Ciberataque, el peor enemigo de las empresas

¿Tiene una empresa? Enhorabuena por el esfuerzo diario que supone su gestión. Ahora, vamos a jugar a un juego. Imagínese por un momento cómo sería un mal día. No me refiero a un día complicado. Pensemos en uno duro de verdad: un cliente importante cancela un contrato, un empleado clave anuncia que se va a la competencia, o un fallo en la maquinaria detiene la producción durante horas. Duro, ¿verdad? Ahora, multiplique ese mal día por 100 y trate de imaginarse lo siguiente: su empresa es víctima de un ciberataque masivo. Los sistemas están paralizados, la cadena de suministro se detiene, los datos confidenciales de sus clientes están comprometidos, los medios de comunicación empiezan a publicar titulares negativos sobre su compañía y sus consumidores pierden la confianza en su capacidad para proteger su información y relatan su malestar en redes sociales. Además, si su empresa está cotizada, prepárese para ver, a cámara lenta, cómo la acción se despeña montaña abajo. Para conformar la tormenta perfecta, su departamento jurídico le presenta un informe preliminar y le comunica que se exponen a sanciones millonarias si se confirma que no contaban con las medidas necesarias de protección del dato. Y todo apunta a que es así. Del uno al diez, ¿cuánto le preocupa ese escenario? Espero que mucho.

Este es el tipo de desastre que un ciberataque puede desatar, uno de esos que afecta a toda la estructura de su empresa y que demuestra la devastadora potencia de este enemigo silencioso. No es ciencia ficción. Es un escenario demasiado real. Hasta hace unos años, los riesgos tradicionales a los que se enfrentaban las empresas, rara vez afectaban simultáneamente a todos sus principales valores económicos, reputacionales y humanos. Ahora, un solo incidente de seguridad digital puede exponer sus debilidades de manera integral y generando un efecto dominó que impacta en múltiples áreas críticas de forma simultánea.

Dicen los expertos que, actualmente, hay dos tipos de empresas: las que ya han sufrido un ciberataque, y las que lo van a sufrir en breve. El impacto dependerá de su capacidad de prevención y respuesta. En un mundo hiperconectado en el que uno de cada cinco delitos se comete ya por internet, uno de los riesgos más insidiosos es la falta de ciberseguridad.

La magnitud del daño causado por un ciberataque puede ser devastadora. La ciberseguridad de una empresa es tan fuerte como su eslabón más débil, y con frecuencia, ese eslabón es el empleado. En 2023 el coste del cibercrimen a nivel mundial representó cerca del 1,5 % del Producto Interno Bruto global, superando incluso al tráfico de armas, la trata de seres humanos y al tráfico de drogas. Y esto solo acaba de empezar. Los expertos auguran que en 2025 los ciberdelitos supondrán un coste de 10.500 millones de dólares anuales. Pero ¿cómo son los malos? Los ciberdelincuentes son cada vez más sofisticados. A menudo, operan en grupos organizados que funcionan como verdaderas empresas criminales, con roles y estructuras claramente definidos.

Además, utilizan herramientas avanzadas y técnicas de ingeniería social para explotar las debilidades humanas y tecnológicas, y utilizan la Inteligencia Artificial para perfeccionar sus ataques, llevándolos a niveles de complejidad y eficacia sin precedentes. Uno de los usos más inquietantes de la IA es en la creación de deepfakes y deep voice, técnicas que permiten generar vídeos y audios falsificados extremadamente realistas. Estos pueden utilizarse para suplantar identidades de personas de confianza dentro de una organización, como ejecutivos, engañando a empleados para que realicen acciones perjudiciales, como transferencias bancarias o divulgación de información confidencial.

A esto se suma que los ciberdelincuentes llevan años traspasando sus propios límites. Los centros sanitarios solían ser una línea roja que muchas organizaciones criminales eran reticentes a traspasar. Sin embargo, en el último año han aumentado notablemente los ataques a hospitales.

A pesar de las avanzadas tecnologías de seguridad el factor humano sigue siendo la puerta de entrada más común para los ciberataques. Los ciberdelincuentes aprovechan la falta de formación y la ingenuidad de algunos empleados mediante tácticas de ingeniería social, como el phishing. Estos ataques consisten en engañar a los trabajadores para que revelen información confidencial o hagan clic en enlaces maliciosos, abriendo así las puertas de los sistemas corporativos a los atacantes.

Uno de los ciberataques más populares al que se enfrentan las empresas es el Ransomware. Este tipo de software malicioso cifra y secuestra todos los datos de la compañía y exige un rescate para liberarlos, habitualmente en criptomonedas. Muchas de las empresas acaban pagando, pero la gran mayoría jamás recupera la información. Es lo que tiene pactar con el diablo. Otro clásico es el ataque de denegación de servicio, que sobrecarga los servidores de la empresa con tráfico masivo, causando interrupciones en el servicio y el consecuente daño económico y reputacional.

Pero vayamos a algo que ha hecho que muchos CEO empiecen a valorar el papel de sus directores de Seguridad de la Información y a incluir la ciberseguridad en sus planes de gestión de comunicación de crisis. Además del daño reputacional, las empresas también se enfrentan a sanciones económicas severas por la falta de protección de los datos de sus clientes. El Reglamento General de Protección de Datos de la UE impone multas que pueden alcanzar hasta 20 millones de euros. A usted también le quitaría el sueño, ¿verdad?

Por eso, la ciberseguridad debe ser una prioridad estratégica para todas las empresas, independientemente de su tamaño. Además, deben incluir los ciber riesgos entre los escenarios más complicados de su gestión de comunicación de crisis e invertir en tecnologías de seguridad avanzadas, formar a sus empleados sobre las mejores prácticas y mantenerse al día con las últimas amenazas. Los ciberataques representan la mayor amenaza para las operaciones y la reputación de una empresa. Ignorar a este enemigo silencioso es una receta para el desastre. Es hora de asumir que la seguridad digital no es solo una necesidad técnica, sino una responsabilidad empresarial crítica para su éxito y supervivencia.

• Luis Barreda Gago es director de Proa Comunicación y experto en Ciberseguridad por la UNED