La ciberseguridad, el elefante en la habitación de las empresas
Las compañías carecen de recursos y conciencia para proteger sus activos digitales de los ciberdelincuentes
Basta un correo electrónico para secuestrar las facturas, los datos de clientes o aplicaciones de una empresa. El ransomware es uno de los cibercrímenes más comunes: consiste en un ataque informático con el que los delincuentes secuestran información sensible de la víctima y exigen dinero a cambio de liberarla. La proliferación de este tipo de delitos ha crecido en los últimos años. ...
Basta un correo electrónico para secuestrar las facturas, los datos de clientes o aplicaciones de una empresa. El ransomware es uno de los cibercrímenes más comunes: consiste en un ataque informático con el que los delincuentes secuestran información sensible de la víctima y exigen dinero a cambio de liberarla. La proliferación de este tipo de delitos ha crecido en los últimos años. En 2022, el Instituto Nacional de Ciberseguridad de España (Incibe) gestionó 118.820 incidentes de ciberseguridad, un 9% más respecto al año anterior. Además, el costo promedio de una violación de datos ha alcanzado máximos históricos y se ubica en torno a los 4,14 millones de euros en 2023, según la empresa IBM. Las compañías perciben que la seguridad de sus activos pasa cada vez más por el mundo digital, pero los expertos consultados resaltan que las formas de abordar la protección de los negocios suelen ser inadecuadas.
Aiert Azueta Dudagoitia, director de Devoteam Cyber Trust Spain y director de IAM Devoteam Global, detalla que, para enfrentar estos desafíos, las empresas deberían implementar una estrategia integral de ciberseguridad que abarque la educación y la concienciación, la utilización de tecnología avanzada de seguridad, una gestión adecuada de riesgos y una cultura organizacional que valore la seguridad de la información.
Sin embargo, existen grandes diferencias entre lo que se debe hacer y lo que se termina ejecutando. Hay sectores donde la seguridad digital no es percibida como una oferta de valor diferencial, sino más bien como un gasto o un mal necesario, resalta Miguel Ángel Thomas, jefe de Ciberseguridad en NTT Data.
La primera barrera es la brecha entre la opinión de los gerentes y la de los encargados de la seguridad digital. Las previsiones del Foro Económico Mundial sobre Ciberseguridad de 2022 indicaban que, mientras que el 92% de los ejecutivos encuestados estaban de acuerdo en que la ciberresiliencia estaba integrada en las estrategias de gestión de riesgos empresariales, solo el 55% de los encargados de la seguridad coincidían con esa afirmación.
“Es cierto que la mayor parte de los empresarios sí son conscientes de los riesgos que entraña un nivel de ciberseguridad bajo. Lo ven en los medios o en su círculo cercano”, afirma Thomas. Sin embargo, “cuando es necesario apretar en precio, la ciberseguridad es uno de los recursos más susceptibles de ser recortados”, explica.
Desarrollar un servicio de ciberseguridad es muy difícil para la mayoría de las empresas, por lo que los productos necesarios para gestionarla recaen sobre las grandes tecnológicas como Amazon, Microsoft o Google, que ofrecen servicios en la nube para gestionar los datos sensibles de las compañías. No obstante, estas marcas ofrecen la infraestructura, pero la seguridad no viene por defecto; es decir, estas compañías ofrecen las carreteras, pero no los conductores. “Los proveedores de servicios en la nube tienen fuertes medidas de seguridad, pero la responsabilidad final de la seguridad de los datos recae en el cliente”, dice Dudagoitia.
En este sentido, también existen diferencias entre las compañías según su tamaño. Las grandes empresas tienen departamentos internos que son capaces de dirigir su estrategia y gestionar la seguridad con empresas terceras, liderando el cambio que necesitan. Por el contrario, las más pequeñas contratan servicios mínimos y en muchos casos pierden el control de lo que se está haciendo.
Además, el personal con la capacidad de gestionarlo es escaso. El Foro Económico Mundial reveló en sus previsiones de 2022 que el 59% de las instituciones encuestadas encontrarían difícil responder a un incidente de ciberseguridad debido a la escasez de habilidades dentro de sus equipos. En España, el Incibe estima que para 2024 serán necesarios 80.000 profesionales en ciberseguridad. Pese a que la formación en esta materia está en auge, “la demanda va muy por delante” de la oferta de trabajadores cualificados, afirma el director de ciberseguridad de NTT Data.
Cuestión de supervivencia
“Lo que termina haciendo una empresa es sobrevivir”, resume Lorenzo Martínez, director de la empresa especializada en ciberseguridad Securízame. Martínez explica que las empresas que acuden a él piensan que, al ser negocios pequeños o sin relaciones gubernamentales o políticas, están exentos de riesgo. “[Lo que no saben] es que los cibercriminales funcionan al peso. Identifican algún punto vulnerable de tu empresa y otras 7.000, mandan correos electrónicos a todas en nombre de la Guardia Civil o la Agencia Tributaria y hacen que alguna descargue algo que provoca el ransomware”, apunta.
Martínez asegura que las empresas deben disponer, como mínimo, de un paracaídas, es decir, un sistema de copias de seguridad frente a estos ataques. “De lo contrario, son carne de cañón para que en un futuro próximo o lejano sean víctimas de un crimen”. “Es como hacer un viaje transoceánico en un avión sin oxígeno porque en los últimos 4.000 viajes no ha pasado nada. Pero ¿y si pasa?”, advierte.
La inteligencia artificial (IA) ha sido una de las grandes palabras de este año, con aplicaciones para la salud, el periodismo y, también, la ciberseguridad. Thomas afirma que la irrupción de esta tecnología está siendo “clara e imparable”. “Existen muchos procesos manuales en materia de ciberseguridad que, en general, son bastante rutinarios y que son susceptibles de mejorarse y automatizarse, más en un contexto de escasez de perfiles expertos”, concluye. Así lo ven también desde Devoteam, donde estiman que la potencialidad de estos servicios es “enorme”. Dudagoitia cree que las tareas donde más puede ayudar este avance se centran en el procesamiento de grandes cantidades de datos y en reconocer patrones que, de otra forma, podrían pasar desapercibidos.
Por otro lado, Lorenzo Martínez cree que, seguramente, la IA “será revolucionaria” en algún momento. “A día de hoy todavía está verde para poder ser implementada de una manera útil y de forma que sea autónoma para solucionar ciertos problemas”, opina el experto.
¿Sale a cuenta pagar un rescate?
El ransomware es el ciberataque más común. Según un informe sobre el coste de las infracciones de datos de 2023 de IBM, pagar un rescate cuando se sufre este tipo de ataques se ha vuelto cada vez menos ventajoso, con una disminución del 82,5% en el ahorro de las empresas entre 2022 y 2023.
Las organizaciones que accedieron a un pago ante un ataque de este tipo lograron solo una pequeña diferencia respecto al coste total: 4,72 millones de euros frente a 4,82 millones de euros, respectivamente. Una diferencia de coste de unos 100.000 euros, según las estimaciones de la compañía informática. Sin embargo, desde IBM aclaran que este cálculo no incluye el coste del rescate en sí. Dado el alto valor de la mayoría de las demandas de estos ciberataques, las organizaciones que pagaron el rescate probablemente acabaron gastando más en total que aquellas que decidieron no hacerlo.