Ángel Luis Vázquez
Economista
La seguridad digital deja de ser un tema de las películas para convertirse en una necesidad en el mundo real
Fuente solunion: https://www.solunion.es/blog
Según datos oficiales[i] los ataques cibernéticos a empresas, entidades y
ciudadanos han dejado de
ser una ficción cinematográfica para pasar a ser un problema bien real. Según
el INCIBE, España es el tercer país del mundo con mayor número de
ciberataques al
año, y en el pasado 2017, se
batieron récords con una
cifra superior a los 120 000 ciberataques.
Estos datos se refieren solo a los incidentes registrados,
pero los expertos nos informan que normalmente solo se registra uno de cada
diez ataques sufridos por lo que las cifras se
vuelven alarmantes.
La situación no sólo es bastante alarmante, sino que
supone una evidente y creciente amenaza para la estabilidad económica del
tejido empresarial del país.
¿Cuánto cuesta un ciberataque?
Hacer una valoración aproximada del impacto económico que
supone para una empresa recuperarse de un ciberataque
no es fácil. Hay que tener en cuenta múltiples factores que varían dependiendo
del país, tipo de ataque, tipo de empresa, número de empresas encuestadas y los
respectivos países en los que operan, etc.
Aun así, el común denominador de todos los
informes es que,
debido a la gran variedad y mayor sofisticación de este tipo de ataques, las pérdidas producidas por el fraude online, el robo de
identidades, y el pirateo, se han incrementado hasta llegar a cifras millonarias.
Para hacernos una idea del impacto económico global de los
ciberataques y
de su evolución en los últimos años podemos decir que según el estudio COST OF CYBER CRIME STUDY INSIGHTS ON THE SECURITY INVESTMENTS THAT
MAKE A DIFFERENCE se determina que de 2013 a 2017 el coste medio de los ciberataques ha aumentado un 62%. De hecho, sólo
en el 2017 se ha incrementado un 27.4% respecto a 2016 y en el 2018, la situación no mejora, pues de acuerdo con el informe “2018 Cost of a Data Breach Study: Global Overview”, publicado por Ponemon Institute con el patrocinio de IBM, el coste medio de una brecha de
seguridad se ha incrementado en un 6,4% durante el
último año.
El coste medio se establece en
11.7 millones de dólares.
Dependiendo
de la fuente los costes varían. De acuerdo con PwC, el coste directo medio de un ciberataque se sitúa en
alrededor de 2,5 millones de dólares, teniendo en cuenta los gastos derivados
de la investigación y recuperación del ataque.
Un
dato curioso, el
documento de
PwC revela que las empresas
de todo el mundo sufren, de media, 3,4 incidentes de seguridad al año, y unas
pérdidas de 4,8 millones de dólares. Según la encuesta, las empresas españolas
se ven obligadas a parar sus operaciones 17 horas de media al año como consecuencia de los ataques informáticos.
En
todo caso, podemos ver que los costes directos YA SON MILLONARIOS, y no tenemos
que olvidar que además de los costes directos existen otros costes tan importantes o mas.
Costes indirectos de los ciberataques
- El robo de la propiedad intelectual, o datos de carácter sensible (55% de las empresas).
- El daño reputacional[ii] (49% de las empresas).
- La interrupción del negocio (47% de las empresas).
- La responsabilidad por imcumpliento normativo[iii].
Lo mas preocupante es la evolución que están adquiriendo los ciberataques.
Las
nuevas tecnologías como “el almacenamiento en la nube” se ha convertido en un
standard en la infraestructura digital de la mayoría de las empresas por sus
enormes posibilidades técnicas, usabilidad y
reducción de costes, pero esto supone también tener enormes cantidades de datos
en entornos fuera de control de la empresa con múltiples puntos de acceso lo
que origina importantes retos de seguridad.
Sin
embargo, por mucho que se invierta en seguridad frente
a los ataques externos, no debemos olvidad que, según el ya citado PwC, el 60%
de los incidentes registrados están originados en un comportamiento doloso o negligente por parte del
personal interno de la compañía.
La
globalización de las compañías, con miles de
empleados trabajando desde cualquier punto del mundo o simplemente desde sus
casas con sus ordenadores, Tablet y Smartphone conectados a los sistemas de la
compañía es otro dolor de cabeza para los departamentos de seguridad
informática.
Y
si hablamos de la nueva tendencia denominada BYOD (Bring Your Own Device)[iv], según la cual los empleados utilizan en el trabajo sus
propios ordenadores, Tablet y Smartphone conectados a los sistemas de la empresa, o incluso
que los asistentes a cualquier tipo de evento
organizado por la empresa
puedan utilizar sus aparatos electrónicos para interactuar con los sistemas de
la compañía supone un verdadero desafío para los departamentos de IT de cualquier empresa.
Por
su parte, las técnicas de los atacantes también
evolucionan. Empezaron con el robo de datos, conocido en el argot como “esnifado”, con casos tan conocidos como el ataque
a Yahoo en el 2013 que afecto a los datos de 3.000 millones de
clientes, o el mas reciente de Uber en el 2017 que afecto a 57 millones de clientes.
Continuaron
con el “ransomware (secuestro de datos)[v]” técnica de la que se desconoce
el número de afectados que
pagan periódicamente por poder acceder a sus datos.
Y actualmente están evolucionando a los denominados “ataques
de diseño” en los cuales, terceros con intereses poco lícitos, encargan un ciberataque a medida para conseguir los
mismos.
Imaginemos una empresa de la competencia que no solo quiere los datos
de un competidor, que quiere además hacerle todo el daño posible. Mediante un ciberataque se accede a la base de datos de clientes y
además de copiar todos los datos de las misma, se elige un dato crítico, por ejemplo el número de cuenta donde se giran
las compras, y se cambia este número, asignando la cuenta de un cliente a otro y
así sucesivamente, de forma que cuando el cliente gire los recibos periódicos
por las compras de sus clientes organizará un lio monumental cargando las compras de unos a otros, generando malestar y
protestas generalizadas entre sus cartera de clientes lo que le proporcionará una magnífica oportunidad a su competidor para hacerse
con la misma.
O
imaginemos en una campaña electoral, que se consigue acceder a los datos de las estadísticas previas en las que se basan los
pronósticos y manipular los mismos para que los pronósticos salgan según lo
deseado. Esto explicaría en gran medida los últimos
fracasos estrepitosos de este tipo de pronósticos.
Y
una de las características mas importantes de este
tipo de ciberataques es que “no dejan huella”, es decir, entran, copian,
manipulan, y salen sin que nadie sepa lo que ha pasado.
En
este sentido, recientemente Enki Blue, una empresa tecnológica partner nuestro ha desarrollado un sistema que mediante la tecnología
blockchain y una avanzada plataforma tecnológica puede rastrear en tiempo real
los accesos a nuestros datos generando alertas en caso de accesos no
permitidos, con lo que en cualquier momento podremos saber
el estado de la integridad de nuestros datos y si se ha realizado alguna
manipulación maliciosa en los mismos.
Por desgracia, ya no se trata de si tu empresa va a
sufrir o no un ataque a la seguridad de su información, sino de cuándo ocurrirá
y cuál será la capacidad de tu empresa para
neutralizarlo o recuperarse del daño sufrido.
[i] INCIBE
(Instituto Nacional de Ciberseguridad).
[ii] El riesgo de reputación , llamado a menudo el riesgo de
reputación , se corre el riesgo de pérdidas por daños a la reputación de una
empresa, en la pérdida de ingresos; aumento de operación, costos de capital o
reglamentarias; o destrucción de valor para los accionistas , como consecuencia
de un evento adverso o potencialmente criminal, incluso si la empresa no es
encontrada culpable.
Los
eventos adversos típicamente asociados con el riesgo de reputación incluyen la
ética, la seguridad, la sostenibilidad, la calidad y la innovación. El riesgo
de reputación puede ser una cuestión de la confianza empresarial.
[iii] La negligencia en la
protección de datos sensibles de carácter personal también puede llevar a las
empresas a tener que hacer frente a demandas de responsabilidad civil, así como
fuertes sanciones administrativas impuestas de oficio por parte de los
organismos supervisores. Simplemente mencionar como ejemplo las obligaciones
impuestas por el nuevo reglamento de protección de datos.
[iv] Bring your own device
(«trae tu propio dispositivo» en inglés), abreviado BYOD, es una política
empresarial consistente en que los empleados lleven sus propios dispositivos
personales (portátiles, tabletas, móviles…) a su lugar de trabajo para tener
acceso a recursos de la empresa tales como correos electrónicos, bases de datos
y archivos en servidores, así como datos y aplicaciones personales. También se
le conoce como «bring your own technology«(BYOT,
«trae tu propia tecnología»), ya que de esta manera se expresa un fenómeno mucho
más amplio puesto que no sólo cubre al equipo, sino que también cubre al
software.
[v] El ransomware consiste en cifrado tus datos con una contraseña
que no te darán hasta que no pagues una cantidad de dinero, un problema de
seguridad muy grave en el que cada vez caen más personas.
El ransomware es uno de los ataques preferidos por delincuentes
informáticos. Sólo requiere infectar un ordenador de alguien que baje la
guardia un momento, descargando un archivo de un lugar no contrastado o de un
correo electrónico, por ejemplo. Una vez se instala en el ordenador, el
programa hace todo solo, y los delincuentes sólo tienen que esperar a que
llegue el dinero.