2022 ha vuelto a ser un año crítico para la ciberseguridad de las empresas españolas, para quienes la amenaza cibernética no deja de crecer. Tanto es así que el coste medio del total de la suma de ciberataques a las empresas españolas ha vuelto a ascender por segundo año consecutivo y en 2022 ha experimentado un aumento del 43%, según se desprende del Informe de Ciberpreparación 2023 de Hiscox, que lanza este informe por séptimo año consecutivo. Estos datos resultan más significativos si cabe ya que este aumento se suma al experimentado el año anterior, en el que se duplicó el coste con respecto al ejercicio de 2020.
Si desglosamos las empresas por número de empleados, este problema muestra la misma tendencia, ya que aquellas que cuentan con más de 1.000 empleados también han visto aumentar este coste medio en un 34%, pasando de 248.568 euros en 2021 a 333.939 en 2022. Sin embargo, las grandes afectadas por este aumento han sido aquellas que cuentan con entre 10 y 49 empleados, cuyo coste ha experimentado un crecimiento del 49,3%, de 15.654 euros en 2021 a 23.374 euros en 2022.
No obstante, España, en comparación con el resto de países analizados en el informe, fue de los pocos en ver descender el impacto de la ciberdelincuencia en las empresas.. De hecho, según el informe España fue el único país, junto a los Países Bajos, que experimentó un descenso en la incidencia de los ciberataques ya que, en 2022, el 49% de las empresas españolas fueron ciberatacadas, frente al 53% de 2021. Sin embargo, las empresas de nuestro país sufrieron una media de 224 ciberataques al año, solo por detrás de Estados Unidos (249), Francia (247) y Reino Unido (241).
El coste de recuperación aumenta un 88%
Los ataques de tipo ransomware han sido uno de los mayores intereses de los ciberdelincuentes en los últimos años. Este año, en España, hemos presenciado grandes ejemplos de ello, como el ciberataque al Hospital Clínic de Barcelona en el pasado mes de marzo y por el que se pedía un rescate de alrededor de 4,25 millones de euros, o el reciente ciberataque al Ayuntamiento de Sevilla del mes de septiembre, por el que los ciberdelincuentes demandaban 5 millones de euros.
En este sentido, el informe señala que el coste medio de recuperación del ransomware para las empresas españolas, aún incluso sin incluir los pagos por los rescates, aumentó un 88% en 2022, pasando de 10.415€ en 2021 a 19.549 euros de media en 2022. En las empresas de entre 250 y 1.000 empleados el ascenso es mucho más dramático, ya que vieron aumentar este coste un 322% (de 4.116€ a 17.399 euros). También las micropymes (1 a 9 empleados) han asumido este aumento, ya que pasaron de 5.847 euros de media a 10.370 euros, un 77% más que el año anterior. A ellas les siguen las grandes compañías de más de 1.000 empleados, que vieron incrementado este coste en un 47%.
Para aquellas empresas que deciden pagar el rescate por los ataques de ransomware, este coste se ve incrementado. No en vano, aún son muchas las que deciden hacerlo y, de hecho, el 49% afirma que decidió hacer frente a un rescate en al menos una o más ocasiones para recuperar los datos robados, y un 42% para evitar la publicación de datos confidenciales. En este sentido, el mayor motivo para hacerlo fue con el fin de proteger los datos del personal, ya que fue indicado por un 39% de las empresas españolas, un porcentaje que asciende del 30% de 2021.
Respecto al método de entrada más utilizado en este tipo de ataques, según el informe, continúa siendo el correo electrónico que contiene ‘phishing’, ya que el 61% de las empresas españolas así lo indicaron, aunque con un descenso de 3 puntos porcentuales con respecto al año anterior. A este le siguen los servidores no parcheados (VPN/servidor web), con un 31% frente al 28% de 2021; a través de terceros (proveedores o MSP/MSSP) con un 29%, 18 puntos menos que el año anterior; y el robo de credenciales (nombre de usuario o contraseñas del personal), que fue indicado por un 20% de las empresas, frente al 38% de 2021.
Sin embargo y, con todo lo anterior, el informe subraya que la incidencia del ransomware, incluyendo la ciberextorsión o la amenaza de exposición de datos de la empresa, descendió 3 puntos porcentuales con respecto a 2021, a un 20% en 2022.
Menos presupuesto a la ciberseguridad en 2022
Las empresas españolas gastaron en 2021 una media de 17,8 millones de euros en tecnologías de la información (TI), un porcentaje que se mantiene estable desde el año anterior. Sin embargo, según el informe, en 2022 las empresas han destinado menos parte de este presupuesto a la ciberseguridad que el año anterior, ya que el porcentaje dedicado a ello descendió al 20,7%, 3,3 puntos porcentuales menos que en 2021. En este sentido, el informe señala que el 83% de las empresas españolas no hicieron un seguimiento de las implicaciones financieras de los ciberataques. De hecho, las microempresas (de 1 a 9 empleados) fueron las que mayor importancia le otorgaron a este seguimiento, aunque este porcentaje únicamente asciende al 26%. Así, las que menos seguimiento hicieron fueron las empresas medianas de 50 a 249 empleados (8%).
Asimismo, Hiscox destaca que las empresas consideradas “ciberintermedias”, aquellas con un nivel medio de capacidad de respuesta rápida y eficaz ante un ciberataque, fueron las que hicieron el menor seguimiento de las implicaciones financieras, ya que únicamente el 15% lo realizó, frente al 23% de las “cibernovatas” y el 50% de las consideradas “ciberexpertas”.
El 33% de las empresas españolas tiene ciberseguro
Una de las medidas más importantes en la gestión de la ciberseguridad pasa por la contratación de un ciberseguro como primera medida de prevención. Así, el 29% de las empresas españolas afirman ya tener contratada una póliza de ciberseguro independiente, y el 36% tienen actualmente al menos una cobertura cibernética como parte de otra póliza. Entre las que no tienen este tipo de pólizas, un 14% tiene previsto adquirir un seguro independiente el año que viene. En este sentido, el principal motivo para contratar un seguro cibernético es la preocupación por las posibles reclamaciones por parte de los clientes, indicado por un 35% de las empresas españolas.
Más allá, el informe subraya que las empresas consideradas “ciberexpertas” son las que más cuentan con la protección de un ciberseguro, ya que el 67% afirma tener una póliza independiente en 2022, frente al 60% de 2021. En cuanto a las “cibernovatas”, por el contrario, únicamente un 21% tiene contratada una póliza independiente, en comparación con el 29% del año anterior.
«El informe de este año nos muestra cómo los ciberataques a nivel mundial han aumentado por tercer año consecutivo, en cinco puntos porcentuales, y que, pese a la caída en número, los costes de los ciberataques a las empresas españolas se han disparado este año, demostrando una vez más la verdadera importancia que han de conceder a la ciberseguridad. Sin duda, las implicaciones financieras pueden resultar devastadoras para las empresas, sobre todo para las pymes, que son las más vulnerables a la amenaza cibernética. Por ello debemos continuar redoblando nuestros esfuerzos en esta materia y continuar concienciando a todas ellas de su verdadero impacto, que amenaza a la propia viabilidad de su negocio», afirma Nerea de la Fuente, directora de Suscripción de Hiscox Iberia.