Una fuga de datos, en promedio, le cuesta $1,23 millón a las grandes empresas, según estudio

Un estudio internacional revela que el costo promedio de un incidente de fuga de datos, a causa de los ataques cibernéticos, asciende a $1,23 millón para las grandes empresas y a $120.000 para los pequeños negocios.

“Este costo de $1,23 millón es un estimado que puede ser mucho más alto incluso, si se incluye ahí el pago a una banda criminal después de un ataque de ransomware o un ataque de cifrado de datos, en los que (el atacante) puede pedir plata para recuperar los datos para la empresa”, dijo a este diario Claudio Martinelli, director general para las Américas en Kaspersky, responsable del estudio.

Indicó que si bien para las empresas medianas o pequeñas esta cifra puede ser un poco menor, de unos miles de dólares, $6.000 o $200.000, si se compara con el tamaño de la empresa es un valor bastante considerable. “Si es una empresa mediana el ataque puede, incluso, colocar en riesgo la propia continuidad del negocio, porque el tamaño del daño es más grande que su capacidad financiera”, advirtió Martinelli.

Desde ese punto de vista, subrayó que es importante que las empresas estén preparadas de antemano para lidiar con este tipo de amenazas, ya que “no” es un tema de si van a ser atacadas o no, ni de cuándo se van a dar esos ataques, pero sí de cómo estar protegidas y preparadas para reaccionar a estos sucesos.

“Latinoamérica se ha convertido en un blanco de ataques muy interesante para los criminales digitales, ya que no hay fronteras, no hay barreras geográficas. Un atacante puede estar, por ejemplo, en Brasil o en Perú, y desde allá atacar a Panamá o a México. Las amenazas pueden venir de cualquier país lejos o cerca, incluso, del propio territorio; por eso es importante estar preparados”, señaló.

Martinelli profundizó en las principales amenazas y en los sectores más vulnerables. Precisó que los principales ataques o los más típicos son los de cifrado de datos o ransomware, los spam o phishing, que son aquellos mensajes falsos que llegan por WhatsApp, SMS o e-mail, en los que se induce a la víctima a acceder a un sitio falso, indican una amenaza e implantan un artefacto criminal en los dispositivos de las compañías. Otros ataques son los dirigidos o direccionados a empresas específicas más grandes, más estratégicas, que son los llamados APT (ataque avanzado de amenazas persistente), que son grupos altamente capacitados y financiados con muchos recursos.

En cuanto a las áreas más vulnerables a las amenazas digitales, mencionó que estos delincuentes atacan todos los sectores, los gobiernos, las instituciones financieras, los comercios, la gente de casa, los abogados. “Los criminales digitales latinoamericanos son muy democráticos. No hay una distinción. A ellos les interesa obtener grandes cantidades de datos y las amenazas más frecuentes en Latinoamérica son las financieras (...) y las amenazas por ingeniería social, o envían un mensaje falso y a partir de ahí promover estafas, promover trampas (...)”, puntualizó Martinelli.

De acuerdo con la investigación, estos resultados destacan la necesidad que existe de que las organizaciones sigan adoptando una protección proactiva de su información, iniciando por medidas básicas, como la creación de copias de seguridad. Afirma que esta es una regla esencial que debe ser parte del protocolo de ciberseguridad de todas las organizaciones, sin importar su tamaño o sector, para salvaguardar información sensible, como registros financieros, propiedad intelectual, datos de clientes y empleados, entre otros, así como evitar interrupciones operativas, multas y daños a su reputación.

Según la consultora internacional KPMG (2022), los riesgos actuales que generan mayor preocupación podrían verse como una “triple amenaza” formada por fraude, infracciones de cumplimiento y ciberataques”, citó el estudio “Ciberataques a la logística y la infraestructura crítica en América Latina y el Caribe” de la Comisión Económica para América Latina y el Caribe (Cepal), publicado el año pasado.

El estudio, que recopiló información de incidentes ocurridos en diez países seleccionados de América Latina (Argentina, Brasil, Chile, Colombia, Ecuador, México, Panamá, Perú, República Dominicana y Uruguay) señala que solo el 19% de las instituciones en Latinoamérica cumple con al menos el 50% de los controles relacionados con la ciberseguridad (KPMG, 2022). Al mismo tiempo afirmó que las pérdidas por un manejo inapropiado de la ciberseguridad ascienden al 1,5% de la facturación anual de las empresas lucrativas, sin considerar los costos intangibles que representan la pérdida de reputación en imagen. “La privacidad y la seguridad cibernética son componentes clave de la digitalización y esenciales para la confianza”, acotó la Cepal.