La ciberdelincuencia es un negocio que mueve mucho dinero, incluso más que el tráfico de drogas y armas. El número de ciberataques creció hasta un 50% en 2021 y, con ellos, el coste de los mismos se ha duplicado en los últimos años. El informe anual sobre Ciberpreparación de la aseguradora internacional Hiscox, calcula que en 2020 el coste medio de un ciberataque para una empresa española se situaba en 55.000 euros, mientras que este año esa cifra se ha duplicado, superando los 100.000.
Francisco Valencia, director general de Secure&IT, apunta que, a pesar de las cifras y de la presencia de la ciberseguridad en los medios de comunicación, “hay una baja percepción del riesgo y la mayoría de las empresas suele tener una falsa sensación de seguridad”. En este sentido, hay que tener en cuenta que los ciberdelincuentes “solo” son culpables de un 23% de los ataques. El resto se debe, entro otros, a errores humanos, empleados descontentos, competencia desleal, incumplimientos legales o contractuales, falta de medidas técnicas o formación insuficiente.
Además del notable incremento de ciberataques, también son más sofisticados. El impacto de un ataque no es solo económico. El daño reputacional es muy importante, puesto que el prestigio y la confianza en la organización se ven gravemente afectados. En este sentido, Valencia apunta: “el daño reputacional a una compañía, causado por un ciberataque, puede ser irreparable e, incluso, puede ocasionar el cierre de la empresa”. Este tipo de ataques también afecta a la operativa (producción, logística, etc.), al cumplimiento normativo o a la estrategia de la compañía.
Para entender la trascendencia de un problema de este calibre, es necesario ponerse en el lugar del usuario y plantearse, por ejemplo, si este estaría dispuesto a depositar su dinero en un banco que ha sufrido un ciberataque y que, por un periodo de tiempo, no permite a sus clientes operar o tener acceso a sus cuentas. Además de la nefasta publicidad que harían de la entidad bancaria, seguramente, romperían su relación con ella. Es solo una hipótesis, pero Tesco Bank, la filial financiera de la cadena de supermercados británica Tesco, sufrió un incidente similar. El ataque afectó a un total de 40.000 cuentas bancarias de la entidad, de las que, aproximadamente la mitad sufrió sustracciones de efectivo. Como consecuencia, la compañía se vio obligada a pagar una multa de 18,5 millones de euros, además de suspender temporalmente las transacciones online.
Técnicas de ataque más utilizadas
El correo electrónico es uno de los principales vectores de ataque a las organizaciones. Se calcula que alrededor del 90% de las compañías ha recibido intentos de phishing en el último año. Pero, este tipo de ataque es cada vez más elaborado y estudiado. Atrás quedaron los correos con faltas de ortografía, que se traducían de manera automática y con poco interés. Ahora uno de los ataques más conocidos y utilizados por los ciberdelincuentes es el “Fraude al CEO”, una técnica dirigida a personas con alto perfil en las organizaciones y que puede llevar años de investigación y preparación. En este caso, hay ejemplos como el de los laboratorios Zendal o los laboratorios Siegfried, que sufrieron pérdidas millonarias por estafas de este tipo.
En el caso del ransomware, que ha crecido casi un 30% con respecto a 2021, el ataque va unido a una extorsión. Es decir, para poder recuperar la información cifrada por este tipo de malware, es necesario pagar una cierta cantidad a los ciberdelincuentes. El estudio de la misma aseguradora cifra el rescate medio por uno de estos ataques en 20.000 euros, una cantidad que el 64% de las empresas decide aceptar como solución.
Sin embargo, lo recomendable es no ceder al chantaje y notificarlo a las autoridades pertinentes, puesto que además no hay garantías de devolución de la información. “Ninguna empresa, por pequeña que sea, es descartada por los ciberdelincuentes. Hoy en día la información vale mucho y los datos de cualquier organización están muy cotizados en el mercado negro.”, concluye Valencia.