• Home /

  • Empresas /

  • Las empresas españolas, las menos ciberpreparadas y las más atacadas en 2020

Las empresas españolas, las menos ciberpreparadas y las más atacadas en 2020

Guardar

España es el segundo país del mundo que más ataques de phishing recibe
España es el segundo país del mundo que más ataques de phishing recibe

El número de ciberataques se ha multiplicado desde que comenzó la pandemia de la Covid-19 y las empresas españolas están claramente en la diana de los ciberdelincuentes. Así se desprende de la quinta edición del Informe de Ciberpreparación de Hiscox, aseguradora especializada en seguros para empresas y profesionales, que señala que han sido las compañías más ciberatacadas en 2020.

El estudio analiza el estado de la ciberseguridad en más de 6.000 empresas de 8 países, entre ellos España, así como la tipología de los ciberataques, el coste que suponen o el impacto de la pandemia. Se basa en entrevistas que se realizaron entre noviembre de 2020 y enero de 2021 a responsables clave dentro de las organizaciones, y más de la mitad de las empresas españolas (el 53%) ha notificado haber sufrido un incidente, frente al 43% de la media del estudio.

Además, ha crecido también la frecuencia y el 42% de ellas se ha visto afectada por más de tres ciberataques. Y, por otro lado, el informe muestra que el tejido español es el menos preparado de los ocho países analizados: solo un 9% de compañías obtienen la calificación de "expertas" y es el segundo país con más empresas puntuadas como novatas (35%).

En palabras de Alan Abreu, responsable de Riesgos Ciber de Hiscox: "Lideramos el ranking de países cuyas empresas declaran haber sido víctimas de al menos un ataque en 2020, y según el informe, somos el tejido empresarial con menos compañías calificadas como ciberexpertas. Es una mezcla muy peligrosa que además conlleva una consecuencia directa, los delincuentes saben dónde puede ser más sencillo operar y entre ellos existe una red de información con empresas y sectores de países especialmente vulnerables; ser los menos preparados nos hace más atractivos para ser atacados, y por lo tanto, penaliza los planes y capacidad de las empresas españolas para reducir esta brecha".

Los efectos de los ciberataques

Según el informe, las consecuencias más repetidas en los ciberataques cometidos contra empresas españolas son el fraude por desvío de pagos y la denegación de servicio. Paralelamente, los puntos de acceso más comunes son los servidores de la compañía y los servidores en la nube y webs. Por otra parte, analiza la influencia de las personas que forman parte de las organizaciones en la ciberseguridad de las mismas, y sus datos preocupantes: el 28% de los ataques se producen a través de ingeniera social, cuya víctima fue un empleado, y el 19% en dispositivos móviles personales de las plantillas.

"El impacto financiero puede parecer contenible, el coste medio anual asumido por empresas españolas que han sufrido un incidente está en torno a los 10.000€ - la media del resto de países es ligeramente superior, 11.150€. Pero detrás de esas cifras hay una gran variedad de resultados, como un ataque que generó un coste a una organización española de más de medio millón de euros. La realidad es que un único impacto puede derivar en el cese de la actividad si no se está asegurado", ha apuntado Abreu.

Preguntadas por el impacto directo en la actividad provocado por un ciberataque sufrido en 2020, las organizaciones españolas señalan que los aspectos más negativos han sido la mala publicidad, la pérdida de clientes y el aumento del gasto en gestión de crisis. Y al evaluar la exposición para este año, el 48% cree que su organización está expuesta al riesgo de sufrir un incidente de ciberseguridad, y en torno a 7 de cada 10 es consciente del riesgo reputacional de un incidente que exponga datos de terceros, además de considerar que la ciberseguridad debe ser una prioridad para el comité directivo y que esta es un factor determinante para la competitividad en el mercado.

Al valorar la inversión de las organizaciones, el gasto general en TI disminuye drásticamente (-19,8%) en 2020, pero el porcentaje dedicado a ciberseguridad aumenta 7 puntos. En la actualidad las empresas españolas dedican el 22% del presupuesto de TI a ciberseguridad (15% en informe de 2020). Además, una de cada 2 empresas españolas analizadas aumentará el presupuesto en ciberseguridad y las áreas donde más se incrementará al presupuesto son: tecnología, auditorias y programas de prevención y formación de empleados.

El impacto de la pandemia de la Covid-19

Este año, el estudio de Hiscox dedica una sección especial al análisis de la influencia de la pandemia en el día a día de las organizaciones, desde el punto de vista de su transformación digital.

En sus conclusiones destaca que casi la mitad de las organizaciones españolas afirma que esta crisis ha generado una mayor vulnerabilidad frente a los ciberincidentes así como un aumento del teletrabajo, del uso tecnología colaborativas, una aceleración de la transformación digital y una expansión de los pagos online. De hecho, a raíz de esta crisis el porcentaje de empleados con acceso a trabajo en remoto en España ha pasado del 13% al 57%.

Ransomware

El año pasado, los ataques de ransomware se dispararon en España y aumentaron hasta un 160%, superando el índice de otros países como Alemania (145%), Reino Unido (80%) o Francia (36%). Según el informe de Ciberpreparación de Hiscox, entre las organizaciones españolas que confirmar haber sido objetivo de un ataque de esta naturaleza, más de 6 de cada 10 señalan como origen un ataque de phishing a través del correo electrónico.

Analizando la respuesta a este incidente, el 22% de los ataques de ransomware fueron resueltos en menos de 72 horas, lo que significa que casi 8 de cada 10 (78%) casos superó los 3 días, y más de 1 de cada 10 (12%) superó el mes. Respecto al método utilizado para solucionar la situación, el 40% de las empresas españolas reconocen haber pagado el rescate para recuperar los datos y un 34% para evitar su publicación. En el análisis de esta variable, el único dato "positivo" que arroja el informe es que las empresas españolas han asumido un menor coste para recuperarse de estos ataques (incluido el pago del rescate y resto de gastos): 29.535 euros de media anual frente a los 46.136 € del resto de países analizados.

Resultados de ámbito global

Entre las conclusiones generales comunes a los 8 países se destaca que el modelo de ciberpreparación muestra que las puntuaciones en el ámbito de las personas son más bajas que las obtenidas en las áreas de procesos y tecnología; que la proporción de empresas atacadas ha aumentado del 38% al 43%, en muchos casos estas sufrieron múltiples ataques y una de cada seis afirma que su supervivencia estuvo amenazada; y que las empresa dedican una quinta parte (21%) de su presupuesto de TI a la ciberseguridad, lo que supone un aumento porcentual del 63%.

Las empresas españolas, por encima de la media en transferencia del riesgo

Una de las pocas variables analizadas en el informe en la que las organizaciones españolas se sitúan por encima de la media es sobre la transferencia de este riesgo a un producto o cobertura aseguradora: 6 de cada 10 de las empresas disponen de algún tipo de cobertura o póliza especializada en ciberriesgos (63%).

En cuanto al porcentaje de empresas españolas que tiene previsto adquirir una póliza específica, el estudio revela que es del 15% (frente al 12% del resto de países). Paralelamente, el número de las que dicen que no tienen cobertura y que no tienen previsto adquirirla ha disminuido significativamente (un 10% frente al 18% del año anterior).

Entre aquellos que tienen transferido este riesgo, y preguntados sobre los servicios adicionales que valoran más en sus seguros, los tres más demandados son: los programas de formación de empleados, la evaluación del riesgo y el acceso a tecnología preventiva.