Especial Tecnología
La llegada de la pandemia a principios de 2020 aceleró la digitalización del tejido empresarial, en gran parte gracias al boom que registró el teletrabajo durante los meses de restricciones más duras. Un trabajo en remoto que en muchas empresas llegó para quedarse.
Esta exposición al mundo tecnológico ha venido acarreada también de una mayor exposición a los ciberataques, unos delitos que ya estaban en auge antes de la Covid-19. De hecho, se han disparado un 509% en ocho años. Solo en 2023, se produjeron 472.125 delitos informáticos, un 26% más si se compara con los 374.737 registrados el año anterior, según recoge el Informe sobre la cibercriminalidad en España elaborado por el Ministerio del Interior. La importancia de la cibercriminalidad crece cada año tanto, que su peso proporcional en la delincuencia en general cada vez es mayor y ha pasado de un 9,9% en el año 2019, a un 19,2% en 2023.
"En los últimos años hemos hecho una transformación digital en las empresas enorme, hemos cambiado toda nuestra infraestructura. Con la llegada de la pandemia y el teletrabajo hemos ampliado mucho el perímetro de ataque de una empresa. Además de que ha crecido enormemente", explica a elEconomista.es Alejandro de la Peña, director general en España de A3Sec. La compañía presta servicios para ayudar a sus clientes en la detección, la prevención y la reacción ante un ciberataque.
Ese crecimiento del perímetro de ataque ha provocado que estos delitos prácticamente se dupliquen, pasando de 218.302 en el año previo a la pandemia a 472.125 en 2023, según recogen los datos del Ministerio del Interior. "Las herramientas que tienen los atacantes, año tras año, cada vez son mejores. Es verdad que la defensa también va mejorando, pero siempre es más fácil atacar que defenderse", destaca de la Peña.
El 60% de las empresas atacadas cierra 6 meses después
El objetivo de estos ciberdelincuentes no es otro que el beneficio económico, es por eso que en general los delitos más comunes son los que se basan en ingeniería social, como el phishing y el ransomware, porque es más rentable atacar directamente a las personas que a las empresas. "El cálculo de un ataque de ransomware, que es el más típico, es de unos 5 millones de euros", apunta el directivo de A3Sec.
Un impacto económico que va de la mano también con un impacto reputacional. "El 60% de las empresas atacadas cierra 6 meses después. Una pyme española no puede asumir el coste de, por ejemplo, 100.000 euros porque trastoca totalmente su negocio y hace que deje de ser competitiva", añade Diego León, consejero delegado de Flameera. Pese a que las empresas están tomando cada vez más medidas para protegerse de este tipo de ataques, la realidad es que no existe la vacuna definitiva contra estos delitos. "Los ciberataques ya han llegado a superar el dinero que se mueve con la droga. Además, parte del problema es que las pymes no ponen tanto el foco en la ciberseguridad", denuncia León.
Este tipo de empresas, que forman la mayor parte del tejido empresarial español, se encuentran con mayores dificultades a la hora de tomar medidas para protegerse de los ciberataques, sobre todo, porque suelen acarrear una inversión que no siempre pueden asumir. Además, hay que tener en cuenta que se trata del principal objetivo de los ciberatacantes. Según los datos de Google, el 43% de los ciberataques se dirigen a pymes. Esto se debe a que sus recursos son más limitados, sus infraestructuras están desactualizadas, son la puerta de entrada a otras empresas y tienen menos recursos para detener y dar respuesta a los ataques.
"¿Por qué se ataca a las pymes? Se está haciendo mucho hincapié a lo que se llama la cadena de suministro. Muchas veces son atacadas porque están dando servicio a la empresa grande. No entran al sitio que tiene la seguridad más fuerte y entran al que tiene la seguridad baja pero tiene conexión con el grande", relata León. "Hay varias vías de entrada a una empresa, una es a través de la cadena de suministro. Y esto para los ciberdelincuentes es fabuloso porque con un solo ataque su malware se distribuye a muchas empresas", añade de la Peña.
El pasado 18 de octubre fue una fecha marcada en el calendario con respecto la forma en que las empresas y las instituciones abordan la seguridad digital. ¿El motivo? La llegada de la normativa NIS2. Esta regulación busca ampliar el alcance de las normas de ciberseguridad de la Unión Europea a nuevos sectores y entidades para mejorar la capacidad de respuesta a incidentes. Afecta a todas las organizaciones de la UE, industriales y no industriales, incluidos sus proveedores.
"Se trata de una normativa europea. La NIS1 afectaba a seis sectores (banca, energía, agua, sanidad, transporte e infraestructura digital) y ahora lo han ampliado a 12. Son entidades esenciales, las más críticas, y entidades importantes, las menos críticas. Además, la NIS2 ha incluido a las pymes. El objetivo es que las empresas sean más resilientes a los ataques", detalla el director general en España de A3Sec.
Entre las medidas que incluye la norma y que deben adoptar las empresas destacan "nuevas medidas sobre análisis de riesgos, sobre la actividad de la empresa, seguridad en la cadena de distribución, mejora en la gestión de incidentes y en el desarrollo de los sistemas de información...", enumera de la Peña.
La NIS2 también incluye un importante régimen sancionador que afectará a aquellas empresas que no cumplan los requisitos. "En el caso de las entidades esenciales se enfrentan a multas de hasta 10 millones euros o el 2% de sus ingresos anuales y para las empresas importantes hasta 7 millones o el 1,4% de sus ingresos", explica el CEO de Flameera.
La NIS1 afectaba a seis sectores (banca, energía, agua, sanidad, transporte e infraestructura digital) y ahora lo han ampliado a 12
Los Estados miembros de la Unión Europea tenían hasta el pasado 18 de octubre para trasponer la directiva a su legislación nacional. Esto significa que las empresas afectadas deben estar preparadas para cumplir con los requisitos desde esa fecha. Además, antes del 17 de enero de 2025, los Estados miembro deberán haber comunicado el régimen sancionador aplicable por incumplimiento y, para el 17 de abril de 2025 deberán haber elaborado una lista de entidades esenciales e importantes. Pese a que los plazos son públicos, son muy pocos los países que están al día con el calendario. "El problema está en que había que tenerlo para el 17 de octubre y los únicos países que han finalizado la transposición son Bélgica, Croacia y Hungría. En el caos de Italia, Alemania o Finlandia, por ejemplo, han hecho un borrador, pero no lo han publicado. Y España y otros tantos países no tienen ni borrador ni anteproyecto. Todavía queda mucho", denuncia el CEO de Flameera.
El director general en España de A3Sec no es optimista con los plazos: "El 17 de octubre es la fecha en la que debería estar todo listo, pero la realidad es que no se sabe todavía cuándo estará. La realidad es que se está retrasando todo".
Pese a que se trata de delitos cada vez más comunes y con una repercusión muy importante en las cuentas de las compañías, la realidad es que todavía queda mucho camino por recorrer en lo que ha seguridad se refiere. De hecho, solo el 46,8% de las empresas afirma tener definido formalmente un plan específico de seguridad digital, según datos del Observatorio de Competitividad Empresarial dedicado a la ciberseguridad realizado por la Cámara de Comercio de España.
Los datos avalan el relato de León y de la Peña con respecto a la implicación de las pymes en materia de ciberseguridad. Así la existencia de una política de ciberseguridad es menor en microempresas (29%), entre las pequeñas (56,3%) y entre las medianas (61,5%), mientras que resulta notablemente mayor en las empresas más grandes (85,7%).
Además, el estudio señala que tan solo el 24,3% de las empresas consultadas planea reforzar su ciberseguridad en los próximos 12 meses, con un incremento medio de la inversión del 23,5%. Y ello se debe a que la mayoría de las compañías afirman sentirse seguras, ya sea por considerar que se encuentran bien protegidas (73,8%), porque se perciben como poco o nada atractivas para los ciberdelincuentes (55,3%), o bien porque únicamente un 11% de ellas han sufrido algún ciberataque en los últimos 24 meses.
Del mismo modo que con la planificación, los resultados alcanzados indican que la preocupación, la sensación de vulnerabilidad y la autopercepción de atracción para los ciberdelincuentes se incrementa conforme aumenta la dimensión de la empresa.
