¿Cuánto le cuesta un ciberataque a una empresa?

¿Sabías que solo en España se registraron más de 300.000 delitos informáticos durante 2021 (informe del Sistema Estadístico de Criminalidad)? ¿Y que las empresas sufrieron en 2022 una media de 1168 ciberataques a la semana? 

En este contexto, es importante para las empresas españolas invertir en ciberseguridad y prevenir así grandes costes derivados de los ciberataques. Porque, ¿cuánto suele costarle a una empresa ser víctima de un ciberataque?  Veámoslo.

¿Qué es un ciberataque?

Un ciberataque es un intento no deseado de dañar, acceder, alterar, inhabilitar, robar o destruir información confidencial; o interrumpir el funcionamiento habitual de sistemas de información. Suele llevarse a cabo mediante el acceso no autorizado a dichos sistemas, y con el fin de perjudicar a personas, instituciones o empresas. 

La ciberdelincuencia y falta de ciberseguridad ocupa el octavo lugar en la lista de los 10 riesgos globales a los que se enfrentará la humanidad en la próxima década, según el último Informe sobre Riesgos Globales del Foro Económico Mundial. Aparece junto a problemas como el costo de la vida y los problemas medioambientales.

Motivaciones más comunes

Las motivaciones que hay detrás de un ciberataque se clasifican, habitualmente, en tres:

1. Delictivas: el objetivo suele ser obtener un beneficio económico.
2. Políticas: habitualmente los atacantes quieren visibilizar sus causas, a través del hacktivismo.
3. Personales: los objetivos son mucho más subjetivos, pero están relacionados con el beneficio económico o simplemente interrumpir el funcionamiento de una empresa.

Tipos de ciberataques 

Hoy en día existen ya una gran cantidad de tipos de ataques cibernéticos distintos:

• Malware.
• Phishing.
• Ataque de denegación de servicio (DoS).
• Ataque de fuerza bruta.
• Ataque de interceptación de datos.
• Ingeniería social.
• Ransomware.
• etc.

Pero lo más importante cuando hablamos de ciberataques, es que estos están en constante evolución, impulsados también por los avances tecnológicos.

Por ejemplo, estos últimos meses se ha visto cómo los ciberdelincuentes han encontrado en ChatGPT un aliado, descubre cómo los ciberdelincuentes utilizan ChatGPT para crear herramientas maliciosas. Herramientas que ya están siendo utilizadas para acceder y robar información confidencial de sistemas ajenos. Un ejemplo son los Infostealer.

Ciberataques a empresas

Los ciberataques a empresas se han convertido ya en una constante, y es que según el informe de CyberEdge Group de 2022, más del 90% de empresas españolas sufrieron al menos uno durante el pasado año. 

Por eso, no es de extrañar la información  recopilada en el último Informe de Ciberpreparación de Hiscox 2022: el gasto medio invertido por las empresas encuestadas en ciberseguridad ha aumentado más de un 60% el último año, habiendo subido un 250% desde 2019. 

El motivo principal de este aumento es la preocupación que tienen las empresas por la seguridad y privacidad de datos. 

Empresas y sectores más afectados

Este mismo informe (Informe de Ciberpreparación de Hiscox 2022) nos indica que los hackers ya no solo se concentran en las grandes empresas. Durante los últimos años han puesto más el foco en pequeñas y medianas empresas. 

En cuanto a los sectores, en 2022 los más afectados han sido:

• Ocio.
• Turismo.
• Servicios profesionales.
• Comercio minorista/mayorista.

Tipos de ciberataques más comunes en empresas

El ataque más temido por las empresas, con diferencia, es el ransomware. El ransomware es un tipo de malware, que se instala en un dispositivo y encripta toda la información del sistema, para después exigir un pago para desbloquearlo. 

Es precisamente esta extorsión la que hace que sea el ataque más temido, porque implica un coste extra más allá de la recuperación habitual de los sistemas. El año pasado el 64% de las empresas afectadas por un ataque de ransomware decidieron pagar el rescate pedido por los ciberdelincuentes.

Sin embargo, este no es el tipo de ataque más común (aunque sí entra en el top tres), según el Informe de Ciberpreparación de Hiscox 2022: 

1. Denegación de Servicio (38%).
2. Fraude financiero (32%).
3. Ransomware (22%).

En cuanto a las vías de entrada para realizar ataques, los especialistas ponen especial foco en el compromiso del email corporativo, los servidores en la nube, servidores corporativos o móviles personales de los empleados.

>> Te interesará también: 5 amenazas de ciberseguridad que deberemos prevenir este 2023

¿Cuánto cuesta un ciberataque a una empresa?

“Según los expertos, el coste medio de los ciberataques en 2021 en España ascendió a 105.655 euros.”

El Economista.

Esta cifra habría aumentado enormemente en cuestión de un año, ya que en 2020 la media fue de 54.388 euros.

Cuando hablamos de ransomware, las empresas han pagado de media por el rescate de su información 19.400 euros. Sin embargo, esto no siempre se ha traducido en la recuperación de sus datos. Es más, el 47% de las empresas han vuelto a ser víctimas de otro ataque, precisamente como consecuencia del pago anterior.

Pero, a parte del pago de un posible rescate, ¿dónde suele destinarse este dinero, tras sufrir un ciberataque? Algunos ejemplos son:

• Pérdidas derivadas de la fuga de datos.
• Especialistas involucrados en solventar el incidente.
• Prevención de ataques en el futuro.
• Contratación de personal experto.
• Formación a empleados.
• Hardware.
• Software.
• Multas relacionadas con la protección de datos (sí, aunque los empresarios son las víctimas de dichos ataques, se exponen a multas considerables).

Otras consecuencias

Los costes económicos no son las únicas consecuencias a las que las empresas víctimas de un ciberataque deben enfrentarse. 

Por ejemplo, según Hiscox, el 28% de las empresas encuestadas para su informe perdieron clientes tras un ciberataque. 

Otras pérdidas serían:

• Efecto en la reputación de la marca.
• Impacto en la solvencia de la empresa.
• Dificultar a la hora de captar nuevos clientes.
• Pérdida de socios empresariales.

Ataques cibernéticos: cómo prevenirlos

Ahora que conocemos lo que le puede costar un ciberataque a una empresa viene el siguiente paso: ¿Cómo podemos prevenirlo? 

Hay muchas acciones preventivas que debemos tener en cuenta a nivel empresarial, como el uso de contraseñas seguras, sistemas de detección de intrusos, monitoreo de amenazas, software antimalware, actualizaciones del sistema,…

Sin embargo, lo más importante a la hora de prevenir ciberataques, y que debería ser algo recurrente en todas las empresas independientemente de su tamaño, es la formación en ciberseguridad a empleados.

Formación en ciberseguridad a empleados

Al final, la gran mayoría de puntos de entrada de los ataques a los sistemas de una empresa se dan a través de las personas. Ya sea mediante fraude, engaño, enlaces o archivos maliciosos, etc. Por eso, tener una buena cultura en ciberseguridad en tu empresa, hará mucho más difícil que se de ese acceso no deseado. 

Ahora que conoces los riesgos, ¿crees que tu empresa necesita formación en ciberseguridad? Si es así, tengo una buena noticia: ya puedes inscribirte (a nivel personal o como empresa) al Máster Online en Ciberseguridad y Prevención Digital, con la World Compliance Association:

Faqs sobre Ciberataques