La ciberseguridad es uno de los asuntos de mayor envergadura en las empresas, debido al impacto económico que producen los ataques, capaces de poner en jaque a la viabilidad del negocio. De hecho, el método preferido de los ciberdelincuentes para lucrarse es el uso fraudulento del correo electrónico para desviar fondos a una cuenta bancaria en su poder.
La pérdida económica por fraude por desvío de pagos es la consecuencia más común tras sufrir un ciberataque, indicada por el 38% de las empresas españolas que fueron ciberatacadas en 2022, así se desprende del Informe de Ciberpreparación 2023 de Hiscox. Más allá, se trata de un porcentaje que aumenta desde el 32% del año anterior, evidenciándose el fraude por desvío de pagos como una amenaza en crecimiento.
Si nos centramos en el número de empleados, las más afectadas por este fraude fueron las pequeñas empresas de 10 a 49 empleados, ya que fue indicado por el 43%. A estas le siguen las medianas y grandes empresas, siendo esta pérdida económica la primera consecuencia para el 42% de las empresas de 50 a 249 empleados y para el 40% de las organizaciones de 249 a 999 empleados.
De igual manera y por sectores, el de la energía y el de viaje y ocio fueron los que tuvieron al fraude como resultado más frecuente, ya que así lo señalaron el 50% de estas empresas, a las que les sigue las de transporte y distribución (46%). Si, por otro lado, nos enfocamos en países, Alemania, Irlanda y Francia fueron también los que más sufrieron esta pérdida económica junto a España, con un 43%, 43% y 41% respectivamente, quedando así nuestro país en cuarto lugar.
Los ataques DDoS y el ransomware también siguen siendo protagonistas
La pérdida financiera por fraude por desvío de pagos, aunque es el resultado de ciberataque más frecuente en España, no es el único propósito de los ciberdelincuentes. En este sentido, continúan teniendo un especial protagonismo los ataques distribuidos de denegación de servicio (DDoS), donde los atacantes sobrecargan con tráfico malicioso los recursos de la red de sus víctimas (por ejemplo, sus páginas web), interrumpiendo su funcionamiento y haciendo que no estén disponibles para los usuarios.
Así lo indicó como segundo resultado principal un 24% de empresas españolas, al igual que las belgas y británicas, que se colocan 9 puntos porcentuales por debajo de las más afectadas, Irlanda y Alemania (33%). En cuanto a sectores, los que más sufrieron interrupciones por ataques DDoS en España fueron el manufacturero (36%) y construcción y gobiernos y asociaciones (33%).
Sin embargo, a esta consecuencia le sigue el ransomware, incluyendo la ciberextorsión o la amenaza de exposición de datos de la empresa, que descendió tres puntos porcentuales con respecto a 2021, a un 20% en 2022. Sin embargo, este porcentaje aumenta para las empresas manufactureras, ya que un 50% afirmaron haber sido víctimas de los efectos de este ciberataque, y un 40% las del sector alimentario y de la bebida. Por número de empleados, las más afectadas fueron las de más de 1.000 (29%) y las de 50 a 249 (25%). En cuanto a países, el que obtuvo la mayor incidencia de ransomware fue Irlanda (30%).
La lista de consecuencias principales de los ciberataques en nuestro país la completan la pérdida de datos no cifrados y con posibilidad de exfiltración de información personal o de clientes, que baja de un 21% en 2021 a un 14% en 2022, así como la pérdida de datos cifrados o sin posibilidad de exfiltración, que también desciende a un 13% frente al 27% de 2021. Así, aquellas empresas españolas que afirmaron conseguir defenderse o remediar todos los ciberataques antes de que provocaran cualquiera de estos resultados fueron el 9%, igual porcentaje que en 2021. Cabe destacar que, por sectores, en el de los servicios a empresas (incluyendo consultoría y marketing), este porcentaje sube a un 40%.
Las empresas responden a los ciberataques con medidas adicionales de ciberseguridad
Tras sufrir un ciberataque, las empresas no solo quedan impactadas, sino que también se ponen en marcha para poner medidas de seguridad adicionales. En este sentido, la gran medida correctora entre las empresas españolas es la implementación de requisitos adicionales de ciberseguridad y auditoría, indicado por el 39% del total de encuestadas. Sin embargo, se trata de un porcentaje que asciende al 50% para el sector TMT (tecnología, medios y telecomunicaciones), viajes y ocio y servicios financieros, así como al 53% para las empresas de 250 a 999 empleados. Por países, Estados Unidos es el único que supera a España en esta respuesta a los ciberataques, indicada por el 40% de estas empresas.
Pero, además del importante impacto económico que los ciberataques pueden ejercer sobre las empresas españolas, tampoco es el único. Así, destaca el aumento del presupuesto en gestión de crisis (28%), seguido del cambio cultural y formación del empleado (27%), el impacto sobre la marca y su reputación (27%), la pérdida de clientes (24%) y una mayor dificultad para atraer a nuevos clientes (23%). Más allá, el 21% vio una reducción de los indicadores de rendimiento empresarial, como cotización de las acciones; un 17% vio amenazada materialmente la solvencia de la empresa, y el 12% sufrió multas importantes que tuvieron un impacto significativo en la salud financiera de la empresa.
Finalmente, únicamente el 2% de las empresas españolas afirmó no haber adoptado medidas o acciones en los últimos 12 meses como resultado de los incidentes de ciberseguridad, mientras que aumenta al 8% para los gobiernos y asociaciones y al 5% en países como Reino Unido, Países Bajos y Estados Unidos.
“La pérdida económica por fraude de desvío de pagos es una ciberamenaza en crecimiento, tal y como constata nuestro informe. Pero también debemos tener en cuenta que los costes de los ciberataques en su totalidad, que no dejan de crecer exponencialmente, no se limitan a pérdidas económicas, ya que las empresas afectadas también pueden sufrir un impacto sobre su marca y reputación, o dificultad para atraer nuevos clientes. Recuperar su reputación una vez perdida no es sencillo, y esto refleja la verdadera necesidad de que las empresas, sean del tamaño que sean, terminen de dar el paso en la lucha contra las ciberamenazas y apuesten por la prevención, formación y concienciación como primera barrera de ciberseguridad”, afirma Ana Silva, responsable de Suscripción de Producto Ciber en Hiscox Iberia.