Pérdidas financieras directas
Dependiendo del tipo de ataque sufrido y los datos comprometidos, las pérdidas económicas pueden ser multimillonarias. El ransomware, donde los cibercriminales secuestran información y exigen rescate, puede costarle a la víctima hasta 650.000 euros según un estudio del 2021.
Otros ataques buscan robar propiedad intelectual y secretos comerciales para beneficiar a la competencia. Las pérdidas son difíciles de cuantificar pero pueden impactar toda la ventaja competitiva.
Un caso famoso es el ataque a Sony Pictures en 2014, aparentemente por parte de Corea del Norte en represalia por una película. Se estiman pérdidas de hasta 100 millones de dólares.
Impacto en la reputación y confianza
Incluso si no se producen pérdidas directas, un ciberataque puede dañar permanentemente la reputación y confianza de clientes y socios. La aerolínea British Airways sufrió una brecha en 2018 que comprometió datos de 500.000 usuarios. Las acciones de su empresa matriz IAG cayeron un 3,8% tras conocerse la noticia.
Equifax perdió casi 4.000 millones de dólares en valor de mercado después de su masivo incidente con datos en 2017. La desconfianza en la capacidad de la empresa de proteger información sensible es un daño que puede tomar años en revertirse.
Multas legales por incumplir regulaciones
Dependiendo de los datos comprometidos y las leyes locales, una brecha de seguridad puede acarrear severas multas por violar regulaciones de privacidad y protección de datos.
Por ejemplo, British Airways recibió una multa de 22 millones de libras esterlinas después del incidente mencionado anteriormente por incumplir la normativa de protección de datos europea. El hospital universitario de Helsinki fue multado con 500.000 euros tras una brecha que expuso datos médicos de pacientes.
Las multas dependen de muchos factores, pero fácilmente pueden superar los seis o siete dígitos, sin considerar posibles demandas civiles.
Interrupción de operaciones
Muchos ciberataques, especialmente ransomware, buscan interrumpir las operaciones críticas de la víctima al secuestrar sistemas e información esencial. Estas interrupciones pueden paralizar por completo la capacidad de la empresa para funcionar durante días o semanas, resultando en enormes pérdidas indirectas.
Un estudio de IBM encontró que el costo promedio de la interrupción operativa por un ataque es de casi 5 millones de dólares. Las pérdidas directas e indirectas combinadas promedian casi 4 millones de dólares.
Las organizaciones que no invertieron suficiente en prevención, detección y planes de respuesta efectivos enfrentan el peor impacto en sus operaciones.
Gastos en recuperación y remediación
Incluso después de contener un ciberataque, quedan enormes gastos en la recuperación, remediación e investigación forense. Identificar la fuente del ataque, restaurar sistemas comprometidos y reforzar las defensas insuficientes tiene un alto costo.
Por ejemplo, Equifax reportó gastos por más de 200 millones de dólares relacionados al manejo de la brecha durante los primeros 6 meses. Y eso no considera los gastos adicionales en demandas y multas en los años siguientes.
Las Pymes, objetivo de los ciberdelincuentes
Desafortunadamente, las pymes españolas también se han visto afectadas por ciberataques costosos en los últimos años:
- En 2019, la pyme gallega Reydesa sufrió un ataque de ransomware que cifró todos sus archivos y sistemas. Para recuperar el acceso a su información, tuvo que pagar un rescate de 30.000 euros a los atacantes.
- La empresa familiar de alimentos La Barraca, con sede en Valencia, fue víctima de un ataque dirigido en 2021 que comprometió datos confidenciales. Tuvo que contratar servicios de investigación forense y respuesta al incidente por un costo de 60.000 euros.
- La pyme vasca de software Alius tuvo 40 ordenadores infectados en 2020 por el ransomware Ryuk. Para recuperar el acceso y remediar los sistemas, la empresa gastó alrededor de 80.000 euros según estimaciones.
- La start-up CreditLex de gestión de cobros sufrió en 2022 un ataque que encriptó documentos y bases de datos críticas. Los expertos en respuesta al incidente contratados le costaron a CreditLex aproximadamente 20.000 euros.
Como ves, las pymes locales también están expuestas a sufrir grandes pérdidas económicas si son víctimas de un ciberataque y no cuentan con las soluciones de seguridad adecuadas implementadas.
La inversión en ciberseguridad siempre es rentable
Comparado con los potenciales costos por un incidente de seguridad, la inversión en soluciones de prevención, detección y respuesta es insignificante. Las empresas exitosas adoptan un enfoque proactivo e integral de la ciberseguridad, en lugar de simplemente reaccionar a los ataques.
Priorizar la ciberseguridad no solo evita costos desastrosos, sino que genera confianza en clientes y autoridades regulatorias. Hoy en día, no hay excusa para no implementar controles adecuados con el apoyo de expertos.
