Uno de cada cinco delitos que investigó la Ertzaintza en 2021 se produjo a través de internet. De hecho, la ciberdelincuencia amenaza con posicionarse a la cabeza del ranking delictivo en todo el mundo. El cibercrimen mueve ya más dinero que el narcotráfico. Y es que, los ataques informáticos se han convertido en el reverso del proceso de digitalización, que ha experimentado un crecimiento sin precedentes en los últimos tres años con motivo de la covid-19. La explosión del comercio online y las plataformas de compra, la incidencia del teletrabajo o la digitalización del sector industrial han creado el caldo de cultivo idóneo para el cibercrimen. Si a esto le sumamos las importantes brechas de seguridad existentes aún en el ecosistema empresarial y de trabajo, el dilema está servido.

Según el último 'Estudio sobre cibercriminalidad de España', elaborado por la Dirección General de Coordinación y Estudios de la Secretaría de Estado de Seguridad, el peso de los delitos cibernéticos respecto al conjunto de la criminalidad pasó del 4,6 % en 2016 al 16,3 % en 2020. Por su parte, el servicio de vigilancia digital del Centro Vasco de Ciberseguridad (BCSC) ha contabilizado, solo durante el primer trimestre de 2022, un total de 255 ciberataques en Euskadi -con un crecimiento sostenido del 12 % mes a mes- y ha detectado 182.766 indicadores de amenazas. Estas últimas han derivado, finalmente, en 3.281 investigaciones de amenazas tempranas.

Los ciberincidentes comunicados a lo largo de 2021 en Euskadi (un total de 1.373), casi triplican la cifra del año anterior. Estos datos, sin embargo, podrían quedarse cortos, ya que no todos los ataques e incidentes son reportados o denunciados por las empresas al BCSC u otras entidades competentes.

Ransomware: modalidad criminal en alza

El denominado ransomware, que es como se conoce al software malicioso que cifra los datos de una empresa para secuestrarlos a cambio de un rescate económico, supone una de las mayores amenazas para cualquier organización empresarial -e incluso Administración pública- en Euskadi y Navarra en este momento. Cada vez son más los ataques de este tipo, que pueden afectar a páginas web, sistemas operativos, bases de datos, etc., así como cada vez es mayor la complejidad de los mismos. De hecho, Euskadi mantiene el nivel alto de alerta en base a la proliferación de grandes amenazas y riesgos como este, con un impacto significativo en los sistemas.

Según el informe 'Estado de la ciberseguridad en Euskadi', elaborado por el BCSC con los datos del primer trimestre de 2022, el Estado español (con un 4% de los casos identificados a nivel internacional) figura entre los siete países con más ataques de ransomware detectados en ese periodo de tiempo. A la cabeza se sitúa Estados Unidos (51 %), seguido de lejos por Reino Unido (10 %), Canadá, Alemania e Italia (los tres con un 7 %), y Francia (5 %).

El BCSC ha detectado 255 ciberataques y 182.766 indicadores de amenazas en Euskadi de de enero a marzo de 2022

Los sectores más afectados son: fabricación e investigación de medicamentos; farmacéuticos y atención médica (19 %); y automoción, fabricación y cuidado de la salud (con un 13 %). Diversos estudios publicados por entidades privadas estiman que más del 60% de las empresas afectadas por ransomware en 2021 pagaron un rescate.

Lamentablemente, hablar de ransomware es hacerlo de un ciberataque ya habitual, capaz de poner a prueba cualquier sistema de ciberseguridad. Junto a este, el malware y el phishing centran buena parte de la lucha en el sector empresarial contra los ataques a sistemas vulnerables.

Invertir en seguridad

El auge de los ciberataques ha hecho del incremento de la seguridad en internet un objetivo estratégico de Europa, en general, y de Euskadi y Navarra, en particular. Y no solo en lo que respecta a la ciudadanía o a los organismos públicos, sino también, y especialmente, al tejido empresarial. Un estudio publicado por Deloitte este mismo año señala que el 94 % de las empresas estatales sufrieron al menos un incidente grave de estas características en 2021; sin embargo, el presupuesto de IT en ciberseguridad apenas era del 9,4 % de media. La vulnerabilidad en materia de ciberseguridad de las empresas es aún muy alta.

Datos del Instituto Vasco de Estadística (Eustat) muestran que el 11,8% de las empresas vascas no contaban con ninguna medida de seguridad informática hace apenas tres años. Menos de la mitad del total tampoco disponía de herramientas de cifrado, identificación biométrica, copias de seguridad o red privada. Así pues, la pandemia sanitaria y la fuerte digitalización, que han incrementado los ciberataques en más de un 20 % a lo largo de 2020, se encontraron con sistemas de seguridad aún inmaduros y muy frágiles.

Hoy por hoy, la inversión en ciberseguridad no parece aún suficiente. Sin embargo, el precio que han de pagar las organizaciones por incidencias de este tipo, aunque sean puntuales, es cada vez mayor. El sexto 'Informe de ciberpreparación 2022', de la aseguradora Hiscox, sitúa el coste medio de los ciberataques en las empresas estatales en 105.655 euros, el doble respecto al año anterior y, según el documento, muy por encima de la media mundial, de 78.409 euros.

Así, no es de extrañar que cada vez se perciba más acuciante la inversión en soluciones eficaces contra los ataques informáticos. Todo apunta a que el gasto en medidas de prevención aumentará a lo largo de los próximos años. Al menos, así lo creen el 80 % de las empresas vascas según el BCSC. De lo contrario, algunas de ellas podrían incluso ver amenazada su continuidad. En este sentido, quizás Euskadi juegue con ventaja, pues está considerada 'Smart Territory' por su apuesta por la innovación en ciberseguridad. A pesar de ello, los desafíos son múltiples y apremiantes.

Las pymes, las más vulnerables

Las pymes y los autónomos están avanzando a marchas forzadas en el proceso de digitalización, un escenario al que llegan con muchas dificultades. Así que no es de extrañar que el tema de la protección de datos contra los ciberataques se considere una asignatura pendiente ya que el coste de un solo ataque informático podría suponer la ruina de más de una.

El coste medio de los ciberataques a empresas está cifrado en 105.655 euros, muy por encima de la media mundial de 78.409 euros

Según los datos del BCSC, un 88,2% de las empresas de Euskadi aplican medidas de ciberseguridad. Tienen el software actualizado en un 83% de los casos y utilizan contraseñas seguras (78%). No obstante, apenas el 6,11% realiza 'backups' externos, el 13,3% utiliza identificación biométrica, el 15,3% tiene contratado un seguro contra incidentes de seguridad, el 20,9% tiene una red privada virtual (VPN), el 26,2% tiene un cifrado de datos y el 37,8% control de acceso a la red. En Navarra, según los últimos datos del Instituto de Estadística de Navarra (Nastat) sobre el uso de tecnologías de la información y las comunicaciones y del comercio electrónico en las empresas, el 92,7 % de las organizaciones con diez o más asalariados utilizaba, en 2020, alguna medida de protección informática, pero ese porcentaje bajaba al 51,6 % en el caso de empresas más pequeñas.

Euskadi y Navarra en el ranking de CCAA: posiciones muy distintas

El teletrabajo: una gran puerta de acceso

Ayudas a la ciberseguridad