“España se ha visto fuertemente golpeada por los ataques dirigidos en el último año. Las organizaciones españolas están sufriendo algunas de las peores pérdidas de datos que se están produciendo en Europa, estando relacionadas en su mayoría con el robo de tarjetas de crédito y datos personales. Sin embargo, en vez de preocuparse por el cibercrimen, lo están más por verse atacadas por prácticas de espionaje por parte de la competencia”. Ésta es una de las principales conclusiones que se extrae de la investigación correspondiente a España y que ha sido encargada por Trend Micro a la consultora independiente Quocirca.
Según el estudio, “The trouble at your door”, en el que participan 600 organizaciones europeas procedentes de Alemania, España, Francia, Italia, Países Nórdicos y Reino Unido, se pone de manifiesto que, independientemente de dónde procedan los ataques, las empresas españolas están entre las menos preparadas para defenderse ante este tipo de incidentes de seguridad que otras compañías europeas.
El objetivo de esta investigación es examinar el conocimiento y las experiencias relacionadas con los ciberataques dirigidos en las organizaciones europeas de diferentes sectores. El informe incluye una lista de los peores 40 ataques registrados en los últimos 12 meses y revela que los ataques dirigidos se han convertido en una preocupación para la gran mayoría de empresas. Casi una cuarta parte de las corporaciones participantes en el estudio aseguró que estos ataques son inevitables en la actualidad, y más de una quinta parte de los encuestados ha admitido haber sufrido un robo de datos recientemente.
Sin embargo, a pesar de que el panorama pueda parecer sombrío, las organizaciones pueden tomar medidas efectivas para contrarrestar el impacto de estas amenazas. “El despliegue de una serie de medidas de seguridad “antes, durante y después de” reduce las posibilidades de convertirse en víctima en primer lugar y, cuando se produce un incidente, permite minimizar las pérdidas de datos, daños de reputación y costes. Contar con estrategias y planes de respuesta es vital cuando ocurre lo inevitable”, aseguran desde Trend Micro.
Entre los diferentes sectores de actividad analizados, el de TI es el que concentra el mayor número de ataques, posiblemente debido al conocimiento de los trabajadores tienen sobre el problema de las ciberamenazas. Sin embargo, éste es el sector mejor preparado para combatir tal situación. Servicios Financieros, Administración Pública y Retail, le siguen de cerca; pues en todos ellos existe un tratamiento amplio de datos personales y/o información relacionada con tarjetas de pago. Según la investigación, las empresas enmarcadas en el sector Utilities deberían estar más concienciadas e incrementar las medidas de seguridad puesto que las fugas de datos provocadas en este ámbito por los ataques dirigidos son altas. De acuerdo con esto, del estudio se desprende que ningún sector debería sentirse muy confiado en relación a su seguridad.
Objetivo: España
Esta edición española de este estudio, correspondiente a 2015, analiza cómo están de preparadas las organizaciones para hacer frente a los ataques dirigidos en nuestro país en comparación con la media europea. Así, se pone de manifiesto que el 10% de las corporaciones españolas se encuentran entre los 25 primeros puestos dentro del ranking Top 40 de los peores ciberataques dirigidos. Por sectores, el de Retail fue el más afectado, seguido por Servicios Financieros, Transporte (clasificación que incluye los servicios de distribución y logística) y Utilities.
Estos ciberataques dirigidos han sido los que peores consecuencias en términos de daños a la reputación, pérdida de datos y/o costes económicos han tenido para los negocios. El informe revela que Alemania se distancia mucho de la media europea en todas las regiones.
Por otro lado, de las 600 organizaciones europeas participantes en la investigación, un total de 369 compañías afirman haberse visto afectadas por ciberataques dirigidos durante los últimos 12 meses. Por su parte, 95 corporaciones confirmaron no estar completamente seguras de haber estado expuestas a un ataque dirigido. Por el contrario, las 136 restantes creen que no han visto afectadas en ningún momento por estas amenazas.
En términos generales, de estas 369 empresas europeas que se han enfrentado a ataques de seguridad, 251 confirman que al menos un ataque se ha realizado con éxito; 133 sufrieron robo de datos o vieron como su información no estaba segura, mientras 64 informaron de daños significativos o serios para su reputación.
El 70% de las organizaciones que afirma haber sido atacada, apunta que el número de incidentes creció en el último año, mientras que menos del 5% dice lo contrario. Sin embargo, es un hecho que, a más número de ataques, mayor probabilidad hay de que uno o más tengan éxito y por tanto se traduzca en daños reales para la empresa.
Mientras, las organizaciones españolas están ligeramente por debajo de la media a la hora de creer que han sido el blanco de ataques dirigidos exitosos. Sin embargo, los ataques que llegan a buen puerto pueden provocar con mayor probabilidad importantes pérdidas de datos con las consiguientes serias pérdidas económicas.
En el último año se registraron 12 incidentes con robo de datos de tarjetas de pago en España, más que en cualquier otra región de Europa; igualmente, hubo 11 denuncias de robo de datos personales y se informó de 3 incidentes contra la propiedad intelectual entre las firmas españolas encuestadas. Según la investigación, sólo el 27% de los negocios nacionales cuenta con un plan de respuesta ante brechas de datos; porcentaje que es, con mucho, el más bajo de todos los mercados que participan en la investigación. El 18% de las corporaciones españolas afirmó haber sufrido serios daños a su reputación por un ataque dirigido en el último año.
El coste asociado a estos ciberataques en la región, en cada una de las empresas afectadas, fue de aproximadamente un millón de euros. Ocho de ellas admitió haber sufrido robos en importantes cantidades de tarjetas de pago y/o datos personales de sus clientes, las dos restantes no sabían si los datos habían sido robados.
¿Qué se busca?
Los cibercriminales suelen centrarse en el robo de tarjetas de pago y datos personales más que en la propiedad intelectual. A pesar de esto, los negocios españoles se preocupan más por el espionaje industrial a escala local, ya sea dentro de España o en la UE, con un total de 4,3 puntos en comparación con los 3,8 de media europea. Contrasta esto con que España es la región que menos se preocupa por el cibercrimen (3,4 puntos) frente a los 4,3 del resto de Europa. Asimismo, España es el país al me menos preocupa la ingeniería social como vector de ataque, un método de lo más común empleado en los ataques dirigidos.
A pesar de este panorama, las organizaciones españolas son las menos propensas a considerar que los ataques dirigidos son inevitables; sólo el 6% opina esto frente al 24% del resto de países europeos participantes en la investigación. Según esto, sólo el 5% se mostraba confiada en sus sistemas, porcentaje similar al resto de Europa. La conclusión a la que llega Quocirca es que España está siendo fuertemente golpeada por los ataques dirigidos y las organizaciones españolas deberían estar haciendo mucho más para mitigar el problema.
“La investigación presentada en este informe tiene un mensaje claro: casi con total probabilidad su organización será víctima de un ciberataque dirigido en algún momento. Existe la posibilidad de que más de 1 de cada 10 intentos de ataque concluya en una pérdida de datos importantes y/o daños a la reputación de la compañía”, afirma David Sancho, responsable de investigación de Trend Micro en Iberia. Sin embargo, poner en marcha algunas medidas «antes, durante y después de» pueden minimizar tales pérdidas de datos, daños a la reputación y el coste global para el negocio de dichos ataques”.
Por su parte, para Tomás Lara, director general de Trend Micro Iberia: “en general, las organizaciones españolas son las menos preparadas para defenderse contra los ataques dirigidos; la consecuencia de esto es que nuestras empresas están sufriendo algunas de las peores pérdidas de datos en Europa. La amenaza de los ataques dirigidos no va a desaparecer, por lo que la única buena práctica pasa por estar preparados y contar con iniciativas, tecnologías y servicios en nuestras empresas que puedan medir y contrarrestar los efectos de forma considerable. El cibercrimen no va a desaparecer, pero sí se puede combatir”.
