El periodo navideño lleva a empresas, consumidores y administraciones públicas a un frenesí de actividad que incluye numerosas compras urgentes, ya sea por la necesidad de utilizar el presupuesto asignado a final de año o por el rol de Rey Mago que, de un modo u otro, todos desempeñamos.

Precisamente la necesidad de llevar a cabo numerosas compras y de hacerlo, en muchos casos, con cierta urgencia, lleva a un relajamiento de las medidas de seguridad y control. Los ciberdelincuentes conocen muy bien este hecho y lo utilizan y aprovechan para lanzar numerosas campañas dirigidas a tratar de ''capturar'' una parte del sabroso botín que suponen nuestros presupuestos. Ya seamos una empresa u organismo o un usuario particular habremos notado que en estas fechas la cantidad de correos fraudulentos, SMS engañosos o incluso llamadas de estafadores se incrementa notablemente.

Según la ONU cada 39 segundos se produce un ciberataque y el número de correos maliciosos ha crecido nada menos que un 600% en el último año. Empresas del Ibex 35, pymes, ministerios y organismos públicos y privados de todo tipo parecen haberse convertido súbitamente y por sorpresa en el objetivo preferido de los ciberdelincuentes. La realidad es que estos ataques no son en absoluto novedosos, ni por las técnicas empleadas en los ataques ni por los objetivos que persiguen.

Desde hace años los ciberdelincuentes se rigen por un criterio estricto de coste beneficio y aplican en sus ataques metodologías orientadas a maximizar la recompensa económica de sus acciones. Según datos de Telefónica Cyber Security Tech, en España, el 60% de las pymes que sufren un ciberataque desaparece en menos de 6 meses tras el incidente, y cada ataque tiene un coste medio de 35.000 euros. Pero la situación no es mejor para las medianas o grandes empresas. Según el estudio “Cost of a Data Breach Report 2021” realizado por IBM y el Instituto Ponemon y basado en el análisis de 537 diferentes tipos de ataques, el costo total de cada brecha o ataque en estas empresas aumentó un 10%, hasta los 4.24 millones de dólares. Ese es el mayor aumento año en un año de los últimos siete. Pero no está distribuido uniformemente. Por ejemplo, cuando el teletrabajo se tuvo en cuenta en la causa de una violación, el coste creció más de un millón de dólares. Y la industria de la salud lideró a todos los demás en costes por 11º año consecutivo, aumentando casi un 30%, hasta los 9.23 millones de dólares.

Si combinamos la evidente tendencia expansiva del cibercrimen con el periodo de compras navideño y añadimos además factores internacionales y geopolíticos (como el conflicto en Ucrania o las tensiones entre bloques), que tienden a hacer uso de los ciberataques como un elemento más de lo que viene a llamarse “guerra hibrida”, tenemos una suerte de tormenta perfecta que como ciudadanos, empleados o directivos deberíamos tener muy en cuenta en estas fechas si no queremos tener un serio disgusto.

Probablemente, la mejor manera de protegernos de esta ''tormenta'' es pararnos a definir si nuestra estrategia de ciberseguridad es la correcta. Ya seamos un usuario particular, una empresa privada o una administración pública a día de hoy parece evidente que no tenemos en España suficiente cultura o concienciación relacionada con la ciberseguridad, tanto a nivel directivo, como entre los empleados de base o como particulares. Aunque los presupuestos dedicados a ciberseguridad en el ámbito empresarial claramente están creciendo en los últimos tiempos, aún no se dota a los equipos de IT de los recursos suficientes para acometer inversiones en infraestructuras de seguridad ni para la contratación de personal experto en ciberseguridad. Tampoco suele considerarse necesario invertir en la formación en ciberseguridad del personal a nivel global. Y en la esfera del usuario particular el panorama es aún más desolador a tenor de lo revelado por el último análisis del INCIBE “Estudio sobre percepción y nivel de confianza en España. Cómo se protege la ciudadanía ante los ciberriesgos” en el que se pone de manifiesto que ha bajado el número de personas que emplean antivirus en su PC (del 58,7% al 53,1%) en este semestre… no sólo no mejoramos sino que vamos a peor.

Todo ello hace que ataques que normalmente serían sencillos de detectar con las herramientas y la formación adecuadas estén logrando su objetivo cada día en mayor número de empresas, administraciones públicas y particulares.

Entre los ataques más ''exitosos'' cabe destacar:

- Los que explotan técnicas de ingeniería social (engañar a los empleados/usuarios para realizar un pago o suministrar cierta información).

- Phishing (correos fraudulentos que instalan malware o roban información).

- Ransomware (correos de extorsión, normalmente mediante el cifrado/robo de datos críticos).

- Robo de cuentas (lograr las credenciales de acceso al correo de un usuario, por ejemplo).

- Ataques a la cadena de suministros de SW (ataques realizados sobre aplicaciones web fundamentalmente).

- Ataques tipo 'Wiper' o de borrado (similares al ransomware pero la información directamente se borra y no es recuperable).

El actual aluvión de ataques pone de manifiesto el claro fracaso de los planteamientos que implican reducir o postergar la inversión en ciberseguridad. Para muchas empresas el sufrir alguno de los ataques comentados simplemente va a suponer el cierre de su actividad, ya sea por los costes directos del ataque o por los daños infligidos a su imagen y reputación. En el caso de usuarios particulares puede conllevar importantes pérdidas económicas, robo de identidad, perdida de información, extorsión,… Y tampoco hay que olvidar la posibilidad de sanciones por parte de la administración en caso de incumplimientos legales.

En este escenario hay que considerar que la inversión en ciberseguridad supone una ventaja clave que puede evitarnos cuantiosas pérdidas económicas tanto a usuarios individuales como a empresas y administraciones. Debemos dejar de considerar la ciberseguridad como un gasto y darle la categoría de inversión crítica y necesaria que merece.