de la inversión en ciberseguridad.
El actual aluvión de ataques pone de manifiesto el claro fracaso de los planteamientos que implican reducir o postergar la inversión en ciberseguridad. Para muchas empresas, sufrir alguno de los ataques mencionados va a suponer el cierre de su actividad; ya sea por los costes directos del ataque o por los daños infligidos a su imagen y reputación. Y tampoco hay que olvidar la posibilidad de sanciones por parte de la administración en caso de incumplimientos legales. Según Finbold, en el primer trimestre del año se han impuesto multas en la UE por incumplimiento de la GDPR por valor de 33 millones de euros. España ostenta el primer puesto destacado en el ranking por número de sanciones (34) y valor total (15,7 Millones).
En este escenario hay que considerar que la inversión en ciberseguridad supone una ventaja competitiva clave para todo tipo de empresas e instituciones. Evitar ser atacado o, simplemente, paliar los costes derivados de dicho ataque, ya sean económicos o de imagen, supone una ventaja crucial frente a otros competidores y además puede rentabilizarse también si se combina de la manera adecuada con el marketing para ayudarnos a ganar confianza entre proveedores y clientes.
