Abruma la cantidad y frecuencia de los informes y estudios sobre ciberseguridad. De calidad dispar, son difundidos por empresas con legítimo interés de autopromoción. Una de las más conocidas, McAfee, tiene el mérito de haber encomendado a un equipo independiente un estudio que pone de relieve una conclusión nada banal: no protegerse de las amenazas es mucho más caro que tomar medidas. Suena simple, pero refleja la desafortunada tendencia a no prestar atención a los costes ocultos. El informe The Hidden Costs of Cybercrime asevera que en los dos últimos años se han multiplicado por 1,8. El coste total del ciberdelito en 2020 se ha estimado en 945.000 millones de dólares, un 18 más que en 2019.
Unas 1.500 organizaciones de siete países industrializados (entre las que no figura España) fueron encuestadas por la consultora Vanson Bourne y las respuestas, analizadas por expertos de la Duke University. Sólo el 4% del total declaran no haber experimentado ningún episodio de seguridad durante 2019 y el 92% contribuyeron al estudio reconociendo que los daños sufridos no se han limitado al impacto directo: la mayoría identifican costes no monetarios, como la caída de su productividad y las horas de trabajo perdidas durante las interrupciones de servicio.
Los autores llegan a una conclusión desasosegante por su sinceridad: “la realidad de la ciberseguridad es que el riesgo no se puede eliminar. En el mejor de los casos, podemos gestionarlo”. La serie estadística empieza en 2013, con 300.000 millones de dólares, lo que significa que esos costes se han triplicado con exceso en los últimos siete años.
Por impresionantes que parezcan estas cifras, la información disponible sugiere que la mayoría de las organizaciones afectadas consideran que las pérdidas han sido gestionables. Respuesta contradictoria con el hecho de que el 68% de los encuestados (exactamente 1.020 empresas) declaran haber sufrido parones de actividad TI debido a intrusiones o ataques. Pero aunque esos parones duren menos de una jornada, la consecuencia lógica es que a partir de ese momento todo se ralentice.
El informe enumera una serie de casos muy conocidos de los últimos años que definen una tipología de las consecuencias de ataques cibernéticos. El primero, que define como ejemplo de reducción de la eficiencia, fue un ataque ransomware contra la naviera danesa Maersk que – según fuentes externas – le habría costado unos 3.000 millones de dólares. En el mismo capítulo, los autores incluyen los 300 millones perdidos por TNT Express, unidad del gigante logístico FedEx, así como la farmacéutica Merck y la petrolera Rosneft.
Como modelos de elevado coste de la pérdida de datos, se recuerda que en 2017 un ataque a los sistemas de Equifax expuso públicamente información personal de 147 millones de personas, por la que la empresa llegó a un acuerdo transaccional para pagar 425 millones de dólares de multa así como ofrecer compensaciones proporcionales a las víctimas.
En otros casos – se idéntifica a Sony – no sólo se interrumpió la actividad de la compañía sino que se produjo una crisis moral entre los empleados al quedar al descubierto prácticas de racismo, sexismo y discriminación entre el personal de la compañía. No se libran de problemas los organismos gubernamentales: lo prueba la sustracción de 21 millones de expedientes individuales de empleados públicos en los sistemas informáticos de la OPB (Office of Personnel Management) del gobierno estadounidense.
En 2020 se han hecho tristemente comunes los incidentes de los que han sido víctimas los sistemas sanitarios en diversos países, entre ellos España. La crisis del coronavirus ha creado una oportunidad de oro para los profesionales del secuestro de datos a cambio de rescate. Pero no es tan nuevo como parece: en 2017, se recuerda, la epidemia del virus WannaCry infectó miles de ordenadores del National Health Systems (NHS) de Reino Unido. Otro malware que todavía ronda la informática sanitaria es el conocido como NotPetya, que según el informe provocó la paralización de la distribución de fármacos de los laboratorios Merck.
A pesar de estos antecedentes, los autores hacen notar su perplejidad: “hemos hallado que la mayoría de las organizaciones no tienen planes para reducir los efectos de incidentes de seguridad más allá de sus operaciones […] Sorprendentemente, algo más de la mitad reconocen no tener planes para prevenir y responder en tales casos. De las 951 organizaciones que tienen un plan de respuesta, sólo el 32% confía en que sea realmente eficaz”.
A los 945.000 millones de dólares de pérdidas estimadas en 2020, habría que añadir otros 145.000 millones de gasto mundial en adquirir y desplegar soluciones de ciberseguridad.
En estas condiciones, los seguros sobre riesgos cibernéticos están a la orden del día para las grandes empresas que consideran razonable suponer que en algún momento serán atacadas, pero son difícilmente digeribles para las empresas medianas. En primer lugar porque “las pólizas de cibersguros exceden la complejidad de los contratos habituales, debido a que su valor – y su protección eficaz – depende de definiciones de precisión discutible, como precaución última de las aseguradoras”. El informe aporta un dato revelador: en 2017, sólo el 28,4% de las reclamaciones acabaron en pago a las víctimas; la media de indemnización de 188.525 dólares fue muy inferior a los 590.000 dólares de coste típico de los ciberataques según el cálculo de este informe.
Toda esta evolución, dice el estudio, refleja por un lado que los ciberdelincuentes se han profesionalizado mucho más y usan herramientas más avanzadas, lo que deriva en un mayor esfuerzo por contrarrestar los ataques. Es evidente que si el ciberdelito crece es porque resulta rentable: de no existir retornos económicos, no existiría. Pero, además, los ciberdelincuentes tienen la sensación – confirmada por la experiencia – de que el riesgo a ser cazados es mínimo o asumible. Por tanto – subraya McAfee – hay que considerarlos como una empresa más. Tecnologías como la inteligencia artificial, que la industria de la seguridad presenta como un arma eficaz, ya forma parte del arsenal de la delincuencia, limitando seriamente la capacidad disuasiva de la IA.
No todos los ciberataques son iguales. Unos son más efectivos que otros y unos más costosos que otros, pero el informe destaca el robo de propiedad intelectual y los delitos financieros como responsables de dos terceras partes de las pérdidas económicas y, por lo tanto, las mayores amenazas para las empresas.
Estos son costes que se conocen y – no siempre – se dan a publicidad, pero hay otros que se sufren en silencio y, en principio, puede que no se registren en la tesorería, pero esto no quiere decir que no sean importantes. El informe de McAfee señala que alrededor de dos tercios de las empresas encuestadas sufrieron una interrupción media de 18 horas en sus operaciones y que el coste medio de la paralización se situó en medio millón de dólares.
Pero ni por esas: la mitad de los entrevistados afirma no tener un plan de previsión y respuesta, provocando la incredulidad de los autores del informe. Para colmo, el aumento en el número de dispositivos móviles o el incremento del teletrabajo han ampliado la superficie de ataque y, por ello, se vuelve inútil definir un perímetro de seguridad: los puntos desde los que la empresa puede ser atacada se multiplican.
Aunque los principales costes ocultos son numerosos, el informe de McAfee identifica como principales los llamados “de oportunidad”, el dinero que se invierte en la toma de decisiones sobre ciberseguridad, el efecto del tiempo de inactividad, la pérdida de productividad y el daño a la marca e imagen de la empresa.
En lo que respecta a los costes de oportunidad, se traducen en una menor productividad, una reducción de la inversión en I+D, una aversión al riesgo y un incremento de los gastos en seguridad, todo ello como consecuencia de haber sufrido un ataque. De hecho, de las empresas que han sufrido un ciberataque, un 45% tomó inmediatamente la decisión de invertir en nuevo software de seguridad y un 39% incrementó este capítulo del presupuesto. Asimismo, un 30% contrató personal para ocuparse de la seguridad de las TI. Lo que lleva a concluir que las empresas pagan “una prima de riesgo” que los autores del estudio valoran en 145.000 millones de dólares.
Otro apartado que resulta difícil de cuantificar monetariamente es el daño a la reputación de la marca como consecuencia de haber sufrido un ataque cibernético. La dificultad reside, esencialmente, en que no se sabe cuánto va a durar el perjuicio y que, para afrontar la rehabilitación, la empresa deberá invertir un dinero en el que no hay antecedentes válidos para todos. Probablemente tendrá que contratar especialistas externos o incorporar personal especializado en esas tareas.
El robo de propiedad intelectual es un fantasma clásico y un elemento que agrava los costes. Según el estudio patrocinado por McAfee, esta actividad delictiva atenta contra la actividad de I+D y aumenta el coste de capital si los inversores consideran que la propiedad intelectual no tiene protección suficiente.
Por supuesto, responder a un incidente de seguridad también cuesta dinero que, para empezar, se manifiesta como tiempo perdido. La mayoría de las empresas tardan alrededor de 19 hora de media desde que descubren el ciberataque hasta que lograr resolverlo (y resolverlo no siempre implica que no tenga consecuencias más adelante). Es interesante enterarse de que durante ese tiempo se necesita dedicar una media de ocho personas – y tal vez auxilio externo – para encontrar la solución.
Naturalmente, McAfee es la primera interesada en cargarse de razones apoyadas en su estudio. La principal es urgir a las empresas a tener una clara estrategia en materia de ciberseguridad que redunde en una mayor solidez de las defensas y a su vez genere el menor impacto económico. Entre otros consejos, aplicar uniformemente las medidas de seguridad más básicas, porque se han detectado diferencias muy importantes entre los departamentos de la organización. En segundo lugar, instaurar una mayor transparencia y coordinación de recursos internos. Además, por supuesto, de un programa de formación a los empleados y la elaboración de planes de prevención y respuesta.