Según un estudio de BitDefender, el 78% de los incidentes de pérdidas de datos se debe a comportamientos inseguros por parte de los trabajadores. Los ataques con malware sólo suponen el 6% del total. Si bien, ese 6% de pérdida de datos puede causar a las empresas más daño que un fallo de hardware o un error humano.
Mientras que el fallo en el hardware o el error humano (el borrado accidental de datos, por ejemplo) o incluso el robo de un dispositivo supondrían para la empresa “sólo” la pérdida de datos, la infección con malware provocaría, además de esa pérdida de datos, un deterioro de la imagen de la compañía y podría desembocar, incluso, en un proceso legal (si se descubre que la empresa, por ejemplo, no contaba con todas las medidas de seguridad necesarias para proteger la información que sus clientes le habían proporcionado).
La instalación de un keylogger (software para capturar las pulsaciones del teclado) en un equipo, el uso de un troyano para robar contraseñas, el uso de backdoors (códigos maliciosos que abren un puerto trasero del ordenador y permiten a un ciberdelincuente tomar el control del mismo) o la interceptación de una conexión VPN (virtual prívate network) son algunas de las herramientas que pueden usar los ciberdelincuentes para robar la información de la compañía: passwords, lista de consumidores (con nombres, emails, etc.), datos bancarios, situación financiera, …Como regla, el coste del incidente es proporcional al valor de los datos más los daños adicionales causados como la pérdida de credibilidad, la pérdida de productividad o, incluso, los costes de posibles acciones legales emprendidas contra la empresa.