La ciberseguridad es ya un asunto de Estado
Los delincuentes informáticos parecen haber hallado la fórmula para extorsionar no solo a empresas, sino también a Gobiernos
Era el mejor de los tiempos y era el peor de los tiempos”, decía Charles Dickens en su Historia de dos ciudades, y la pandemia llegó para confirmar lo que el escritor inglés ya dibujaba: la dualidad nos persigue, también en el nuevo ecosistema digital. El coronavirus ha impulsado el teletrabajo, la digitalización de empresas privadas y Administraciones públicas y los conocimientos tecnológicos de los empleados, pero también ha creado un caldo de cultivo que ha permitido la generalización y popularización de los ciberataques. Tanto es así que más de la mitad de las empresas españolas, el 53% en concreto, han reconocido haber sufrido algún ciberataque en 2020, cinco puntos más que en 2019.
Con más empleados trabajando en remoto de todos los ámbitos, público y privado, la pandemia ha abierto la puerta a nuevas amenazas, creando oportunidades únicas de ingeniería social y aumentando notablemente la presión sobre las empresas, que lidian a la vez con la adaptación tecnológica y la necesidad de mantener la viabilidad del negocio en un escenario con muchos frentes. No solo se enfrentan a una gran variedad de ataques, sino que estos son cada vez más sofisticados y con un mayor impacto en las empresas a las que se dirigen.
Pero el problema ha adquirido una nueva dimensión y es ya una cuestión de Estado. Los ciberdelincuentes parecen haber dado con la fórmula exacta para extorsionar no solo a empresas privadas, sino también a los Gobiernos. El Parlamento Europeo estima que los costes vinculados a la ciberdelincuencia en el mundo alcanzaron en 2020 los 5,5 billones de euros, el doble que en 2015. Y, más allá del impacto económico, estos ataques hacen tambalear los cimientos democráticos de los países atacados y el funcionamiento normal de la sociedad.
En el caso concreto de España, solo en 2021, hemos sido testigos del ataque al SEPE que lo mantuvo paralizado dos semanas o de la ola de ciberataques que tumbó la web del Instituto Nacional de Estadística y del Ministerio de Trabajo simultáneamente. No en vano, el Gobierno español planea invertir 244 millones en ciberseguridad a través del Incibe, lo que supone la mayor compra pública innovadora en Europa en esta materia. De hecho, nuestro país se situó en el cuarto puesto a nivel mundial en el Índice global de ciberseguridad 2020 que elabora la Unión Internacional de Naciones Unidas, situado solo por detrás de EE UU, Reino Unido, Arabia Saudí y Estonia e igualado con Corea del Sur y Singapur. Pero además, el Ministerio de Defensa estudia crear un cuerpo propio de militares expertos en ciberdefensa para defender a España en el ciberespacio.
Y es que hoy en día, un móvil o un portátil pueden hacer más daño que un avión de combate, requiriendo para ello una inversión mínima. Ante esta nueva realidad la única respuesta posible es desplegar una estrategia de ciberseguridad robusta que permita frenar la entrada de los ataques. Para ello es necesario, por parte de las empresas privadas y de las Administraciones públicas, la ampliación del presupuesto destinado a TI, para conseguir unas estructuras seguras y, sobre todo, unos empleados más preparados ante cualquier amenaza. Si bien es cierto que las empresas españolas han estado haciendo los deberes y aumentaron el presupuesto de TI destinado a ciberseguridad casi un 50% respecto al año anterior, la realidad es mucho más compleja. Y es que solo al 9% de las compañías de nuestro país se les puede considerar ciberexpertas y pese a esto, el 49% de las empresas no prevé aumentar su presupuesto en ciberseguridad, dejándolo al mismo nivel, o inferior, que el año pasado.
Pero la experiencia ha demostrado que no basta con intentar impedir la llegada del ataque, sino que, además, hay que trabajar para minimizar el impacto que este puede tener en la cuenta de resultados de las empresas que sufren el ciberataque. Ya en 2019 Accenture vaticinaba que en los próximos años las compañías a nivel mundial podrían enfrentarse a costes adicionales y pérdidas de ingresos por valor de 5.200 millones de dólares como consecuencia de los ciberataques. En el caso concreto del tejido empresarial español, formado en más de un 95% por pymes, el coste medio de un ciberataque supera los 10.000 euros. Se trata de una cifra muy significativa teniendo en cuenta los presupuestos que manejan y el impacto en el negocio. Y aunque la reputación es un intangible complejo de medir, también se ve gravemente afectada si, por ejemplo, como resultado del ataque se ven expuestos los datos personales de los clientes de la empresa, tal y como le sucedió recientemente a la popular plataforma Twitch, que vio cómo se hacía público el importe de los pagos a sus creadores de contenidos. La solución a la problemática no es sencilla. Tomando en consideración los datos, parece que nada ni nadie está a salvo. Y es que la digitalización ha sido clave en los últimos tiempos, especialmente cuando muchas empresas encontraron en ella la forma de seguir operando cuando todo parecía paralizado. Es necesario entender esa dualidad y afrontarla con estrategias que rentabilicen el nuevo mundo de posibilidades que se abren a la par que cierran la puerta a las amenazas.
David Heras es Director general de Hiscox Iberia