El 49% de las empresas españolas sufrieron al menos un ciberataque en 2022. Es uno de los datos contenidos en el Informe de Ciberpreparación 2023 de Hiscox, que ha encuestado a un total de 5.005 responsables de la estrategia de ciberseguridad en empresas de Estados Unidos y Europa.

Aunque España experimenta un ligera mejora respecto a los dos últimos años (en 2020 fueron el 53% las empresas que tuvieron algún ciberataque y en 2021, el 51%), los resultados del estudio muestran que la ciberseguridad de las empresas españolas se encuentra en un momento crítico.

El 23% de los encuestados afirmó haber sufrido al menos un ataque de ramsomware (malware que impide a los usuarios acceder a su sistema o archivos personales y exige el pago de un rescate para poder acceder de nuevo a ellos) en 2022, frente al 22% de 2021 y el 14% de 2020. El 57% de los que sufrieron este tipo de ataque cibernético acabaron pagando el rescate, una cifra que baja ligeramente respecto a 2022 (64%), pero que es significativamente más alta que en 2021 (44%).

Las empresas españolas recibieron una media de 224 ciberataques en 2022, solo por detrás de Estados Unidos (249), Francia (247) y Reino Unido (241). Además, el coste económico de los ciberataques para las empresas en España fue de 11.400 euros de media, lo cual supera el gasto en los dos años precedentes (10.800 euros en 2021; 10.900 euros en 2020).

Hay otros dos datos reflejan la emergencia con la que España debería enfrentar el reto de la ciberseguridad empresarial. Por un lado, es el país, de los analizados en el informe, que menos invierte en ciberseguridad respecto al total del presupuesto disponible para tecnologías de la información (TI), con un 21%. Además, el informe considera que solo un 1% de las empresas españolas pueden calificarse como expertas en ciberseguridad, por lo que se sitúa a la cola de los países estudiados.

118.000 incidentes reportados; 30.000 vacantes no cubiertas

Según estima el Instituto Nacional de Ciberseguridad (Incibe), en España existen actualmente 30.000 puestos de ciberseguridad sin cubrir. Pronostican además que, para 2024, se necesitarán más de 80.000 profesionales en ciberseguridad. La falta de especialistas en la materia está provocando que muchas empresas opten por formar a sus propios empleados para cubrir dichas vacantes, señalan desde la entidad.

En Incibe, gestionaron en 2022 más de 118.000 incidentes de ciberseguridad, de los cuales 110.100 afectaron a ciudadanos y empresas. Sumando todos los casos y tipologías de incidencia, tanto en empresas y organismos como en la sociedad, España ha sido el blanco de más de medio millón de ciberataques desde 2017, según Pandora FMS.

Según destacan desde Incibe, en el ámbito de empresas, los incidentes más frecuentes son los fraudes online, como por ejemplo los que tienen lugar a través del phishing o la infección por malware.

«Podríamos decir que, a mayor dependencia tecnológica, en general, mayor superficie de ataque y mayor es la posibilidad de ser objetivo de los ciberdelincuentes», apunta Miriam Puente, técnico de ciberseguridad para empresas de Incibe.

Según el informe de 2023 Tecnologías digitales en la empresa, llevado a cabo por el Observatorio Nacional de Tecnología y Sociedad (ONTSI), los sectores que más se han adaptado a la transformación digital son la banca, las TIC, los servicios de alojamiento y las actividades científicas y técnicas. En el otro extremo: la construcción y las actividades administrativas y servicios auxiliares o la metalurgia.

¿Qué nivel de ciberseguridad tienen las empresas españolas?

Miriam Puente explica que la preparación en ciberseguridad de las organizaciones suele ser proporcional a su tamaño: «Están mejor preparadas las grandes y medianas empresas que las pequeñas y micropymes, pues disponen de más medios, ya que cuentan con un mayor presupuesto y son más conscientes de los riesgos que amenazan su continuidad de negocio».

Miriam Puente, técnico de ciberseguridad de Incibe.

«Las empresas con menor madurez tecnológica son más vulnerables y tienden a pensar erróneamente que sus negocios carecen de interés para los ciberdelincuentes», advierte Puente. La experta remarca que «en las pequeñas organizaciones, a pesar de que cada vez hay más conciencia en ciberseguridad, todavía se sigue percibiendo como un coste y no como una inversión o un ahorro para un coste futuro». Muchas de las situaciones que afectan a la continuidad de negocio se deben de alguna forma a la falta de preparación en ciberseguridad.

¿Qué factores influyen en la vulnerabilidad de una empresa ante ciberataques?

«Aunque los datos con los que contamos nunca son cien por cien exactos, pues no todos los incidentes se reportan, ni todos los sectores reportan por igual, los factores que influyen en las diferencias observadas son: la dependencia tecnológica del negocio, generalmente proporcional al tamaño, la madurez en ciberseguridad y el nivel de cultura en este campo», explica Puente.

Para la experta, la ciberseguridad de las pymes depende «de la capacidad de adaptación y la implementación de medidas de seguridad adecuadas». «Aunque las amenazas evolucionan constantemente, con una atención adecuada a la seguridad y una respuesta proactiva, las pequeñas empresas pueden protegerse de manera efectiva en un entorno digital que está en constante cambio«, añade.

El apoyo del Incibe a las empresas frente a la ciberdelincuencia

En Incibe son conscientes de las necesidades de estas pequeñas empresas y, para ayudarles, ponen a su disposición una serie de materiales formativos que ayudan a afianzar el conocimiento en ciberseguridad de cualquier organización: desde políticas de seguridad hasta formación sectorial en formato MOOC y guías, entre otros.

Estos recursos ayudan a incidir en la concienciación del uso seguro y responsable de los dispositivos tecnológicos, apoyados por una línea de ayuda gratuita y confidencial (017) para resolver dudas y responder a las consultas de cualquier persona en materia de ciberseguridad.