Los ciberataques cuestan 1,3 millones de euros y afectan a siete de cada 10 empresas
La formación de los trabajadores y el diseño de protocolos son dos de las principales medidas para mitigar los efectos de los ciberataques
La ciberseguridad es un tema que preocupa a las empresas. El año pasado, casi siete de cada 10 compañías españolas sufrieron las consecuencias de los ciberataques, con un impacto económico de 1,3 millones euros. En un contexto de creciente digitalización, los riesgos informáticos crecen. De ahí que la formación de los trabajadores, los protocolos de actuación y los planes de compliance sean claves para la gestión de riesgos cibernéticos.
Según el informe ‘2023 Global State of Security Report’, de Infoblox, el 38% de las compañías españolas sufrió brechas ocasionadas por dispositivos BYOD, es decir, que pertenecen a los trabajadores. Este dato está casi 10 puntos por encima de los que se han padecido en los dispositivos corporativos, en los que hubo un 29% de afetación.
En cuanto al origen de estas brechas de seguridad, en el 30% de los ciberataques la causa fue el uso inadecuado de aplicaciones, un 36% se originó en aplicaciones en la nube, un 29% lo tuvo en un acceso wifi.
El promedio de ataques sufridos por cada organización en 2022 fue de 120. La mayoría tuvieron el correo electrónico/phishing como vector de ataque, seguido de los intentos, seguido de intentos de intrusión en la red, ataques perpetrados a través de aplicaciones y de la nube, ciberataques a la cadena de suministro o el ransomware.
10 amenazas de ciberseguridad para las empresas
La preocupación de las empresas por los ciberataques crece cada año a medida que avanzan sus procesos de digitalización y se encuentran con ataques cibernéticos más sofisticados. Es necesario poner el foco en la formación de los trabajadores para evitar errores involuntarios y para que sepan identificar los posibles ataques.
Según la empresa de servicios profesionales BDO, hay diez amenazas que este año pueden causar problemas a las compañías de todos los sectores. Son las siguientes:
- Phishing o smishing. Es el responsable del 91% de los casos de ciberataques. Su objetivo es suplantar la identidad y robar información sensible, contraseñas o tarjetas de crédito y otra información confidencial. Puede entrar a través de SMS (smishing) o de un correo de una compañía conocida (phishing), haciendo que el destinatario baje el nivel de alerta ante una amenaza potencial.
- Malware. Se trata de software malicioso que diseñan los ciberdelincuentes para que actúe como puerta trasera, facilitando la entrada y toma de control del equipo infectado con el fin de acceder a la información confidencial de la empresa. Suele ir de la mano con el phishing.
- Ransomware. Es una derivada del malware y consiste en un software que se instala en el ordenador y lo inhabilita y bloquea, impidiendo el acceso a la información del sistema atacado. Además, puede dar acceso al ciberdelincuente a cualquier información interna.
- Business Email Compromise (BEC). Se trata de un pirateo para comprometer los sistemas de pago y enviar correos corporativos engañando a los empleados, incentivándoles a pagar con sus datos bancarios.
- Amenaza interna. El empleado recibe un correo corporativo o bien un email de un compañero de trabajo falso. Este tipo de ataques suponen el 25% de las filtraciones de datos que padecen las compañías.
- Divulgación involuntaria de información. Puede ser un error tan simple como enviar un correo a todos los miembros de la empresa. Para evitar que ocurra se suele optar por limitar el acceso y tener un software de supervisión de actividades.
- Reconocimiento de almacenamiento. Los ciberdelincuentes aprovechan el almacenamiento desprotegido en la nube de las empresas para acceder a los datos y hacer uso de ellos.
- Ataque 0-day. Es una ciberamenaza que aprovecha las vulnerabilidades desconocidas del sistema y sus fallos.
- Ingeniería social. Consiste en crear perfiles ficticios en las redes sociales para ganarse la confianza de las personas y lograr sus objetivos: suplantar su identidad, acceder a los sistemas e instalar un programa malicioso.
- Exfiltración de datos. En este caso, el foco está puesto en las copias, transferencias y recuperaciones de datos no autorizada desde dispositivos personales o empresariales.
Algunas de las soluciones que señala BDO frente a las intervenciones de los ciberdelincuentes son dar formación periódica a los trabajadores sobre ciberseguridad; mantener los sistemas actualizados y realizar copias de seguridad independientes; mantener buenos hábitos de higiene cibernética; utilizar servicios de redes virtuales privadas; contar con procesos de verificación y softwares eficaces; elaborar contraseñas seguras; y, por último, contar con protocolos de actuación que se ensayen y revisen periódicamente.
Pérdidas por ciberataques en las empresas
La encuesta de Infoblox también pone el acento en el impacto económico que tienen las brechas de seguridad en las empresas españolas. Si se tienen en cuenta las pérdidas financieras directas e indirectas, el daño reputacional y los gastos de reparación, los ciberataques cuestan cerca de 1,3 millones de euros.
Los costes se produjeron principalmente porque los ataques obligaron a las empresas atacadas a interrumpir sus sistemas y aumentar su tiempo de inactividad (57%). También debido a la manipulación de datos (42%), el bloqueo de datos debido al ransomware (38%) o lesiones físicas o psicológicas (14%).
La inversión en prevención se concentrará en los cortafuegos e IPS para proteger la red (51%); los sistemas de supervisión de tráfico de red, de detección y respuesta de red (NDR), y cifrado de datos para entornos híbridos (50%); y los CASB, o agentes de seguridad de acceso a la nube (33%). Por último, el cifrado de datos (30%) seguirá siendo prioritario.
En cuanto a los retos, la falta de presupuesto es el segundo desafío en importancia que afrontan los responsables de seguridad de las compañías, con un 29% de las menciones. Sólo lo superan la supervisión de los accesos de los trabajadores en remoto (40%). Y le siguen el exceso de alertas y la falta de mecanismos para priorizarlas (26%), así como la falta de visibilidad sobre el acceso y uso de la nube (25%).
Planes de compliance penal
Además del impacto financiero y reputacional que tienen los ciberataques, también están las consecuencias legales. Los planes de compliance penal son una pieza clave.
Para Felipe García, abogado y socio del despacho Circulo Legal Madrid, además de los mecanismos de control que protejan a las empresas de los accesos no autorizados, filtraciones o robo de datos, es necesario verificar los procedimientos. Y aquí se incluye también el trabajo formativo y la sensibilización a todos los trabajadores desde la alta dirección para crear una cultura de la prevención.
La automatización de procesos o el análisis predictivo mediante algoritmos de inteligencia artificial suponen todo un desafío dentro del compliance. «Los cambios regulatorios que lleva aparejado todo este progreso refuerzan la necesidad de contar con un programa de compliance capaz de frenar cualquier responsabilidad penal para la persona jurídica».
Los planes de compliance penal protegen a la empresa frente a la responsabilidad penal que puede tener que afrontar no solo la sociedad, también sus administradores en un procedimiento judicial. Pero para ello deben demostrar que son eficaces en la prevención de los delitos.