2022 ha vuelto a ser un año crítico para la ciberseguridad de las empresas españolas, para quienes la amenaza cibernética no deja de crecer. Tanto es así que el coste medio del total de la suma de ciberataques a las empresas españolas ha vuelto a ascender por segundo año consecutivo y en 2022 ha experimentado un aumento del 43%, según se desprende del Informe de Ciberpreparación 2023 de Hiscox, compañía aseguradora que ofrece productos innovadores y especializados para empresas y profesionales y que lanza este informe por séptimo año consecutivo. Estos datos resultan más significativos si cabe ya que este aumento se suma al experimentado el año anterior, en el que se duplicó el coste con respecto al ejercicio de 2020.

Si desglosamos las empresas por número de empleados, este problema muestra la misma tendencia, ya que aquellas que cuentan con más de 1.000 empleados también han visto aumentar este coste medio en un 34%, pasando de 248.568€ en 2021 a 333.939 en 2022. Sin embargo, las grandes afectadas por este aumento han sido aquellas que cuentan con entre 10 y 49 empleados, cuyo coste ha experimentado un crecimiento del 49,3%, de 15.654€ en 2021 a 23.374€ en 2022.

No obstante, España, en comparación con el resto de países analizados en el informe, fue de los pocos en ver descender el impacto de la ciberdelincuencia en las empresas.. De hecho, según el informe España fue el único país, junto a los Países Bajos, que experimentó un descenso en la incidencia de los ciberataques ya que, en 2022, el 49% de las empresas españolas fueron ciberatacadas, frente al 53% de 2021. Sin embargo, las empresas de nuestro país sufrieron una media de 224 ciberataques al año, solo por detrás de Estados Unidos (249), Francia (247) y Reino Unido (241).

Desciende ligeramente la incidencia de ransomware pero a las empresas españolas les cuesta más caro recuperarse de los ataques: el coste de recuperación aumenta un 88%

Los ataques de tipo ransomware han sido uno de los mayores intereses de los ciberdelincuentes en los últimos años. Este año, en España, hemos presenciado grandes ejemplos de ello, como el ciberataque al Hospital Clínic de Barcelona en el pasado mes de marzo y por el que se pedía un rescate de alrededor de 4,25 millones de euros, o el reciente ciberataque al Ayuntamiento de Sevilla del mes de septiembre, por el que los ciberdelincuentes demandaban 5 millones de euros.

En este sentido, el informe señala que el coste medio de recuperación del ransomware para las empresas españolas, aún incluso sin incluir los pagos por los rescates, aumentó un 88% en 2022, pasando de 10.415€ en 2021 a 19.549€ de media en 2022. En las empresas de entre 250 y 1.000 empleados el ascenso es mucho más dramático, ya que vieron aumentar este coste un 322% (de 4.116€ a 17.399€). También las micropymes (1 a 9 empleados) han asumido este aumento, ya que pasaron de 5.847€ de media a 10.370€, un 77% más que el año anterior. A ellas les siguen las grandes compañías de más de 1.000 empleados, que vieron incrementado este coste en un 47%.

Para aquellas empresas que deciden pagar el rescate por los ataques de ransomware, este coste se ve incrementado. No en vano, aún son muchas las que deciden hacerlo y, de hecho, el 49% afirma que decidió hacer frente a un rescate en al menos una o más ocasiones para recuperar los datos robados, y un 42% para evitar la publicación de datos confidenciales. En este sentido, el mayor motivo para hacerlo fue con el fin de proteger los datos del personal, ya que fue indicado por un 39% de las empresas españolas, un porcentaje que asciende del 30% de 2021.

Respecto al método de entrada más utilizado en este tipo de ataques, según el informe, continúa siendo el correo electrónico que contiene ‘phishing’, ya que el 61% de las empresas españolas así lo indicaron, aunque con un descenso de 3 puntos porcentuales con respecto al año anterior. A este le siguen los servidores no parcheados (VPN/servidor web), con un 31% frente al 28% de 2021; a través de terceros (proveedores o MSP/MSSP) con un 29%, 18 puntos menos que el año anterior; y el robo de credenciales (nombre de usuario o contraseñas del personal), que fue indicado por un 20% de las empresas, frente al 38% de 2021.

Sin embargo y, con todo lo anterior, el informe subraya que la incidencia del ransomware, incluyendo la ciberextorsión o la amenaza de exposición de datos de la empresa, descendió 3 puntos porcentuales con respecto a 2021, a un 20% en 2022.

Las empresas destinaron menos presupuesto a la ciberseguridad en 2022

Las empresas españolas gastaron en 2021 una media de 17,8 millones de euros en tecnologías de la información (TI), un porcentaje que se mantiene estable desde el año anterior. Sin embargo, según el informe, en 2022 las empresas han destinado menos parte de este presupuesto a la ciberseguridad que el año anterior, ya que el porcentaje dedicado a ello descendió al 20,7%, 3,3 puntos porcentuales menos que en 2021. En este sentido, el informe señala que el 83% de las empresas españolas no hicieron un seguimiento de las implicaciones financieras de los ciberataques. De hecho, las microempresas (de 1 a 9 empleados) fueron las que mayor importancia le otorgaron a este seguimiento, aunque este porcentaje únicamente asciende al 26%. Así, las que menos seguimiento hicieron fueron las empresas medianas de 50 a 249 empleados (8%).

Asimismo, cabe destacar que las empresas consideradas “ciberintermedias”, aquellas con un nivel medio de capacidad de respuesta rápida y eficaz ante un ciberataque, fueron las que hicieron el menor seguimiento de las implicaciones financieras, ya que únicamente el 15% lo realizó, frente al 23% de las “cibernovatas” y el 50% de las consideradas “ciberexpertas”.

“El informe de este año nos muestra cómo los ciberataques a nivel mundial han aumentado por tercer año consecutivo, en cinco puntos porcentuales, y que, pese a la caída en número, los costes de los ciberataques a las empresas españolas se han disparado este año, demostrando una vez más la verdadera importancia que han de conceder a la ciberseguridad. Sin duda, las implicaciones financieras pueden resultar devastadoras para las empresas, sobre todo para las pymes, que son las más vulnerables a la amenaza cibernética. Por ello debemos continuar redoblando nuestros esfuerzos en esta materia y continuar concienciando a todas ellas de su verdadero impacto, que amenaza a la propia viabilidad de su negocio”, afirma Nerea de la Fuente, directora de Suscripción de Hiscox Iberia.