En otro ascenso notorio, el coste de un ciberataque se ha duplicado con respecto al ejercicio de 2020, sumándose al aumento del año pasado. Las empresas de 10 a 49 empleados son las más afectadas, experimentando un crecimiento del 49,3% en su coste medio.
En términos de presupuesto total de TI, las empresas españolas asignaron un 20,7% a ciberseguridad, marcando una disminución de 3,2 puntos porcentuales en comparación con 2021. Además, el coste medio de la recuperación tras ataques de ransomware ha aumentado significativamente, registrando un incremento del 88%.
A pesar del gran avance de la tecnología, los ciberataques, tanto en número como el coste de los mismos, también siguen en aumento.
El Informe de Ciberpreparación 2023 de Hiscox ,(entidad aseguradora que proporciona productos innovadores y especializados dirigidos a empresas y profesionales), presenta este informe anual por séptimo año consecutivo, y los datos no son nada buenos.
En este sentido, el coste de los ciberataques promedio derivado de la totalidad de los ciberataques dirigidos a empresas en España ha vuelto a aumentar por segundo año consecutivo, registrando un incremento del 43% en 2022 con respecto al año anterior.
El coste de ciberataques crece especialmente en las PYMES españolas
En cuanto al análisis según el tamaño de las empresas, se observa una tendencia similar, ya que aquellas con más de 1.000 empleados han experimentado un aumento del 34% en el coste medio de los ciberataques, pasando de 248.568€ en 2021 a 333.939€ en 2022.
No obstante, las más afectadas por este incremento fueron las empresas con 10 a 49 empleados, cuyo coste medio ha crecido un 49,3%, alcanzando los 23.374€ en 2022, en comparación con los 15.654€ de 2021.
A pesar de esto, España, en contraste con otros países analizados, ha sido uno de los pocos en los que ha disminuido el impacto de la ciberdelincuencia en las empresas.
Según el informe, España y los Países Bajos fueron los únicos que experimentaron una disminución en la incidencia de ciberataques, ya que en 2022 el 49% de las empresas españolas fueron víctimas, frente al 53% en 2021.
A pesar de esta mejora, las empresas españolas experimentaron, en promedio, 224 ciberataques al año, situándose detrás de Estados Unidos (249), Francia (247) y Reino Unido (241).
Ransomware, la gran amenaza cibernética
Los ataques de ransomware han sido un foco significativo para los ciberdelincuentes en los últimos años, como se evidenció en eventos destacados en España, como el ciberataque al Hospital Clínic de Barcelona en marzo y al Ayuntamiento de Sevilla en septiembre, ambos con demandas de rescate millonarias.
Según el informe, el coste promedio de recuperación del ransomware para las empresas españolas, excluyendo los pagos por rescates, aumentó notablemente en un 88% en 2022, alcanzando un promedio de 19.549€, en comparación con los 10.415€ en 2021.
Es más, este aumento fue aún más pronunciado en empresas de tamaño medio, con un aumento del 322% (de 4.116€ a 17.399€) para aquellas con 250 a 1.000 empleados.
Por otro lado, las microempresas (1 a 9 empleados) también experimentaron un aumento, pasando de 5.847€ en promedio a 10.370€, un incremento del 77% respecto al año anterior. Las grandes compañías con más de 1.000 empleados vieron un incremento del 47% en este coste de ciberataque.
Pagar un rescate por los datos robados: una acción que sale muy cara
El pago de rescates en casos de ransomware resulta en un incremento significativo en los costos para las empresas. A pesar de esto, un considerable 49% de las empresas ha optado por pagar al menos una vez para recuperar datos, y un 42% lo hizo para evitar la divulgación de información confidencial. La principal razón detrás de esta decisión fue la protección de los datos del personal, citada por el 39% de las empresas españolas, lo que representa un aumento respecto al 30% registrado en 2021.
Phishing: el método de entrada más utilizado por los ciberdelincuentes
En cuanto al método de entrada más comúnmente empleado en los ataques cibernéticos, el informe destaca que el correo electrónico con ‘phishing’ sigue siendo predominante, según el testimonio del 61% de las empresas españolas, aunque con una disminución de 3 puntos porcentuales respecto al año anterior.
Seguidamente, le siguen los servidores no parcheados (VPN/servidor web) con un 31%, comparado con el 28% de 2021; la penetración a través de terceros (proveedores o MSP/MSSP) con un 29%, una reducción de 18 puntos en comparación con el año pasado; y el robo de credenciales (nombre de usuario o contraseñas del personal), mencionado por el 20% de las empresas, en comparación con el 38% de 2021.
Sin embargo, a pesar de estos métodos de entrada, el informe destaca que la incidencia de ransomware, que incluye la ciberextorsión o la amenaza de exponer datos de la empresa, disminuyó en un 3% con respecto a 2021, situándose en un 20% en 2022.
Menor presupuesto destinado a ciberseguridad = mayor probabilidad de sufrir un ciberataque
De esta forma, en 2021, las empresas españolas destinaron en promedio 17,8 millones de euros a tecnologías de la información (TI), manteniendo una estabilidad en comparación con el año anterior.
Sin embargo, según el informe, en 2022 estas empresas han reducido la proporción de este presupuesto destinado a ciberseguridad en comparación con el año anterior, disminuyendo al 20,7%, lo que representa una disminución de 3,3 puntos porcentuales en comparación con 2021.
En este sentido, el informe también destaca que el 83% de las empresas en España no realizaron un seguimiento de las implicaciones financieras de los ciberataques.
Curiosamente, las microempresas (1 a 9 empleados) fueron las que mostraron una mayor importancia en este seguimiento, aunque solo el 26% lo llevó a cabo. Por otro lado, las empresas medianas con 50 a 249 empleados fueron las que menos seguimiento realizaron, con un 8%.
Además, es relevante señalar que las empresas clasificadas como «ciberintermedias», que tienen un nivel medio de capacidad de respuesta rápida y efectiva ante ciberataques, fueron las que menos realizaron un seguimiento de las implicaciones financieras, con solo un 15%, en comparación con el 23% de las «cibernovatas» y el 50% de las consideradas «ciberexpertas».
Las PYMES, el blanco más débil
“El informe de este año nos muestra cómo los ciberataques a nivel mundial han aumentado por tercer año consecutivo, en cinco puntos porcentuales, y que, pese a la caída en número, los costes de los ciberataques a las empresas españolas se han disparado este año, demostrando una vez más la verdadera importancia que han de conceder a la ciberseguridad», señalaba Nerea de la Fuente, directora de Suscripción en Hiscox Iberia.
Siguiendo en esta línea, Nerea subrayó que «las implicaciones financieras pueden resultar devastadoras para las empresas, sobre todo para las pymes, que son las más vulnerables a la amenaza cibernética. Por ello debemos continuar redoblando nuestros esfuerzos en esta materia y continuar concienciando a todas ellas de su verdadero impacto, que amenaza a la propia viabilidad de su negocio”
Concienciación en ciberseguridad: el mejor arma para estar seguro
Concienciar en ciberseguridad dentro de las empresas es como un escudo invisible que actúa antes de que cualquier amenaza tenga la oportunidad de causar daño.
Así, al estar conscientes de las tácticas de ataque más comunes y de las señales de advertencia, podemos anticiparnos a las amenazas y tomar medidas proactivas para evitarlas. Este enfoque preventivo no solo protege nuestros datos personales y comerciales, sino que también evita las consecuencias costosas y desestabilizadoras de un ataque exitoso.
En el vasto y conectado mundo digital de hoy, la ciberconciencia no se limita a las paredes de las empresas; se convierte en una herramienta esencial para cada individuo en su vida cotidiana.
Zepo, tu mejor aliado frente a los ciberataques
Da de alta a tus empleados.
Puedes hacerlo de forma manual o a través de un CSV.
Puedes crear grupos de empleados en función del grado de conocimiento y concienciación que tengan sobre los ciberataques.
Lanza ataques y pon a prueba a tus equipos.
Podrás comprobar en tiempo real quiénes caen en la trampa.
Creamos plantillas personalizadas para tus campañas, en función de los bancos y proveedores con los que trabajáis. Nadie sabrá que es una simulación.
Fórmales en prevención de ciberataques.
Crea cursos personalizados en materia de prevención. 3 minutos al mes.
Basta de cursos aburridos y obligatorios. Con Zepo, aprenderás y te divertirás a la vez.