Los costes ocultos del cibercrimen: ¿qué va a ser lo siguiente?

El último informe de McAfee y el CSIS revela que las pérdidas mundiales por delitos cibernéticos superan el billón de dólares, aunque no son las únicas

Los costes ocultos del cibercrimen
Los costes ocultos del cibercrimen FOTO: Dreamstime (CUSTOM_CREDIT) La Razón

McAfee ha publicado un nuevo informe global titulado Los costes ocultos del cibercrimen, que se centra en los importantes impactos financieros invisibles que el cibercrimen tiene en todo el mundo. El informe, realizado en colaboración con el Centro de Estudios Estratégicos e Internacionales (CSIS), concluye que el cibercrimen le cuesta a la economía mundial más de un billón de dólares, poco más del 1% del PIB mundial, lo que supone un aumento de más del 50% con respecto a un estudio realizado en 2018 que cifraba las pérdidas mundiales en cerca de 600.000 millones de dólares. Más allá de la cifra global, el informe también exploró el daño reportado además de las pérdidas financieras: el 92% de las compañías sintieron efectos más allá de las pérdidas monetarias.

“La gravedad y la frecuencia de los ciberataques a las empresas sigue aumentando a medida que evoluciona el panorama de la ciberseguridad y aumenta el uso de los dispositivos personales”, explica Ángel Ortiz, director regional de McAfee en España. “Aunque la industria es cada vez más consciente de las implicaciones financieras del cibercrimen, como hemos señalado en este informe, otros costes extremadamente destructivos provienen de los tiempos de inactividad no planificados, la reputación de la marca y la productividad. Sin planes efectivos para responder y prevenir los incidentes cibernéticos, las previsiones indican que la cifra de 1 billón de dólares aumentará en los próximos años.”

Los costes ocultos del cibercrimen

El robo de propiedad intelectual y de activos monetarios es perjudicial, pero algunos de los costes de los ciberdelitos que pasan más desapercibidos provienen de los daños al rendimiento de las empresas. La encuesta reveló que el 92% de las compañías sentían que había otros efectos negativos en sus negocios, más allá de los costes financieros y las horas de trabajo perdidas después de un incidente cibernético. El informe explora, además, los costes ocultos y el impacto y daño duradero que el crimen cibernético puede tener en una organización, incluyendo:

  • Tiempo de inactividad del sistema. El tiempo de inactividad es una experiencia común para alrededor de dos tercios de las organizaciones encuestadas. El coste medio de su mayor tiempo de inactividad para las compañías en 2019 fue de 762.231 dólares. El 33% de los encuestados declaró que el incidente de seguridad de IT que provocó este tiempo de inactividad les costó entre 100.000 y 500.000 dólares.
  • Eficiencia reducida. Como resultado del tiempo de inactividad del sistema, las organizaciones perdieron, de media, nueve horas de trabajo a la semana, lo que condujo a una reducción de la eficiencia. La interrupción media de las operaciones fue de 18 horas.
  • Costes de respuesta a incidentes. Según el informe, la mayoría de las organizaciones tardaron en torno a 19 horas en pasar del descubrimiento de un incidente a la reparación. Muchos incidentes de seguridad pueden gestionarse internamente, pero los más importantes pueden requerir a menudo consultas externas a precios elevados y que constituyen una parte significativa del coste total de un incidente a gran escala.
  • Daño a la marca y su reputación. El coste de rehabilitar la imagen externa de la marca, trabajar con consultorías externas para mitigar el daño reputacional o contratar nuevos empleados para prevenir futuros incidentes, son parte del coste del delito cibernético. El 26% de los encuestados admitió que el tiempo de inactividad causó un daño de este tipo a la marca.

Las organizaciones no están preparadas para los incidentes cibernéticos

A través de la investigación y el análisis, el informe encontró una falta de comprensión del riesgo cibernético en toda la organización. Esto hace que instituciones y empresas sean vulnerables a sofisticadas tácticas de ingeniería social y, una vez que un usuario es hackeado, no reconocen el problema a tiempo para detener la propagación. Según el informe de McAfee, el 56% de las organizaciones encuestadas admitió que no cuenta con un plan para prevenir y responder a un ciberincidente. De las 951 organizaciones que lo tenían, sólo el 32% confiaba en que su plan era efectivo.

El informe concluye con algunas estrategias clave para que las empresas se enfrenten al cibercrimen. Entre ellas, se incluyen la aplicación uniforme de medidas de seguridad básicas, el aumento de la transparencia por parte de las organizaciones y los gobiernos, la normalización y coordinación de los requisitos de seguridad cibernética, impartir formaciones sobre ciberseguridad a los empleados y el desarrollo de planes de prevención y respuesta.