Más de la mitad de las empresas españolas ha sido víctima de un ciberataque (51%), con una media de 84 ataques a cada una de ellas. Esta realidad ha llevado a las empresas a colocar la ciberseguridad como el asunto que más les preocupa, con un 48% que le da una valoración de alta o muy alta.

Según se reveló ayer durante la presentación del sexto Informe de Ciberpreparación 2022 elaborado por Hiscox, el coste de los ciberataques se ha duplicado en el último año para las empresas españolas, pasando de 54.388 euros en 2020 hasta los 105.655 euros en 2021 de media para cada una de ellas, lo cual tiene un gran impacto en la viabilidad económica del negocio.

Esta cifra pone sobre la mesa una realidad mayor: las empresas españolas pierden más dinero por los ciberataques que la media mundial, que se sitúa en 78.409 euros.  

¿Cómo se articula un ataque?

Según fue desgranando Fernando Conde, experto en ciberseguridad y colaborador de Hiscox, durante la presentación del informe, la mayoría de estos ataques han llegado a las organizaciones a través del compromiso del email corporativo, que se ha posicionado como la primera vía de entrada, con un 41% de los casos, seguido de cerca por los ataques a los servidores en la nube (38%), a los servidores corporativos (38%), a los móviles personales de los empleados (29%) y a los de empresa (27%).

En cuanto a los tipos de ataque, los de Denegación de Servicio se han convertido en el principal tipo de ciberataque que reciben las empresas españolas (38%), seguido del fraude financiero (32%) y el ransomware (22%). En el caso concreto de las pymes, los ataques de ransomware son cada vez más frecuentes, ya que, si en 2020 solo representaban un 11%, en 2021 se ha elevado hasta el 20%.

Solo el 2% de las empresas son ciberexpertas

Las empresas españolas han aumentado su presupuesto de TI de 13 millones de euros a 17.7 de media. Además, también ha aumentado el porcentaje de ese dinero que dedican a ciberseguridad, del 22 al 24%. A pesar de esta inversión, solo el 2% son ciberexpertas y un 30%, de hecho, son consideradas cibernovatas, revelan desde Hiscox.

Además, a pesar de ser conscientes de la exposición a los ciberataques, solo el 26% de las empresas encuestadas considera que ese riesgo ha crecido en el último año, frente al 60% que considera que se mantiene en el mismo punto que el año anterior.

Ransomware: un 64% decidió pagar el rescate

El ransomware sigue siendo uno de los ataques más peligrosos por su impacto en las empresas a las que se dirige. En el caso concreto de las empresas españolas, el 64% decidió pagar el rescate exigido por los ciberdelincuentes, un 20% más de las que pagaban el año pasado.

Esto supone que el pago por todos los rescates tras estos ataques de ransomware les han costado una media de 19.400 euros. «Más allá del coste en sí del rescate, recuperarse de los ataques de este calibre sufridos el pasado año, cuesta de media 10.843 euros a las empresas en España», añade el informe.

Sin embargo, pagar el rescate no siempre significa acabar con la amenaza de los delincuentes a tenor de que el 47% de las empresas sufrió otro ataque de ransomware como resultado de pagar el rescate del ataque anterior.

Tal es el impacto de los ransomware, que el 43% de las empresas españolas dejó de estar operativa después de un ataque, el 56% en el caso de las pymes, por lo que pagó el rescate para volver a funcionar.

Efectos: un 28% perdió clientes tras ser atacadas

La problemática de los ciberataques no se limita solo a cuándo ocurren, sino que su impacto perdura en la empresa. Para empezar, el 38% de las empresas españolas tardan menos de una semana en recuperarse de un ciberataque, el 34% entre 1 y dos semanas y otro 15% más de dos.

El negocio de las empresas se vio resentido tras el cibertaque, tanto que el 28% perdió clientes. En este aspecto hay diferencias según el tamaño de las empresas, ya que en el caso de las grandes ese porcentaje baja al 23%, mientras que para las pymes se eleva hasta el 32%.

Otros impactos negativos de los ciberataques son la pérdida de reputación, que afectó al 29% de las organizaciones, y el aumento de los costes asociados a la necesidad de notificar a los clientes del incidente, que tuvo impacto en el 30% de las compañías.

La buena noticia según se puso de relieve desde Hiscox es que muchas empresas escarmentaron después del incidente:el 35% de ellas implementó requisitos adicionales de ciberseguridad y auditoría, otro 30% aumentó la evaluación de la estrategia de seguridad, en especial en su cadena de suministro para evitar que los proveedores se convirtieran en vías de entrada; y otro 27% trabajó activamente para mejorar su preparación ante los ciberataques.