No detectar a tiempo un cibertaque sale cada vez más caro. En concreto, el coste medio global de una vulneración de datos ha subido en 2023 a 4 millones de euros, el máximo histórico según los datos de IBM. Un incremento de un 15% en los últimos tres años que pone de relieve la importancia de contar con herramientas que permitan prever con antelación el coste económico que pueden suponer para las empresas este tipo de ataques.
El informe anual Cost of a Data Breach Report revela también que los costes derivados de la detección y el escalado aumentaron un 42% en el mismo periodo, lo que representa la mayor parte de los costes generados por las vulneraciones de datos e indica que se ha producido un cambio hacia investigaciones de ataques más complejos.
Asimismo, los datos ponen de manifiesto la importancia de implicar a las fuerzas de seguridad en el caso de recibir un ataque de ransomware. Aquellas víctimas que los hicieron ahorraron de media 424.410 euros en los costes de una vulneración en comparación con aquellas que decidieron no hacerlo. Sin embargo, a pesar de este ahorro potencial, el 37% de las víctimas de ransomware estudiadas en los últimos meses no implicó a las fuerzas de seguridad en la confrontación del ataque.
El informe Cost of a Data Breach 2023 se basa en un análisis en profundidad de las vulneraciones de datos experimentadas por 553 organizaciones a nivel mundial entre marzo de 2022 y marzo de 2023. La investigación, patrocinada y analizada por IBM Security, fue realizada por Ponemon Institute y se ha publicado durante 18 años consecutivos.
Entre sus principales conclusiones destaca también la efectividad de la inteligencia artificial a la hora de contener las vulnerabilidades. Aquellas organizaciones con un uso extensivo de la IA y la automatización experimentaron un ciclo de vida de la vulneración de datos 108 días más corto en comparación con las que no han desplegado dichas tecnologías (214 días frente a 322 días).
También se detectan lagunas en la captación de detección: sólo en un tercio de los casos estudiados el propio equipo de seguridad de las empresas detectó la vulneración, frente al 27% que fueron divulgadas por los atacantes. Las vulneraciones de datos comunicadas por los propios ciberdelincuentes supusieron un coste medio de casi un millón de dólares más en comparación con aquellos casos en los que fueron las organizaciones las que detectaron por sí mismas la vulneración.
"El tiempo es la nueva moneda de cambio en ciberseguridad, tanto para los responsables de seguridad como para los atacantes. Como muestra el informe, la detección temprana y la respuesta rápida pueden reducir significativamente el impacto de una vulneración", explicó Chris McCurdy, General Manager, Worldwide IBM Security Services. "Los equipos de seguridad deben centrarse allí donde los agresores tienen más éxito y concentrar sus esfuerzos en detenerlos antes de que logren sus objetivos. Las inversiones en métodos de detección y respuesta a amenazas que aceleran la velocidad y la eficiencia de los responsables de seguridad, como la IA y la automatización, resultan cruciales para modificar este desequilibrio".
Otras conclusiones
El informe Cost of a Data Breach de 2023 también arroja otras conclusiones:
Vulneración de datos en múltiples entornos: casi el 40 % de las vulneraciones de datos estudiadas resultó en la pérdida de datos en múltiples entornos, incluyendo nube pública, nube privada y on-prem, lo que demuestra que los atacantes fueron capaces de comprometer varios entornos sin ser detectados. Las vulneraciones de datos estudiadas que afectaron a múltiples entornos también provocaron costes más elevados (4,75 millones de dólares de media).
El coste de las vulneraciones en el sector sanitario sigue aumentando: el coste medio de una vulneración en el sector sanitario alcanzó casi los 11 millones de dólares en 2023, lo que supone un aumento del 53 % desde 2020. Los ciberdelincuentes han comenzado a hacer que los datos robados sean más accesibles para las víctimas colaterales, según el X-Force Threat Intelligence Index de 2023 de IBM Security. Con los registros médicos como palanca, los ciberdelincuentes amplifican la presión sobre las organizaciones vulneradas para que paguen un rescate. De hecho, en todos los sectores estudiados la información de identificación personal de los clientes fue el tipo de registro más vulnerado y el que derivó en mayores costes.
A nivel global, las organizaciones analizadas de todos los sectores con un alto nivel de DevSecOps tuvieron un coste medio de una vulneración de datos casi 1,7 millones de dólares inferior al de aquellas con un nivel bajo o sin uso de un sistema DevSecOps.
Los costes de las vulneraciones en infraestructuras críticas superan los 5 millones de dólares: las infraestructuras críticas estudiadas experimentaron un aumento del 4,5% en los costes medios de una vulneración de datos en comparación con la edición del Cost of a Data Breach de 2022, pasando de 4,82 millones de dólares a 5,04 millones de dólares, lo que supone 590.000 dólares más que la media mundial.