La pérdida económica por fraude, principal consecuencia por ciberataque
Al fraude por desvío de pagos (38%) le siguen los ataques distribuidos de denegación de servicio, indicado por el 24% de las empresas españolas, y el ransomware, por el 20%.
La ciberseguridad es, hoy en día, uno de los asuntos de mayor envergadura en las empresas, especialmente a causa del impacto económico de la amenaza cibernética, capaz de poner en jaque a la viabilidad del negocio. De hecho, el método preferido de los ciberdelincuentes para lucrarse es el uso fraudulento del correo electrónico para desviar fondos a una cuenta bancaria en su poder. Y es que la pérdida económica por fraude por desvío de pagos es la consecuencia más común tras sufrir un ciberataque, indicada por el 38% de las empresas españolas que fueron ciberatacadas en 2022. Así se desprende del Informe de Ciberpreparación 2023 de Hiscox. Una cifra que evidencia una tendencia al alza interanual -ha pasado del 32% al 38% en los últimos doce meses-.
Centrando el foco en el número de empleados, las más afectadas por este fraude fueron las pequeñas empresas de 10 a 49 empleados, ya que fue indicado por el 43%. A estas le siguen las medianas y grandes empresas, siendo esta pérdida económica la primera consecuencia para el 42% de las empresas de 50 a 249 empleados y para el 40% de las organizaciones de 249 a 999 empleados. De igual manera y por sectores, el de la energía y el de viaje y ocio fueron los fueron los más impactados (50%) seguidos del transporte y distribución (46%). Por países, en orden descendente, Alemania, Irlanda y Francia fueron también los que más sufrieron esta pérdida económica junto a España, quedando en cuarto lugar.
DDoS y ‘ransomware’, protagonistas secundarios
La pérdida financiera por fraude por desvío de pagos, aunque es el resultado de ciberataque más frecuente en España, no es el único propósito de los ciberdelincuentes. En este sentido, continúan teniendo un especial protagonismo los ataques distribuidos de denegación de servicio (DDoS), donde los atacantes sobrecargan con tráfico malicioso los recursos de la red de sus víctimas interrumpiendo su funcionamiento y haciendo que no estén disponibles para los usuarios. Así lo indicó como segundo resultado principal un 24% de empresas españolas, al igual que las belgas y británicas, que se colocan 9 puntos porcentuales por debajo de las más afectadas, Irlanda y Alemania (33%). En cuanto a sectores, los que más sufrieron interrupciones por ataques DDoS en España fueron el manufacturero (36%) y construcción, gobiernos y asociaciones (33%).
Sin embargo, a esta consecuencia le sigue el ransomware, incluyendo la ciberextorsión o la amenaza de exposición de datos de la empresa, que descendió 3 puntos porcentuales con respecto a 2021, a un 20% en 2022. Sin embargo, este porcentaje aumenta para las empresas manufactureras, ya que un 50% afirmaron haber sido víctimas de los efectos de este ciberataque, y un 40% las del sector alimentario y de la bebida. Por número de empleados, las más afectadas fueron las de más de 1.000 (29%) y las de 50 a 249 (25%). En cuanto a países, el que obtuvo la mayor incidencia de ransomware fue Irlanda (30%).
La lista de consecuencias principales de los ciberataques a escala nacional la completan la pérdida de datos no cifrados y con posibilidad de exfiltración de información personal o de clientes, que baja de un 21% en 2021 a un 14% en 2022, así como la pérdida de datos cifrados o sin posibilidad de exfiltración, que también desciende a un 13% frente al 27% de 2021. Así, aquellas empresas españolas que afirmaron conseguir defenderse o remediar todos los ciberataques antes de que provocaran cualquiera de estos resultados fueron el 9%, igual porcentaje que en 2021. Cabe destacar que, por sectores, en el de los servicios a empresas (incluyendo consultoría y marketing), este porcentaje sube a un 40%.
Acción-reacción: medidas adicionales de ciberseguridad
Tras sufrir un ciberataque, las empresas no solo quedan impactadas, sino que también se ponen en marcha para poner medidas de seguridad adicionales. En este sentido, la gran medida correctora entre las empresas españolas es la implementación de requisitos adicionales de ciberseguridad y auditoría, indicado por el 39% del total de encuestadas. Sin embargo, se trata de un porcentaje que asciende al 50% para el sector TMT (tecnología, medios y telecomunicaciones), viajes y ocio y servicios financieros, así como al 53% para las empresas de 250 a 999 empleados. Por países, Estados Unidos es el único que supera a España en esta respuesta a los ciberataques, indicada por el 40% de estas empresas.
Pero, además del importante impacto económico que los ciberataques pueden ejercer sobre las empresas españolas, tampoco es el único. Así, destaca el aumento del presupuesto en gestión de crisis (28%), seguido del cambio cultural y formación del empleado (27%), el impacto sobre la marca y su reputación (27%), la pérdida de clientes (24%) y una mayor dificultad para atraer a nuevos clientes (23%). Más allá, el 21% vio una reducción de los indicadores de rendimiento empresarial, como cotización de las acciones; un 17% vio amenazada materialmente la solvencia de la empresa, y el 12% sufrió multas importantes que tuvieron un impacto significativo en la salud financiera de la empresa. Finalmente, únicamente el 2% de las empresas españolas afirmó no haber adoptado medidas o acciones en los últimos 12 meses como resultado de los incidentes de ciberseguridad.
