La factura millonaria de los ciberataques

BarcelonaTres empresas del Ibex 35 han sido víctimas de un ciberataque para sustraer los datos en apenas dos semanas. La información de miles de clientes se filtró en foros de internet y quedó expuesta como un trofeo por los autores de estos delitos digitales. Durante el último mes los delincuentes informáticos han sumado entre sus víctimas corporaciones del tamaño de Telefónica, Banco Santander o Iberdrola, que tuvieron que informar de estos accesos "no autorizados" a sus datos. Las grandes empresas no escapan del auge de los hackeos, cada vez más sofisticados y difíciles de esquivar gracias a la inteligencia artificial. De hecho, son las víctimas más cotizadas. Por eso la mayoría han incrementado su inversión en ciberseguridad y ahora dedican una parte importante de su presupuesto en tecnología a prevenir estos ataques.

"El gasto específico en ciberseguridad puede variar ampliamente dependiendo de la empresa y el sector", indica Alberto Maldonado, director regional para la península Ibérica de Zscaler, una empresa de seguridad en la nube con sede en San José (California) . El experto cita un estudio de la consultora Deloitte, según el cual las grandes corporaciones pueden llegar a gastar entre el 6 y el 14% de su presupuesto informático en ciberseguridad. También recuerda que otras fuentes sitúan que entre el 0,2% y el 0,7% de los ingresos anuales en la banca y los seguros podrían dedicarse a este ámbito. Es decir, tomando esta estimación un banco podría estar invirtiendo en torno a 50 millones de euros por cada 10.000 millones en ingresos. "En general, las empresas que operan en sectores críticos como el financiero o el energético suelen asignar más recursos a la ciberseguridad, dada la naturaleza sensible de sus operaciones y la necesidad de cumplir regulaciones estrictas", remarca Pedro Viana, director de preventas en Kaspersky Iberia, un gigante de la ciberseguridad con sede en Reino Unido.

Todos los expertos consultados para este artículo coinciden en que los ataques dirigidos contra los sistemas y las bases de datos de grandes compañías van al alza y que ahora estas empresas se están tomando los riesgos que se derivan más en serio. "Hace poco visité una entidad financiera y sólo en el departamento de ciberseguridad ya eran 100 personas. Ahora en muchas grandes empresas ya hay un director de seguridad de la información, con más o menos recursos. Hace unos años se veía como un gasto, porque no obtienes un retorno rápido ni directo, pero en eso también ha influido bastante la regulación", indica Cristina Muñoz-Aycuens, directora de forensic a la auditora y consultora Grant Thornton y experta de la firma en ciberseguridad. Concretamente se refiere a dos normativas europeas: la directiva NIS2 sobre medidas comunes para las empresas de sectores críticos de todos los estados miembros y la ley de resiliencia operativa digital (o Dora), un reglamento para la gestión de los riesgos de las tecnologías de la información y la comunicación.

Cuando un gigante empresarial como Telefónica, Banco Santander o Iberdrola sufre un ciberataque, la pregunta siempre es la misma: ¿cómo es posible? "Estas nunca se liberarán, tienen una diana puesta al frente", apunta Selva Orejón, consultora en ciberseguridad e identidad digital y consejera delegada de la empresa especializada Onbranding. Esta compañía ofrece servicios principalmente a empresas pequeñas y medianas, en las que "sólo un incidente pequeño" puede costar 250.000 euros de resolver. En este sentido, la experta recuerda la importancia de la formación para las plantillas, ya que muchos de estos incidentes comienzan por un phishing (un tipo de fraude basado en la ingeniería social con el que se pide al usuario información personal o datos bancarios a través de un correo electrónico o un SMS que suplanta la identidad de un banco o un negocio) dirigido a los mismos trabajadores. Pero, aunque falten recursos para ayudar a las plantillas a distinguir estos engaños, Orejón insiste en que no se puede responsabilizar sólo de los errores humanos: "Si no tienes un buen filtro en los sistemas de correo electrónico corporativo, también das más margen de maniobra a los ciberdelincuentes para atacar a personas que ya están sufriendo unos niveles de estrés brutales".

¿Qué pasa con los datos robados?

Nicolás Castellano es consultor en ciberseguridad en la compañía catalana Andubay y explica que las pymes con las que trabajan suelen tener un presupuesto anual de entre 50.000 y 500.000 euros. Si hablamos de las pérdidas que puede generar un ataque estándar, el especialista indica que debe tenerse en cuenta la facturación que el negocio ha dejado de generar mientras sus sistemas están caídos. "Hace poco avisé a una empresa catalana de renombre que no tenía que colaborar con un cibercrimen pagando un rescate y el responsable fue muy claro: «Si estoy parado del viernes al lunes tendré que despedir a 400 trabajadores»", explica en corte de anécdota.

En los últimos ataques masivos a grandes corporaciones españolas, algunas se apresuraron a decir que no se habían filtrado datos críticos como números de cuentas bancarias, pero los expertos consultados aseguran que sólo con información básica como el nombre, una dirección de correo electrónico o un domicilio ya se puede exponer a los clientes a un riesgo importante. "Ahora que hemos tenido una ola de ciberataques llegará una ola de fraudes a estos clientes a los que han robado los datos y que tendrán que estar más atentos a estos engaños", concluye Muñoz-Aycuens.