Las organizaciones han visto cómo su nivel de amenazas informáticas ha crecido considerablemente este último año, según señaló recientemente Check Point apuntando que en el caso de las empresas españolas el aumento de los ciberataques semanales es de hasta un 61%. Ahora, PwC ha publicado otro informe que adelanta que en 2022 se va a producir un nuevo incremento de los ciberataques a empresas.
Se trata del informe "Digital Trust Survey 2022", elaborado a partir de una encuesta con 3.602 responsables de ciberseguridad (CISOs), CEOs, y altos directivos de 66 países de todo el mundo, incluido España. Más de la mitad de las compañías entrevistadas ha manifestado que espera que los ciberataques aumenten por encima de los niveles récord de 2021 y esta amenaza se está viendo reflejada en sus presupuestos: el 69% de las empresas – el 70% en España – prevé incrementar sus inversiones en ciberseguridad, frente al 55% del año pasado, y un 26%, tanto a nivel mundial como en nuestro país, espera que este aumento sea del 10% o incluso superior.
¿Cuáles son los ciberataques que más van a crecer en 2022?
Según el conjunto de los directivos participantes en el estudio, los ataques que más van a crecer el próximo año son los que tienen como objetivo los servicios en la nube y los ransomware – para el 57 % de los entrevistados. Les siguen de cerca el malware descargado a través de las actualizaciones de software y los ataques al software de la cadena de suministro (ambos con un 56 %).
Los responsables de ciberseguridad españoles coinciden en señalar que las amenazas a los servicios en la nube son las que más se van a incrementar – para el 53 % de los participantes. En este caso, les siguen los ataques a la cadena de suministro (52 %).
En cuanto a la puerta de entrada que más van a utilizar los ciberdelincuentes, los encuestados señalan que serán el Internet de las Cosas (IoT), los móviles, los proveedores de servicios en la nube, la ingeniería social y los proveedores. Por otra parte, consideran que los tres principales protagonistas de estos ciberataques serán los cibercriminales, los hackers y activistas, los Estados nación.
Terceras partes, complejidad y datos
El "Digital Trust Survey 2022" pone un punto de atención especial sobre el conjunto de proveedores y terceras partes que intervienen en la operativa diaria de una compañía – los llamados en inglés "third party providers". Y asegura que las empresas los podrían estar pasando por alto y que se estarían convirtiendo en un punto ciego de entrada de los ciberataques. El 60 % de los entrevistados reconoce no tener un conocimiento profundo de las brechas de seguridad asociadas con estas terceras partes y un 20 % asegura tener poco o ninguno. En el caso de los encuestados en España, la situación es idéntica.
El estudio concluye que las empresas se han vuelto demasiado complejas como para poder ser aseguradas en su totalidad, como consecuencia del incremento exponencial de la conectividad y de la aceleración de la transformación digital en los últimos años. En este sentido, el 75 % de los encuestados afirma que sus empresas tienen un exceso de complejidad en sus modelos operativos y en sus procesos que podría ser innecesario, lo que conlleva un incremento notable de los riesgos de ciberseguridad y de privacidad.
Entre los principales factores que más contribuyen a esta complejidad, se sitúan las infraestructuras de datos de las empresas y las arquitecturas tecnológicas, con multitud de sistemas distintos, muchos de ellos heredados y difícilmente integrables. Para los entrevistados, esta circunstancia se traduce en el día a día de las compañías, en pérdidas económicas, en una menor capacidad de innovación y en una menor capacidad de recuperación ante ciberataque o ante los fallos tecnológicos.
Finalmente, el estudio destaca la importancia de los datos: el activo más codiciado por los ciberdelincuentes. Un riesgo que las compañías podrían minimizar protegiendo los datos contra la manipulación y el robo. Sin embargo, sólo el 34 % del conjunto de los participantes – el 33 % en España – afirma haber implantado procesos formales de seguridad de los datos que incluyan su cifrado y su intercambio seguro y que determine cuáles son los que deben proteger y cuáles no.
En palabras de Jesús Romero, socio responsable de Soluciones de Seguridad de Negocio en PwC: "Nuestro informe 'Digital Trust Survey 2022' proporciona una visión detallada de las claves para que la alta dirección y los CISOs aborden con éxito los retos actuales y próximos en ciberseguridad, con foco en temas como el rol que han de jugar los CEOs, la influencia de la complejidad organizativa, los riesgos de mayor impacto para el negocio o la seguridad de la cadena de suministro y los riesgos de terceros".