España se encuentra entre los países cuyas empresas han sufrido un mayor número de ciberataques en toda Europa, con más de ocho millones de vulneraciones en 2023. Esto quiere decir que las empresas españolas han sufrido un 83 % más de ataques respecto al año anterior, por lo que la ciberseguridad representa una de las principales preocupaciones del sector.
¿Qué lugar ocupa España en el ranking de ciberseguridad de Europa?
En España, se estima que cada minuto se producen 15 filtraciones de datos e información, lo que en 2023 sumó un total de ocho millones de cuentas robadas. Si bien es cierto que los ataques de este tipo están orientados al usuario, las empresas son las que ven perjudicada su actividad y reputación: de hecho, en los últimos tres años, una quinta parte de las empresas españolas ha sufrido ciberataques críticos, con un impacto económico que ronda el millón de euros.
Según los datos del Instituto Nacional de Ciberseguridad (INCIBE), el organismo gestionó en 2022 alrededor de 118 mil incidencias de ciberseguridad, un 9 % más que en 2021. El organismo advirtió que la principal causa son los nuevos desafíos operativos derivados del trabajo remoto e híbrido que surgieron a partir de la pandemia. Esto coincide con las conclusiones del Informe de Ciberpreparación de Hiscox 2023, el cual atribuye al error humano el 28 % de los puntos de entrada a las vulneraciones.
Por todos estos motivos, actualmente España se encuentra en el cuarto puesto entre los cinco países con más ciberataques de Europa, según un estudio realizado por Surfshark, empresa especializada en la materia. Solo la superan en número de ataques Estados Unidos, Rusia, República Checa y Taiwán. Por otro lado, el informe de ESET coloca a España en el primer puesto de Europa y tercero del mundo.
Desde el INCIBE han señalado que el aumento del número de ataques exitosos no se debe a que España tenga un nivel de seguridad por debajo de la media, sino a que los ciberataques se han vuelto más sofisticados. Según este organismo, para mejorar el nivel de respuesta y seguridad es necesario un trabajo conjunto entre los sectores públicos y privados (empresas, desarrolladores y proveedores de servicios de ciberseguridad) para aunar esfuerzos y prevenir la ciberdelincuencia a nivel nacional.
Retos de ciberseguridad para las empresas en 2024
El año 2024 ha comenzado marcando un punto de inflexión para la actividad empresarial en materia de ciberseguridad: la digitalización no solo se ha consolidado como un eje fundamental del quehacer corporativo, sino que además ha profundizado en las iniciativas de la agenda España Digital 2026. En este sentido, se prevé un aumento generalizado de los diferentes tipos de ataque para los que se ha comenzado a utilizar la inteligencia artificial: spear phishing, vishing, deepfake, entre otros.
El CEO de Advens España, empresa multinacional francesa especializada en ciberseguridad, advierte de que los ataques ya no solo serán un problema grave para las grandes compañías y corporaciones, sino también para las pequeñas y medianas empresas. Estas últimas comenzarán a notar el valor de invertir en sus propias soluciones de ciberseguridad, ya sean grandes empresas o pymes, ya que todas ellas deberán hacer frente a los desafíos de ciberseguridad en 2024. Veamos cuáles son.
Inteligencia artificial y ciberataques
Si existe un sector que ha abrazado la llegada de la inteligencia artificial en su actividad, es el de la ciberdelincuencia. La Asociación de Auditoría y Control de Sistemas de Información (ISACA) señala que el desarrollo de esta tecnología ha aportado una mayor capacidad operativa a los ciberdelincuentes.
Estos aprovechan los modelos de aprendizaje para efectuar una mayor cantidad de ataques que requieren de autenticación biométrica a partir de los deepfake, ya sean de voz o imagen. Por otro lado, los mismos conjuntos de datos empleados por los modelos de IA se convertirán en objetivos de ataques.
Falta de talento y cultura empresarial
El 26 % de las empresas relevadas por el informe de Hiscox 2023 revelaron que los delincuentes que vulneraron las cuentas de correo obtuvieron el acceso a gracias a los propios empleados. Por ello, las empresas deberán mejorar la difusión de prácticas recomendadas en relación al acceso y la información empresarial que gestionan los empleados, a fin de fomentar una cultura de seguridad informática responsable.
En relación con este punto, la falta de talento y especialistas en ciberseguridad será otro gran desafío en 2024. La empresa Softtek, desarrolladora de soluciones digitales, señala que es muy difícil encontrar perfiles con experiencia en la materia, cuando la participación de estos perfiles es fundamental para la planificación y supervisión de los sistemas. La empresa estadounidense WatchGuard señala que esta carencia obliga a las pymes a recurrir a proveedores de servicios gestionados y de seguridad de confianza cero.
Seguridad en la era del SaaS
En relación con el punto anterior, la adopción del software como servicio (SaaS) ha permitido a las empresas disponer de un nivel de seguridad estándar sin tener que realizar una gran inversión en su estructura, al delegar la gestión de redes a terceros. Sin embargo, los ecosistemas empresariales que surgen de los servicios gestionados en la nube producen nuevos retos en materia de ciberseguridad.
Las aplicaciones y plataformas de SaaS se han convertido en uno de los objetivos más comunes de los ciberdelincuentes, conscientes de las vulnerabilidades que estos sistemas ofrecen: estos aprovechan las configuraciones erróneas y los errores humanos para obtener acceso a los datos e información de carácter sensible de la empresa. Evitar estas vulnerabilidades y hacer un uso correcto de los servicios SaaS será un desafío a superar en 2024.
Confianza cero en la industria
Puesto que la gran mayoría de los ataques se enfocan en los servidores corporativos de la nube, estos son los principales puntos de riesgo de las empresas españolas. De hecho, según el informe de Hiscox 2023, un 32 % de las organizaciones han identificado este elemento como el principal punto débil de sus infraestructuras.
La Information Systems Audit and Control Association (ISACA) señala que, con el aumento de la digitalización y los sistemas híbridos de red en la nube, los sistemas de confianza cero son una clave fundamental para reducir las amenazas de acceso. Se espera que estas soluciones de autenticación experimenten una gran demanda en los próximos años, ya que no asumen la autenticidad de ninguna solicitud de acceso, lo que reduce el riesgo.
Aumento de presupuesto
Finalmente, un último desafío que las empresas españolas deberán superar en materia de ciberseguridad es la falta de inversión en tecnología y talento dentro de la organización. Miguel López y Boris Delgado, director General de Barracuda Networks y director de Soluciones de Digitalización y Tecnología de AENOR, respectivamente, señalan que en 2024 el 20 % del presupuesto se destinará a la ciberseguridad, y que un 80 % de los ejecutivos encargados del área informática (CIO) planean aumentar la inversión en este departamento.
Miguel López considera que este nivel de presupuesto y la inversión dedicada a la ciberseguridad no será una realidad para todos los casos. Sin embargo, Delgado advierte que esta es una prioridad a nivel ejecutivo de las empresas y organizaciones. Por ello, el análisis de riesgos de procesos y servicios resulta fundamental para aprovechar al máximo el presupuesto y los recursos disponibles, especialmente en el caso de las pymes.
Conclusión
España se encuentra entre los países más vulnerables a sufrir ciberataques en Europa. Las empresas y los referentes en materia de ciberseguridad son conscientes de que son muchos los desafíos a superar en los próximos años para revertir esta situación. Y, en este contexto, la inversión será fundamental para superar dichos desafíos. Tal como señala el informe de Gartner, consultora de tecnologías de la información estadounidense: se espera que en Europa el gasto en software como servicio crezca un 27 % en 2024.
