Los ciberdelincuentes cada vez son más creativos e implacables en sus ataques, siendo uno de sus principales objetivos las empresas. Así lo demuestra el Informe de Ciberamenazas 2024 de SonicWall [1] que señala “que el panorama de las amenazas sigue creciendo en complejidad y profundidad a medida que los ciberdelincuentes adoptan nuevas tácticas y plataformas”.
El informe indica que, a nivel global, en 2023 los ataques criptográficos (método que consiste en probar diferentes claves hasta encontrar la correcta) aumentaron en un 659% y las amenazas cifradas crecieron un 117%. Para enfrentar este panorama, los expertos en riesgos recomiendan a las empresas adoptar continuamente estrategias de seguridad y respaldarse de un equipo robusto y preparado.
De acuerdo con el Índice de Inteligencia de Amenazas X-Force de IBM [2], los cibercriminales están explotando las identidades de los usuarios para comprometer a las empresas en todo el mundo. El Índice señala a América Latina como la cuarta región más atacada en 2023, y Colombia se posicionó en la región como el segundo país más atacado, solo después de Brasil.
En ese sentido, la Cámara Colombiana de Informática y Telecomunicaciones (CCIT) en su Informe Anual de Ciberseguridad [3] indica que los sectores industriales, gobierno, educación y salud fueron los más afectados en 2022, y que el 67% de las denuncias provienen de empresas y entidades tanto del sector público como del sector privado.
“Las pequeñas y medianas industrias (Sector PYME) siguen siendo las más afectadas por los ciberataques en Colombia. Esto obedece principalmente a las débiles estrategias de ciberseguridad implementadas por los responsables de estas organizaciones, bien sea porque no se identifica dentro de la cadena productiva la necesidad de incorporar a los costos de la operación de los negocios la ciberseguridad como un factor estratégico, o por desconocimiento de las amenazas”, dice el informe de la CCIT.
¿Cómo enfrentar el riesgo cibernético?
El Instituto de Gestión de Riesgos [4] define el riesgo cibernético como la amenaza de pérdida financiera y la interrupción o daño a la reputación de una organización debido a algún tipo de falla de sus sistemas de tecnología de la información.
Administrar el riesgo cibernético implica la definición de una estrategia integral enfocada en el reconocimiento de este como un aspecto transversal en la organización. El riesgo cibernético cambia tan rápido como lo hace la tecnología, y por lo tanto es vital construir estrategias resilientes que permitan adaptarse a las nuevas amenazas.
En este contexto, si bien es importante proteger los equipos, las redes, el software, los datos y los sistemas críticos de una compañía con el fin de garantizar la seguridad de las operaciones, brindar confianza y cumplir con la normatividad, también es vital pensar en el monitoreo de los planes de mejora que se implementen y preparase para responder a un incidente. Nadie está exento de ser víctima de un ciberataque.
Según Deltaprotect.com [5], existen diferentes riesgos de ciberseguridad empresarial que pueden materializarse, si no se cuenta con las medidas adecuadas para evitarlos:
- Accesos no autorizados a información confidencial o instalaciones
- Robo de datos o equipos
- Interrupción de actividades y pérdidas económicas
- Compensación obligatoria por los daños ocasionados a los usuarios
- Disminución de la reputación de las empresas
- Incumplimientos y consecuencias legales por no garantizar la seguridad de la información
Es por lo anterior que la gestión del riesgo cibernético es vital para las empresas, teniendo en cuenta que la tecnología e interconectividad hacen parte cada vez más de la realidad operativa de las mismas. No debe dejarse de lado el factor humano, a quienes los ciberdelincuentes tratan de engañar para acceder a, o atacar los sistemas, por lo que, si se cuenta con empleados entrenados para reconocer este tipo de amenazas, podrán alertarlas a tiempo, lo cual incide positivamente en el ambiente de control de una organización.
¿Cuáles son los riesgos cibernéticos más comunes?
Aunque las nuevas tecnologías están dando paso a estrategias cada vez más novedosas, lo cierto es que a la fecha las empresas siguen siendo víctimas, principalmente, de estos riesgos:
- Malware [6]. Es un software malicioso que está diseñado para dañar sistemas informáticos o a sus usuarios, además, se estima que, en la actualidad, casi todos los ciberataques tienen algún tipo de malware. Entre sus principales funciones está retener dispositivos, datos o redes empresariales; obtener acceso autorizado a datos confidenciales, y robar credenciales de inicio de sesión o números de tarjetas de crédito.
- Phishing [7]. Este es un tipo de ciberataque que se mueve a través de correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos para engañar a las personas. Básicamente, son una forma de ingeniería social que se basa en los errores humanos para luego manipular a las víctimas.
- Ransomware [8]. Se trata de un tipo de malware que mantiene como rehenes los datos o el dispositivo de la víctima a cambio del pago de un rescate. En otras palabras, se trata de un secuestro de información o equipos valiosos.
¿Cómo impactan los ataques cibernéticos a las empresas?
Ser víctima de un ciberataque puede significar para una empresa la pérdida de dinero, el freno en las operaciones y la disminución de la confianza entre los clientes, todas consecuencias altamente catastróficas para la estabilidad de cualquier negocio.
De acuerdo con el Informe Cost of Data Breach de 2024 realizado por IBM [9], el costo medio de las vulneraciones de datos almacenados en nubes públicas fue el más elevado: 5,17 millones de dólares, una cifra que además de haber aumentado un 10% en relación con 2023 se consolidó como la más alta de la historia.
En el caso de Colombia, una investigación que reúne análisis del Ministerio de Tecnologías de la Información y las Comunicaciones, la Organización de los Estados Americanos y el Banco Interamericano de Desarrollo [10], afirma que en el país más del 60% de las empresas tuvieron que asumir gastos cercanos a 1 millón de pesos por daños relacionados con ciberataques, mientras que el 20% gastaron entre 1 y 15 millones de pesos, el 15% entre 15 y 235 millones de pesos, y el 5% montos hasta de 4.000 millones de pesos.
¿Cómo proteger tu empresa ante un riesgo cibernético?
Sin importar su tamaño, cuando una empresa está bien protegida tiene mayores posibilidades de crecer y de ser exitosa, pues puede concentrarse en desarrollar su actividad. Por eso, actualmente la ciberseguridad empresarial debe gestionarse desde la alta dirección de una empresa entendiéndola como un riesgo operativo empresarial y no limitándola a un asunto del departamento de tecnología.
Desde el punto de vista técnico es importante comprender que tener un antivirus, ya no es suficiente. Elementos como el cifrado de disco duro, activar la doble autenticación, Implementar EDR (Endpoint Detection and Response o Detección y Respuesta en el Punto Final) y mantener los equipos con licencias válidas y actualizadas también pueden ser elementos de alto impacto que ayudan a evitar algunos de los ciberataques más comunes.
Estas prácticas son evaluadas al momento de contratar una póliza de Riesgo Cibernético, pues las aseguradoras evalúan las capacidades tecnológicas, de recuperación y de seguridad de una empresa para determinar las coberturas que se adecúan al riesgo:
Entonces, ¿cuáles son las prácticas que deben seguirse al interior de una empresa para estar protegido ante los ciberataques?
- Actualizar los equipos de TI y softwares de seguridad. Los computadores y sistemas operativos obsoletos o sin actualización pueden ser fácilmente vulnerados por cibercriminales.
- Monitorear las redes. Las compañías pueden limitar los daños cuando las anormalidades son detectadas rápidamente. Un experto en ciberseguridad empresarial puede identificar áreas de alto riesgo y minimizar su impacto. También hay softwares de seguridad que ofrecen soluciones de monitoreo.
- Educar a los empleados sobre ciberseguridad. El personal debe entender el rol que cumple en la prevención de un ciberataque. Por eso, se deben establecer capacitaciones periódicas de sensibilización que estén incluidas en las políticas de ciberseguridad empresarial.
- Exigir una buena “higiene de claves”. Esto es un asunto central en cualquier programa de ciberseguridad empresarial. Las claves deben ser fuertes (por ejemplo, una mezcla de letras, números y símbolos) y cambiarse con frecuencia. Cuando los empleados dejan la compañía, sus credenciales deben ser automáticamente revocadas. Igualmente, las conexiones remotas de empleados y proveedores que tengan acceso a los sistemas de la compañía deben contar además con autenticaciones de doble factor.
- Contar con copias de seguridad desconectadas para información y sistemas críticos. Este tipo de estrategia incide en una rápida recuperación ante ciberataques.
- Crear un plan de respuesta para ciberincidentes. Algunos incidentes pueden ser mitigados con un plan de respuesta previamente elaborado y un equipo de respuesta tanto interno como externo. Con una estrategia y los expertos preparados, la respuesta y la resolución de cualquier ciberincidente puede ocurrir con mayor rapidez.
- Adquirir un seguro. Si bien las medidas proactivas son esenciales, un plan de respaldo actúa como un salvavidas contra el ciber riesgo. El seguro de riesgos cibernéticos es más que una herramienta para mitigar costos financieros: puede ayudar a la empresa a entender mejor cómo estar preparada para enfrentar un incidente de este tipo y ofrecer herramientas para gestionar los riesgos.
¿Qué son los seguros de riesgo cibernético?
Contar con un respaldo tecnológico robusto es clave para garantizar la seguridad digital de una empresa. No obstante, una estrategia sólida de ciberseguridad empresarial siempre debe contemplar una póliza de Riesgo Cibernético, la cual está pensada para acompañar a las organizaciones ante eventos como ataques y otros riesgos tecnológicos.
Una solución es Chubb Cyber, que protege a las empresas cuando este tipo de incidentes ocasionan interrupción del negocio por la falta de disponibilidad de los sistemas, corrupción de datos y sistemas, responsabilidad ante filtraciones de datos personales o información confidencial, falla de diligencia en el manejo de la información sensible de clientes o empleados y ransomware, entre otras amenazas.
Se trata de una solución que es ideal para toda clase de empresa, sin importar su tamaño o sector económico. Su objetivo es respaldar financieramente a las organizaciones si llegan a ser víctimas de ciberataques. Pero su rol va más allá, pues el acompañamiento también se ve reflejado en herramientas de gestión de riesgo y respuesta a incidentes, de manera que el asegurado pueda trabajar en su estrategia de prevención y cuando un incidente ocurra, tener a su disposición expertos que puedan acompañarlo en el manejo de un incidente y en la recuperación de sus operaciones.
En la actualidad los seguros cibernéticos son una inversión esencial en una era en la que los ciberataques están creciendo de manera exponencial y los principales objetivos son las empresas.
Fuentes:
[2] Índice de Inteligencia de Amenazas X-Force de IBM
[3] Informe Anual de Ciberseguridad
https://www.ccit.org.co/wp-content/uploads/estudio-anual-de-ciberseguridad.pdf
[4] Instituto de Gestión de Riesgos
https://www.theirm.org/what-we-say/thought-leadership/cyber-risk/
[5] Riesgos de ciberseguridad: qué son, ejemplos y cómo prevenirlos
[6] ¿Qué es el malware?
[7] ¿Qué es el phishing?
https://www.ibm.com/es-es/topics/phishing
[8] ¿Qué es el ransomware?
https://www.ibm.com/es-es/topics/ransomware
[9] Informe Cost of Data Breach de 2024 realizado por IBM
https://www.ibm.com/es-es/reports/data-breach?adoper=248759_1_PB1
[10] Aumenta el monto de pérdidas económicas por ciberataques en Colombia
El material presentado en este documento no está destinado a proporcionar asesoramiento legal u otro tipo de asesoramiento experto en relación con ninguno de los temas mencionados, puesto que tiene como finalidad únicamente, la presentación de información general.
2024 Chubb Group. Productos ofrecidos por una o más de las Compañías del Grupo Chubb. Los productos ofrecidos no se encuentran disponibles en todas las jurisdicciones. Los derechos sobre la marca comercial “Chubb”, su logotipo, y demás marcas relacionadas, son de propiedad de Chubb Limited.
“Defensor del Consumidor Financiero: Estudio Jurídico Ustáriz Abogados Ltda. Defensor Principal: José Federico Ustáriz González. Defensor Suplente: Luis Humberto Ustáriz González. Dirección: Carrera 11A # 96 - 51 Oficina 203 Edificio Oficity. Bogotá D.C. Teléfono: (57)(601) 6108161 Fax:(57)(601)6108164. Bogotá-Colombia Correo electrónico: defensoriachubb@ustarizabogados.com Página Web: https://www.ustarizabogados.com”.
