Aumento y coste de la ciberdelincuencia y futuro de la ciberseguridad
El aumento del delito cibernético en los últimos 20 años ha sido espectacular. Las evaluaciones varían, pero según una de las estimaciones más pequeñas, se espera que el costo global del delito cibernético cueste $ 10,5 billones por año para 2025. Esto representaría un delito más grande que el comercio global en el mercado de drogas ilegales.
A finales de 2021, 4900 millones de personas tenían acceso a Internet, más del 60 % de la población mundial, e Internet tiene aproximadamente un millón de nuevos usuarios cada día. A medida que los usuarios en línea continúan creciendo, también aumentan las oportunidades potenciales para los ciberdelincuentes, y las técnicas más sofisticadas también se están convirtiendo en la norma. Además, el aumento del trabajo remoto durante la pandemia llevó a que se expusieran debilidades en la computación en la nube y en muchas redes comerciales, que luego fueron atacadas por ciberdelincuentes. Según Cybercrime Magazine, las pequeñas y medianas empresas representan más de la mitad de todos los ataques cibernéticos, y el 60 por ciento de ellas cierran dentro de los seis meses posteriores a ser víctimas de una violación o pirateo de datos.
Entonces, ¿Cuál es el futuro real de la ciberseguridad?
Las investigaciones sugieren que los ciberdelitos más comunes y dañinos a los que se enfrentan las empresas se originan y envían por correo electrónico. Ataques de suplantación de identidad (phishing): estos ataques se producen cuando se persuade a un usuario para que haga clic en un enlace malicioso, descargue un archivo malicioso o dé acceso a información confidencial. Se cree que representan el 90% de todos los incidentes y, según el informe 2021 de IBM sobre el coste de los ataques relacionados con el phishing, cuestan a las empresas una media de 4,65 millones de dólares. Una investigación de Symantec indica que en 2020, 1 de cada 4.200 correos electrónicos era un correo de phishing.
Malware es un término que engloba cualquier tipo de software malicioso diseñado para dañar o manipular cualquier ordenador, servicio o red. Los ciberdelincuentes lo utilizan normalmente para extraer datos que puedan utilizar con fines lucrativos. Aunque el malware se origina principalmente por correo electrónico, también se envía desde unidades USB infectadas, aplicaciones infectadas, instalaciones de software falsas, correos electrónicos de phishing, anuncios maliciosos y mensajes de texto. Existen muchas formas de malware, como virus, spyware, gusanos, troyanos, adware y, el más costoso para las empresas, el ransomware.
Uno de los tipos de malware más rentables entre los ciberdelincuentes, y por tanto uno de los que más crece, es el ransomware. Este malware se instala en la máquina de la víctima, deniega el acceso a los datos mediante cifrado y, a continuación, pide un rescate (normalmente en criptomoneda) para devolver los datos al usuario. Las pequeñas empresas corren un riesgo especial, ya que sus medidas de ciberseguridad pueden ser explotadas porque suelen ser poco sofisticadas. A nivel mundial, el coste de los daños causados por el ransomware en 2021 fue de 20.000 millones de dólares y se espera que se multiplique por diez hasta superar los 260.000 millones en 10 años.
La ciberseguridad es un tema que todas las empresas deben conocer y planificar para los ataques. Hasta hace poco era competencia de los departamentos de TI. Esto ahora ha cambiado con el consejo principal asumiendo la responsabilidad, en 2022, el 100% de las empresas de Fortune 500 están empleando a un director de seguridad de la información (CISO) o equivalente, frente al 70% en 2018.
«Personas, procesos y tecnología» se han citado durante mucho tiempo como los tres pilares de TI, y el mismo principio se aplica a la ciberseguridad. Por lo tanto, para implementar plenamente la ciberseguridad una empresa requerirá, los procesos estratégicos en su lugar, la mejor tecnología de su clase y personal experto para aprovechar plenamente su potencial. Sin los tres pilares, la inversión corre peligro. Por este motivo, muchas organizaciones recurren a empresas de servicios gestionados para que les proporcionen un programa de ciberseguridad seguro que proteja sus operaciones.
El aumento de la ciberdelincuencia ha creado una oportunidad de importante potencial en los negocios de ciberseguridad; en 2021 el mercado estaba valorado en 150.000 millones de dólares, apenas un 10% del coste de la ciberdelincuencia, y considerado por muchos como insuficiente. Esta disparidad entre los 150.000 millones de dólares actuales y el mercado potencial es enorme.
Muchas pequeñas y medianas empresas (PYME) carecen de los conocimientos internos necesarios para hacer frente a esta amenaza. A esto se añade la escasez mundial de talentos en ciberseguridad, que obliga a las empresas a contratar a proveedores de servicios externos. En diciembre de 2022, la revista Forbes informó de que «una enorme escasez de personal está asolando el sector». En su opinión, esto se debe a la rápida evolución de los requisitos laborales, impulsada por la necesidad cada vez mayor de las empresas de contar con mejores sistemas de ciberseguridad. Se calcula que en Estados Unidos hay 700.000 puestos vacantes en el mercado laboral de la ciberseguridad. No parece probable que la escasez de expertos vaya a cambiar a corto o medio plazo, por lo que los servicios externalizados serán esenciales para las organizaciones que necesiten respaldar una ciberseguridad eficaz.
Las oportunidades de inversión. A pesar de un mercado bajista en 2022 que afectó a muchos sectores, la ciberseguridad siguió siendo una buena opción para invertir. Los ingresos de la ciberseguridad crecerán en miles de millones de dólares en los próximos años. Muchos inversores están interesados en el sector, ya que puede ofrecer algunas de las mejores oportunidades de inversión a largo plazo en tecnología.
Como ya se ha comentado, con el continuo aumento de la ciberdelincuencia es evidente que las amenazas a las que se enfrentan todas las empresas a escala mundial siguen expandiéndose y haciéndose más dañinas. Y con la pandemia de cibercrimen que ha forzado el aumento del uso de la computación en nube, los delincuentes han aprovechado las oportunidades que se presentaban y se siguen presentando. Todas las empresas deben prepararse para afrontar el reto. Una estrategia de ciberresiliencia se ha convertido en un imperativo para evitar y sobrevivir a un ataque de ciberdelincuencia.
