Las empresas españolas destinaron el 20% del presupuesto de TI a ciberseguridad

2022 ha vuelto a ser un año crítico para la ciberseguridad de las empresas españolas, para quienes el coste medio del total de la suma de ciberataques ha vuelto a ascender por segundo año consecutivo, experimentando un aumento del 43%, según se desprende del Informe de Ciberpreparación 2023 de Hiscox. Este aumento se suma al experimentado el año anterior, en el que se duplicó el coste con respecto al ejercicio de 2020.

Si desglosamos las empresas por número de empleados, aquellas que cuentan con más de 1.000 empleados han visto aumentar este coste medio en un 34%, pasando de 248.568 euros en 2021 a 333.939 en 2022. Sin embargo, las grandes afectadas por este aumento han sido aquellas que cuentan con entre 10 y 49 empleados, cuyo coste ha experimentado un crecimiento del 49,3%, de 15.654 a 23.374 euros.

No obstante, en comparación con el resto de países analizados en el informe, España vio descender el impacto de la ciberdelincuencia en las empresas. De hecho, según el informe, fue el único país, junto a los Países Bajos, que experimentó un descenso en la incidencia de los ciberataques ya que, en 2022, el 49% de las empresas españolas fueron ciberatacadas, frente al 53% de 2021. Sin embargo, las empresas de nuestro país sufrieron una media de 224 ciberataques al año, solo por detrás de Estados Unidos (249), Francia (247) y Reino Unido (241).

Incidencia del ransomware en las empresas españolas

Los ataques de tipo ransomware han sido uno de los mayores intereses de los ciberdelincuentes en los últimos años. Este año, en España, hemos presenciado grandes ejemplos de ello, como el ciberataque al Hospital Clínic de Barcelona en el pasado mes de marzo, por el que se pedía un rescate de alrededor de 4,25 millones de euros, o el reciente ciberataque al Ayuntamiento de Sevilla del mes de septiembre, por el que los ciberdelincuentes demandaban 5 millones de euros.

En este sentido, el informe señala que el coste medio de recuperación del ransomware para las empresas españolas, aún incluso sin incluir los pagos por los rescates, aumentó un 88% en 2022, pasando de 10.415 en 2021 a 19.549 euros de media en 2022. En las empresas de entre 250 y 1.000 empleados el ascenso es mucho más dramático, ya que vieron aumentar este coste un 322% (de 4.116 a 17.399 euros. También las micropymes (1 a 9 empleados) han asumido este aumento, ya que pasaron de 5.847 euros de media a 10.370, un 77% más que el año anterior. A ellas les siguen las grandes compañías de más de 1.000 empleados, que vieron incrementado este coste en un 47%.

Para aquellas empresas que deciden pagar el rescate por los ataques de ransomware, este coste se ve incrementado. No en vano, aún son muchas las que deciden hacerlo y, de hecho, el 49% afirma que decidió hacer frente a un rescate en al menos una o más ocasiones para recuperar los datos robados, y un 42% para evitar la publicación de datos confidenciales. En este sentido, el mayor motivo para hacerlo fue con el fin de proteger los datos del personal, ya que fue indicado por un 39% de las empresas españolas, un porcentaje que asciende del 30% de 2021.

Respecto al método de entrada más utilizado en este tipo de ataques, según el informe, continúa siendo el correo electrónico que contiene phishing, ya que el 61% de las empresas españolas así lo indicaron, aunque con un descenso de 3 puntos porcentuales con respecto al año anterior. A este le siguen los servidores no parcheados (VPN/servidor web), con un 31% frente al 28% de 2021; a través de terceros (proveedores o MSP/MSSP) con un 29%, 18 puntos menos que el año anterior; y el robo de credenciales (nombre de usuario o contraseñas del personal), que fue indicado por un 20% de las empresas, frente al 38% de 2021.

Sin embargo y, con todo lo anterior, el informe subraya que la incidencia del ransomware, incluyendo la ciberextorsión o la amenaza de exposición de datos de la empresa, descendió 3 puntos porcentuales con respecto a 2021, a un 20% en 2022.

Cae el presupuesto destinado a la ciberseguridad

Las empresas españolas gastaron en 2021 una media de 17,8 millones de euros en tecnologías de la información (TI), un porcentaje que se mantiene estable desde el año anterior. Sin embargo, según el informe, en 2022 las empresas han destinado menos parte de este presupuesto a la ciberseguridad que el año anterior, ya que el porcentaje dedicado a ello descendió al 20,7%, 3,3 puntos porcentuales menos que en 2021.

El informe señala que el 83% de las empresas españolas no hicieron un seguimiento de las implicaciones financieras de los ciberataques. De hecho, las microempresas (de 1 a 9 empleados) fueron las que mayor importancia le otorgaron a este seguimiento, aunque este porcentaje únicamente asciende al 26%. Así, las que menos seguimiento hicieron fueron las empresas medianas de 50 a 249 empleados (8%).

Asimismo, cabe destacar que las empresas consideradas “ciberintermedias”, aquellas con un nivel medio de capacidad de respuesta rápida y eficaz ante un ciberataque, fueron las que hicieron el menor seguimiento de las implicaciones financieras, ya que únicamente el 15% lo realizó, frente al 23% de las “cibernovatas” y el 50% de las consideradas “ciberexpertas”.