El Foro Económico Mundial sitúa, en base a las conversaciones mantenidas entre sus miembros, la ciberseguridad como uno de los mayores riesgos para las empresas y gobiernos. Tal es la preocupación entre los grandes líderes del globo que mantienen este aspecto al mismo nivel que la guerra de Ucrania o la incertidumbre económica que vivimos.

No es para menos. Según un informe de Cybersecurity Ventures, se prevé que los costes mundiales de la delincuencia online crezcan un 15% anual entre 2021 y 2025, alcanzando los 10.500 millones de dólares al año. La particular culpa de esta espectacular cifra la tienen las 146.408 millones de amenazas detectadas tan sólo por una compañía -Trend Micro- a lo largo del pasado curso. 

Según las estadísticas oficiales, en 2022 se produjeron en España 305.477 delitos informáticos (de los que algo más de 46.000 han sido resueltos), lo que supuso un incremento del 6,1%.

[La encrucijada de la ciberseguridad: entre la criticidad del 5G y la falta de inversión en las empresas]

"Hay muchas causas que explican esta situación", detalla Raúl Guillén, su director de Estrategia de Ciberseguridad. "Estamos viendo cómo se extienden las dependencias de las cadenas de suministro, cómo aumentan las ciberamenazas protagonizadas por actores estatales, la integración de las TIC con el mundo OT (producción) y una considerable falta de talento que dificulta protegerse adecuadamente".

En torno a este último aspecto, recordemos que existe un déficit mundial de mano de obra especializada de 3,4 millones de personas, de acuerdo con otro estudio de Cybersecurity Workforce Study. 

A ello debemos sumar otro factor que se repite de forma recurrente, ya hablemos de seguridad física o cibernética: la falta de inversión. Actualmente, las partidas dedicadas a la protección y recuperación de los sistemas informáticos representa alrededor del 4-5% del presupuesto total dedicado a lo digital en las empresas. Sin embargo, Guillén cree que este porcentaje debería aumentar hasta el entorno del 8-10% en los próximos años.

Aunque este incremento es más que probable que venga por el declive del resto de partidas (debido a la menor inversión necesaria con las propuestas como servicio frente a la compra del costoso hardware) que por el interés de las compañías en abordar su ciberseguridad de forma más ambiciosa. No en vano, apenas el 64% de los negocios a escala mundial y el 53% en España planean aumentar sus presupuestos de ciberseguridad este año.

Así lo refleja un estudio de Sapio Research, que explica en parte esta desazón entre la alta dirección respecto a este tema. Y es que la mitad de las empresas considera que la ciberseguridad es un coste necesario, pero que no contribuye en nada al negocio. Lo que es más: apenas el 42% ve una relación directa entre la ciberseguridad y la capacidad de innovación y sólo el 60% reconoce el impacto de este asunto en la captación y retención de nuevo negocio.

Un grado de exposición nunca visto

Desde la firma de ciberseguridad ESET añaden que las organizaciones, independientemente de su tamaño, "nunca han estado tan expuestas a los ciberataques" como lo están actualmente. Esta subida se debe, principalmente, al aumento de la actividad de los grupos de ciberdelincuentes y al incremento de la "superficie de ataque" como consecuencia de los procesos de transformación digital que están llevando a cabo las diferentes firmas a medida que se apuesta por un mundo "más digitalizado".  

En ese mismo sentido, Derek Manky, Chief Security Strategist y Global VP Threat Intelligence de Fortinet, destaca que "la hiperconectividad aumenta la velocidad y el volumen sobre el que pueden atacar los cibercriminales", precisa Manky. "Si piensas en ello como un metro que va del punto A al punto B, parando en el C, D…, si solo tienes una parada es más fácil hacer una inspección de seguridad y detectarlo, pero si hay millones de dispositivos que hay que hay que inspeccionar, vuelve la situación más compleja". 

Visión compartida también por Raúl Guillén: "El cibercrimen no sólo de ha profesionalizado, volviéndose más agresivo y exitoso, sino que la superficie de ataque se está extendiendo mucho, con la llegada del 5G, los vehículos conectados, el cloud dinámico y la hiperconectividad. Y esto provoca un incremento de los ataques, especialmente en sectores como los gobiernos, la industria, la sanidad o la educación".

Inconscientes de su propio riesgo

Y si todos los expertos coinciden en el diagnóstico, en el aumento de los ataques debido al crecimiento de la superficie de ataque, lo irónico y paradigmático es que las empresas son completamente inconscientes del riesgo que corren.

Volviendo al informe de Sapio Research con Trend Micro, el 53% de los líderes españoles reconoce que el nivel de riesgo cibernético que corren es al menos "alto". Pero lo sorprendente es que haya un nada desdeñable 12% que confiesa no tener ni idea ni forma alguna de cuantificar cuál es su estado. Un primer paso elemental, como diría Sherlock Holmes, si queremos igualar la batalla respecto a unos ciberdelincuentes ávidos de hacerse con todo.