La inversión en ciberseguridad debe ser considerada como una de las prioridades para empresas e instituciones públicas. Esta es una realidad todavía cuestionada y que no se aplica en todas las empresas en España.

En los últimos años hemos experimentado un incremento significativo de los ciberataques, cada vez más sofisticados, y que han puesto en alerta a todos los sectores. Sin embargo, la pregunta en este momento es si la concienciación crece al mismo ritmo que la problemática, si son conscientes de que la siguiente víctima de los ciberdelincuentes puede ser su propia empresa.

La pandemia de la COVID-19 ha tenido un papel fundamental en la rápida aceleración de la transformación digital que ha experimentado España. Ha puesto sobre la mesa la necesidad del impulso de la digitalización y la conectividad como un elemento clave del ámbito personal, social y profesional. Esta situación ha desembocado en que empresas, instituciones y particulares estén cada vez más expuestos a ser víctimas de un ciberataque.

Según el Instituto Nacional de Ciberseguridad (INCIBE), actualmente, España es el tercer país del mundo que más ataques recibe, tanto en ámbito público como privado. Durante el año 2022, esta misma entidad reportó haber asistido más de 118.000 incidentes en materia de ciberseguridad a empresas y particulares, lo que supone un 9% más respecto al 2021. INCIBE estima que ese porcentaje seguirá creciendo en los próximos años.

Además, si consultamos las cifras reveladas por el Ministerio del Interior en materia de ciberdelincuencia del pasado año tampoco son muy positivas. Se registraron más de 375.000 infracciones penales en el ciberespacio, suponiendo un aumento del 22,9% respecto a las cifras del año 2021 y un 72% más que las registradas en 2019. De las 2.325.358 infracciones penales registradas entre enero y diciembre de 2022, 375.506 corresponden a delitos cibernéticos, representando el 16,15% de los delitos cometidos, una cifra que ha aumentado en un 9,93% desde que se comenzó a registrar en 2019. Las cifras, lejos de ser alentadoras, son preocupantes.

A este panorama le sumamos la guerra de Rusia contra Ucrania. Desde que comenzó el conflicto, la lucha contra la ciberdelincuencia ha ido a marchas forzadas. Se han registrado numerosos ciberataques contra infraestructuras críticas y sistemas de defensa, las cifras reflejan una mayor propagación de malware y ataques de phishing relacionados con el conflicto, lo que ha aumentado el riesgo de robo de datos y el espionaje cibernético. Los conflictos de carácter internacional, han puesto una vez más sobre la mesa la importancia de la ciberseguridad como pilar fundamental de la defensa nacional en todo el mundo.

Estamos ante una situación compleja, ya que los sectores objetivo de los ciberdelincuentes cada vez son más. Según el último informe sobre El Panorama de Amenazas elaborado por la Agencia de Ciberseguridad de la Unión Europea, todos los sectores del tejido empresarial son objetivo de ciberdelincuentes, pero son las Administraciones públicas y los servicios digitales los que concentran casi el 40% del total de los ataques. 

Ante este contexto, las empresas deben estar preparadas. El hacking ha demostrado ser un negocio muy rentable. El secuestro de datos con la utilización de ransomware y el posterior pago de un rescate para su recuperación se ha convertido en una práctica cada vez más habitual por parte de los grupos del crimen cibernético.

Además, las pymes se posicionan como principales afectadas. Según un reciente estudio elaborado por Google, cada ataque tiene un coste medio de 35.000 euros, suponiendo el cierre para el 60% de las mismas pasados seis meses desde el incidente. Las cifras globales que arroja este documento muestran que este tipo de ataques tienen un coste de más de 5.500 millones de euros para empresas e instituciones. Y lo peor está por llegar, puesto que se espera que el impacto de los ataques cibernéticos supere los 9.000 millones de euros para 2025.

Estas cifras escalofriantes, han  provocado que haya una mayor concienciación y por consecuencia una mayor inversión y esfuerzo para hacer frente a estas amenazas. Sin embargo, no solo basta con preparar sistemas internos, al equipo directivo y empleados, es necesario establecer un seguimiento constante, capacitado para hacer frente a las nuevas que puedan surgir.

Las empresas han establecido entre sus prioridades el refuerzo de la seguridad de sus sistemas y el Gobierno español también ha comenzado a adoptar un papel más activo en la ciberseguridad nacional durante los últimos años. Prueba de ello es el Plan Nacional de Ciberseguridad, el cual ha aumentado su protagonismo en los últimos años con la creación de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes y Amenazas o la puesta en marcha del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos (COCS). Estas entidades son fundamentales para la creación de una red público privada para prevenir y dar respuesta a todo tipo de amenazas cibernéticas.

El aumento en la cantidad y sofisticación de los ciberataques exigirá a empresas e instituciones multiplicar sus esfuerzos. Establecer una colaboración público privada para favorecer la implementación sistemas de seguridad sólidos y la creación de organismos de control que sean eficaces para hacer frente a un panorama en el que los ataques están a la orden del día. La guerra cibernética es constante y todavía falta mucho por hacer.

***Juan Carlos Díaz, director del área de Ciberseguridad en Kroll España.