Las pequeñas y medianas empresas son las más amenazadas por la ciberdelincuencia. Según un informe de Google, 7 de cada 10 ciberataques tienen como objetivo a pymes, como contábamos hace poco.
Además, un reciente estudio publicado por la aseguradora Hiscox pone de manifiesto que la situación se está agravando. Así pues, si el porcentaje de empresas que reconocen haber sufrido un ciberataque ha pasado del 38% en 2020 al 53% en 2023, en el caso de las compañías atacadas con menos de diez empleados ha aumentado del 23% al 36% en este mismo periodo.
Además, el informe de Hiscox desvela que las pymes se están quedando atrás en lo que se refiere a niveles de confianza, ya que sólo 3 de cada 5 cinco empresas (61%) con menos de 250 empleados dicen sentirse seguras con su preparación en temas de ciberseguridad, frente al 71% registrado entre las empresas más grandes.
Asimismo, los encuestados de empresas más pequeñas están menos seguros de que su dirección ejecutiva dé prioridad a la ciberseguridad y tienden cuestionar más si su tecnología informática está a la altura de las circunstancias.
El fraude, principal amenaza de un ciberataque
La investigación también descubre que el principal impacto causado en la empresa por un ciberataque es la pérdida económica derivada del fraude. No en vano, hemos de tener en cuenta que el interés económico es lo que mueve a los ciberdelincuentes en la mayoría de las ocasiones.
Así pues, la pérdida económica a causa del fraude por desvío de pagos es la consecuencia más citada por las empresas consultadas por Hiscox (34%) en caso de sufrir un ciberataque, por delante de los costes asociados a la notificación a los clientes (31%), el impacto negativo en la marca o en su reputación (25%), una mayor dificultad para atraer a nuevos clientes (22%) o la pérdida de clientes (21%).
Además, en torno a una cuarta parte de las compañías dicen que el ciberataque sufrido ha causado un incidente a terceros asociados (26%) o que ha reducido sus indicadores de rendimiento empresarial (24%).
En el lado bueno, la aseguradora apunta que el coste de los ataques disminuye, ya que la mediana de los costes para las empresas atacadas se redujo, aunque ligeramente: de casi 15.640 euros en 2022 a poco más de 14.766 euros en el último ejercicio. La mediana del mayor ataque individual también cayó, pasando de 6.118 euros a 4.922 euros.
Sin embargo, estas cifras se mueven en una horquilla muy amplia, desde los 1.968 euros para empresas con menos de 10 empleados hasta 9.844 euros las para empresas con más de 1.000 empleados.
Hiscox remarca que su informe de 2022 sólo recogía cuatro casos de empresas que reportaron costes de ciberataques por encima de los 4,6 millones de euros, mientras que este año encontramos ocho empresas en ese rango y tres por encima de los 9,2 millones de euros. Y un 12% de las empresas sufrieron costes de 230.000 euros o más.
Además, el sector al que pertenece la organización atacada también es determinante. El informe de la aseguradora ha encontrado que cuatro sectores asumieron costes medianos de 18.400 euros o más: fabricación, transporte y distribución, energía y gobierno y organizaciones sin ánimo de lucro.
También destaca que tanto el sector de transporte y distribución como el de gobierno y organizaciones sin ánimo de lucro vieron un significativo incremento interanual de los costes, del 28% y 83%, respectivamente.
Aunque hay buenas noticias, ya que la mayoría de industrias han conseguido controlar o reducir el coste mediano del mayor ciberataque individual que sufrieron. Para las compañías energéticas, la cifra disminuyó de más de 10.120 euros a poco menos de 6.440 euros en dos años. Para la industria de la alimentación y bebidas, el coste ha disminuido más de la mitad, cayendo hasta 4.140 euros. Y los fabricantes informaron del mayor coste mediano de pérdidas para el peor ataque individual, alcanzando los 6.587 euros.
El ransomware sigue ahí
Hiscox confirma que la amenaza del ransomware no decae, ya que 1 de cada 5 empresas (20%) que sufrieron un ciberataque se tuvieron que enfrentar a uno de estos secuestros de datos (19% un año antes).
El porcentaje que pagó por el rescate se redujo ligeramente, del 66% al 63%, pero el rescate mediano se encareció un 13%, alcanzando los 9.844 euros. El coste medio de las recuperaciones también cayó ligeramente, hasta los 4.968 euros. Y la cantidad máxima pagada fue de 492.200 euros, aunque la cifra mediana para el mayor ataque individual fue de 4.922 euros, frente a los 3.680 euros del año anterior.
En cuanto a los motivos aportados para el pago del rescate, las empresas citan la protección de información interna confidencial (43% de las consultadas) o de los datos de clientes (42%). Esta última fue la razón más destacada entre las grandes empresas para pagar el rescate.
La principal vía de entrada de los hackers volvió a ser el correo electrónico, a través de campañas de phishing (63% de las víctimas). Hiscox subraya que es el tercer año consecutivo en el que el phishing ha sido de lejos la fuente principal de los ataques de ransomware, El segundo método más común sigue siendo el robo de credenciales.
Otro aspecto interesante que ha estudiado la aseguradora es si el pago del rescate sirvió para algo. El informe ha descubierto que sólo el 46% de las empresas que fueron víctima de un ataque ransomware afirman haber recuperado con éxito todos sus datos tras abonar el rescate, lo que supone un sustancial descenso respecto al 59% del año previo. Y casi un tercio (32%) dijeron haber recuperado parte de sus datos.
Sin embargo, una cuarta parte de las compañías indican que los datos fueron filtrados o la clave de recuperación no funcionó. Además, una de cada cinco empresas (20%) volvió a sufrir otro ataque.
