La ciberseguridad, necesaria también en el verano del virus

Los periodos estivales no son una excepción y son momentos especialmente críticos para las organizaciones, en los que es aconsejable que no bajen la guardia en la defensa y salvaguarda de sus sistemas. Tradicionalmente, las vacaciones veraniegas han sido ideales para que los criminales lleven a cabo sus actos delictivos. En el ámbito de la ciberseguridad, esto no es una excepción. Las oficinas vacías, la euforia por el merecido descanso y los equipos humanos en turnos vacacionales y de guardia bajo mínimos ofrecen unas circunstancias muy favorables para los amigos de lo ajeno también en el ciberespacio.

La era digital ha transformado el modus operandi para los criminales, pero ha mantenido el escenario de riesgo. Así lo demuestran los últimos acontecimientos, en los que importantes compañías españolas e internacionales han sido objetivo de ciberataques. Estos incidentes han tenido un importante eco en los medios de comunicación, que han hecho un hueco entre las informaciones sobre la pandemia del Covid-19 y sus consecuencias sanitarias y económicas para abordar ampliamente estas amenazas y su impacto en todo tipo de compañías.

En los últimos años se ha establecido una dinámica en estos ataques que se caracteriza por el uso de ransomware (software malicioso con intención de acceder a partes del sistema de la organización para pedir un rescate). Según diferentes estudios, se estima que, durante el pasado ejercicio, el coste de este delito en las organizaciones alcanzó la cifra de 170.000 millones de dólares. En España, según fuentes del mercado, el 53% de las empresas españolas sufrieron un ataque importante de ransomware durante 2019. El 42%, asimismo, espera sufrirlo en el futuro. Estos ataques supusieron de media un coste de 260.000 euros para las empresas impactadas.

Estas ciberamenazas son cada vez más complejas e insidiosas, una tendencia que se ha ido incrementando a raíz de la pandemia generada por el Covid-19. Las consecuencias para las empresas víctimas de estos ataques son variadas: sufren el bloqueo de las operaciones, lo que impide su continuidad de negocio; la fuga de información sensible para la compañía, que supone una importante debilidad en el mercado, o ambos perjuicios.

En diferentes ocasiones, los cibercriminales piden un rescate para desbloquear los datos, lo que hace que las víctimas valoren la posibilidad de pagar esta cantidad con el objetivo de volver a la normalidad a la mayor brevedad. Actualmente, más del 6% de las empresas víctimas de un ransomware pagan el rescate.

A modo de ejemplo, recientemente una conocida empresa internacional del sector del turismo decidió pagar 4,5 millones de dólares de rescate. Los cibercriminales, a cambio, le enviaron el software para descifrar los datos junto a un documento de recomendaciones para evitar futuros ataques, actuando como si de una consultora de ciberseguridad se tratara. No obstante, conviene recordar que los cibercriminales no realizan una labor de asesoría, sino una acción delictiva que se aprovecha de la falta de medidas de seguridad en la gestión de los sistemas y tecnologías de la información de las organizaciones. Utilizando este mismo ejemplo: ¿cuántos mecanismos y medidas de seguridad se pueden implantar con 4,5 millones de dólares?

La lucha contra el cibercrimen se debe llevar a cabo en dos diferentes frentes: por un lado, es necesaria una mayor colaboración internacional para desarrollar marcos regulatorios y potenciar las capacidades de la policía cibernética para luchar eficazmente contra esta nueva cibercriminalidad organizada.

Por el otro, hace falta impulsar una nueva cultura de ciberseguridad que siente la base de las operaciones, fundamentándose en dos pilares: en la responsabilidad a la hora de gestionar los riesgos tecnológicos y en las medidas y procedimientos adecuados para el mercado, para los consumidores y, en definitiva, para la sociedad en su conjunto.

La falta de medidas frente al ciberriesgo tiene un coste elevado en términos de activos financieros, impacto reputacional, responsabilidad civil por daños y pérdida de clientes. No podemos normalizar el pago de un rescate frente al ransomware como si se tratara de una operación financiera recurrente del día a día. Pagar a un cibercriminal, además de una actividad delictiva, es una acción que perjudica el refuerzo de la seguridad de una organización y que alimenta que continúen produciéndose nuevas estafas.

A pesar de ello, y según diferentes estudios, las empresas víctimas de un ciberataque suelen incrementar su presupuesto de ciberseguridad entre un 30% y un 70% en los tres años posteriores al incidente. En el momento actual que vivimos, determinado por el Covid-19, se ha incrementado el número de ataques a las organizaciones, por lo que esta inversión es el único camino para protegerse en un escenario de incertidumbre y amenaza, en el que los cibercriminales no descansan por vacaciones.

Gianluca D’Antonio es socio de risk advisory de Deloitte