Público
Público

Los ciberataques costarán cinco billones de euros en 2021

La factura crece anualmente para gobiernos y firmas corporativas, cuyos directivos señalan la amenaza de ataques en red como una de sus preocupaciones. La inauguración del ciclo de negocios poscovid alimentará también la proliferación del cibercrimen, cuyos daños económicos serán seis veces superiores a los gastos globales en seguridad telemática.

Imagen recurso de un 'hacker' anónimo. - Pixabay
Imagen recurso de un 'hacker' anónimo. Pixabay

Los costes vinculados al cibercrimen en el mundo alcanzarán este año los seis billones de dólares (algo más de cinco billones de euros), cifra que supera ligeramente el tamaño del PIB de Japón, la tercera economía global, según los cálculos de Cybersecurity Ventures, revista que suministra análisis, datos e investigación sobre las distintas modalidades delictivas asociadas a la delincuencia online. Una factura colosal, que crece anualmente, y que multiplica por seis los costes en ciberseguridad de gobiernos y firmas corporativas, cuyos directivos siguen señalando la amenaza de ataques en red a sus empresas como una de sus principales preocupaciones. Casi la mitad de ellos. En concreto, el 47% de los 5.050 consultados en la encuesta global de PwC de 2021. Solo por detrás del 52% que sitúa como prioridad absoluta la salida de la crisis sanitaria. El dato cobra relevancia, además, porque sube de forma significativa tras el largo año de recesión económica global.

En el estudio de esta firma de servicios profesionales del pasado año, publicado justo con el estallido de la Gran Pandemia, lo destacaron como riesgo uno de cada tres CEO's de compañías internacionales –el 33%– por detrás, aunque en proporciones casi similares, de asuntos como la sobrerregulación de sectores (36%), las guerras comerciales (35%) o la incertidumbre económica (34%) y en sintonía con las incertidumbres geopolíticas. La contracción de la actividad, pues, ha elevado el nivel de peligro que las empresas observan en los ciberataques. Pese a los cada vez más amplios desembolsos financieros que el sector privado y los gobiernos emplean en la contención de esta práctica de delincuencia organizada. Porque la factura en ciberseguridad, como señala Atlas VPN, compañía de seguridad informática o McAfee, dueña de uno de los antivirus más populares e instalados en el planeta, supera el billón de dólares, casi el 1% del PIB global. Atlas VPN explica que el gasto mundial se ha duplicado desde 2018, cuando se emplearon 600.000 millones de dólares en este tipo de instrumental de protección de servidores. En línea con los daños ocasionados en 2020 por incidentes cibernéticos, que calcula en 945.000 millones de dólares. Es decir, un montante similar a los desembolsos en seguridad telemática.

Atlas VPN explica que el gasto mundial  en ciberseguridad se ha duplicado desde 2018

Pero la dimensión de la amenaza, en términos cuantitativos, tal y como anticipan los expertos de Cybersecurity Ventures, traslada el cibercrimen a un estadio de mayor gravedad. Un arsenal de percepciones y estadísticas corroboran la alta peligrosidad de cobra este asunto. Gartner, la firma de consultoría informática, incide en que el 68% de los directivos empresariales siente que el riesgo de ciberataques "está en aumento", mientras Verizon, en su informe anual, señala que el 71% de las fallas de seguridad detectadas por las corporaciones internacionales respondieron a acciones de ciberdelincuencia y, de ellas, el 25% fueron declaradas espionaje. El instrumental más utilizado por los hackers fueron el robo de credenciales y contraseñas, la modalidad que se conoce como Back Doors, aprovechando las vulnerabilidades de los sistemas, malware o a través de social engineering, método por el que la ciberdelincuencia trata de persuadir y conseguir los datos confidenciales de acceso a tarjetas de crédito o passwords estratégicos de empresas. En casi todos los casos, poniendo en peligro la capacidad reputacional de las firmas. En el Ponemon Institute se asegura que las firmas habían incrementado, antes del inicio de la epidemia de covid en un 11% sus gastos para resguardarse de atentados sobre sus fallas de seguridad desde 2018 y en un 67% desde 2014, para tratar de repeler la proliferación masiva de incidentes, uno cada 39 segundo, o 2.244 al día, según la Universidad de Maryland. La Gran Pandemia, que ha dejado con problemas de liquidez a millones de empresas en todo el mundo, ha obligado a las firmas y a los gobiernos a destinar el doble de sus recursos a esta amenaza. Entre otras razones, porque la prevención resulta esencial. IBM cifra en una media de siete meses el tiempo que se emplea en identificar ataques y que el promedio del ciclo de limpieza de estos actos delictivos online se prolonga durante casi 11 meses. Con un coste medio, solo por pérdida de datos, de 3,92 millones de dólares, afirma Security Intelligence.

Pero las brechas de seguridad no solo afectan a escudos informáticos. El 34% de los incidentes cibernéticos involucran a empleados o actores internos de las empresas –dice Verizon– otro foco de vigilancia a tener en cuenta. Aunque también es un asunto de percepción y prevención, dado que el 69% de las compañías sigue sin creerse que sus antivirus puedan ser profanados, a pesar de que el coste medio de un ataque de ransomware es de 133.000 dólares, asegura SafeAtLast, o de que el 92% del malware siga penetrado en las estructuras empresariales mediante emails, como revela CSO Online. Un panorama que no excluye a firmas por su dimensión –el 43% de las víctimas fueron pymes, aclara Verizon– ni a industrias –el 15% se ha focalizado en organizaciones sanitarias, el 16% en entidades públicas y el 10% en instituciones financieras, las que más se han gastado en ciberseguridad– ni a modelos productivos, porque –precisa Symantec– los ataques a cadenas de valor y de suministro en todo el mundo ya aumentaron en más de un 78% en 2019.

El 69% de las compañías sigue sin creerse que sus antivirus puedan ser profanados

Y la Gran Pandemia ha debilitado las estructuras empresariales de manera más que notable. De ahí que, con el ciclo de negocios poscovid en ciernes, las partidas destinadas a elevar las ratios de seguridad estén siendo revisadas para abordar el dinamismo que se avecina, como acaba de pronosticar el FMI, que sitúa el repunte del PIB global para este año en el 6%, el más alto de las últimas cuatro décadas, y en línea con el vigor de 2007, el último ejercicio de bonanza previo al credit crunch financiero. Gartner prevé que se eleven en un 50% los presupuestos en seguridad informática en las empresas este año. Ante el riesgo de robo de información corporativa que, a tenor del último diagnóstico de Accenture, es el componente más caro de los ciberataques, que ocasionan desembolsos de 5,9 millones de euros por empresa afectada y año también de media; pero de igual modo, provoca 50 días de tiempo de reparación en acciones de malware. Además de los perjuicios colaterales sobre consumidores, actividades de compra de suministros, pérdida reputacional y del fondo de comercio de las compañías. El 50% de las grandes compañías, con más de 10.000 empleados –explican desde Ponemon Institute– asigna un millón de dólares o más en gastos de seguridad, y el 43%, más de 250.000 dólares.

Implicaciones empresariales y estatales

Steve Grobman, vicepresidente y CTO –ejecutivo responsable de tecnología– de McAfee, explica en el último reportaje de la multinacional que "las industrias y los gobiernos se muestran muy preocupados por las repercusiones financieras y sobre la seguridad nacional de los ciberataques, pero queda de soslayo los costes de investigación de las fallas de seguridad, las disrupciones en la productividad de las empresas y los impactos sobre los desembolsos que precisan las acciones de contención y reparación" de los hackers. Los empresarios –añade– "necesitamos planes con un alto grado de comprensión y acciones concertadas internacionales para prevenir incidentes y evitar la penalización de cientos de millones de dólares del impacto financiero" que esta lacra propicia a nivel mundial. Porque el robo telemático "atenta contra la propiedad industrial e intelectual y los activos monetarios, retroceso en horas de trabajo y en el desarrollo de líneas de negocio". Como constata el 92% de la encuesta a empresarios de McAfee.

En parecidos términos se manifiesta Tim Maurer, director del Cyber Policy Institute y profesor en el centro de investigación Carnegie quien, en un reciente seminario del FMI, respaldó la idea de esta institución multilateral en favor de acciones concertadas globales para acabar con esta práctica delictiva cada vez más habitual y peligrosa que también provoca vulnerabilidades sobre los mercados de capitales y la estabilidad financiera internacional. "Gobiernos y empresas deben acordar medidas de reacción conjuntas porque la amenaza cibernética sigue siendo demasiado incierta y con muchas fugas de protección sobre los sistemas tecnológicos". Una recomendación que emana de los principales bancos centrales, recuerda Maurer, o del Banco Internacional de Pagos (BIS, según sus siglas en inglés), desde donde se resalta que la industria financiera es la segunda con más ataques en 2020, después de las firmas sanitarias y farmacéuticas.

Maurer: "Gobiernos y empresas deben acordar medidas de reacción conjuntas"

Maurer se hace eco de la propuesta conjunta, en este sentido, de Carnegie y el World Economic Forum, la fundación que gestiona la cumbre de Davos, entre agencias gubernamentales, firmas tecnológicas e instituciones bancarias, sustentada sobre cuatro pilares. El primero, una mayor transparencia en cuanto a las responsabilidades asignada a cada uno de ellos, lo que implica la involucración de autoridades financieras, refuerzos en los ordenamientos jurídicos, acciones diplomáticas y corporativas, pero también de las distintas agencias de inteligencia que redunden en beneficio de iniciativas a gran escala que reduzcan los ciberataques y eleven, al unísono, la capacidad de respuesta a los incidentes. El segundo, una alianza geoestratégica, porque cada unos de los tres actores por su cuenta no podrán abarcar la magnitud del riesgo cibernético. El tercero, minimizar con esfuerzos globales coordinados el tiempo de reacción ante este tipo de delincuencia. Y, finalmente "y no por ello menos importante" –explica Maurer– trasladar los métodos y los avances tecnológicos al conjunto de los sectores productivos.

Rico Brandenburg, director de ciberseguridad en Oliver Wyman, describe con precisión el salto en la profusión de atentados contra intereses estatales y corporativos en la red en el tránsito de la recesión de 2020 al despegue de la actividad previsto para este año: "la totalidad de empresas, colegios, hospitales y agencias gubernamentales –entre otros agentes socioeconómicos– se han adentrado en el trabajo en remoto, con el consiguiente uso de infraestructuras y sistemas de tecnología de apoyo que implica el teletrabajo, e incluso las compañías más preparadas para la seguridad informática con mayor capacidad de comunicación digital y control de su instrumental están expuestas a la cibercriminalidad". Este panorama –explica– genera un "tremendo estrés" por lograr paquetes de contención de los múltiples intentos, por ejemplo, de penetración de un malware dentro de cualquier noticia sobre la evolución del coronavirus o de pagos de soluciones para evitar un ransomware que deteriore la continuidad de los negocios en plena pandemia. En plena carrera competitiva hacia la digitalización. Por lo que los responsables empresariales están en la obligación de establecer acuerdos y protocolos de actuación ante un riesgo cibernético que lleva asociado daños impredecibles. La salida de la Gran Pandemia requiere de un gran consenso internacional para combatir, desde todos los frentes, porque la amenaza se cierne sobre todos y cada uno de los sectores productivos, las infraestructuras y la propia seguridad nacional de los países, aclara.

David Lipton, del FMI, recuerda la Operación Taiex, en la que se arrestó al máximo responsable del malware Carbanak y Cobalt que atacó en marzo del pasado año a más de 100 instituciones financieras de todo el mundo, al inicio de la covid-19. Con la colaboración de la Policía española, Europol, el FBI y las autoridades rumana, moldava, bielorrusa y taiwanesa, al igual que de varias compañías privadas de ciberseguridad. Una acción que involucró a 15 naciones. El directivo del Fondo se declara partidario de impulsar las recientes ciberdivisiones creadas en organismos como el G7 o el BIS. También en su institución multilateral y la creación de áreas en otras como la OMC. Indispensables, a su juicio, para determinar las amenazas que estas prácticas delictivas generan sobre la estabilidad financiera, para elevar el grado de eficiencia entre el sector público –agencias de inteligencia y autoridades regulatorias– y privado, para perfilar un adecuado acervo normativo y terminológico y para conocer con precisión la naturaleza de los ataques en la red y poder aumentar la habilidad de respuesta penetrando en sus flancos débiles y, en consecuencia, la capacidad de resiliencia. Protocolos que deben expandirse –asegura– en el ámbito nacional y en el orden transfronterizo para evitar quebrantos sistémicos globales.

Más noticias de Política y Sociedad