Recientemente el Ministerio del Interior del Gobierno de España ha publicado su informe anual de Cibercriminalidad en España, donde se analiza la sociedad de la información y los ciberataques que han sido identificados por los diferentes organismos públicos y privados que trabajan para mitigarlos.
Antes de ver los datos, definamos un ciberataque.
¿Cómo aprender sobre
Ciberseguridad?
¿Qué es un ciberataque?
Definimos ciberataque a una acción con un impacto negativo en el objeto receptor de la acción que utiliza el entorno cibernético/digital para realizarse. Internet, por ejemplo, y lo que da servicio a través de este entorno. La acción puede tener origen:
- Voluntario:
El que inicia la acción lo hace con conocimiento del impacto negativo en el receptor.
- Involuntario:
El que inicia la acción puede no tener conocimiento del impacto negativo en el receptor.
Volviendo a los datos:
Los datos generales del informe revelan las siguientes cifras sobre la actividad de ciberataques:
Más de 100.000 incidentes de seguridad gestionados (salen a más de 300 incidentes al día).
Cada incidente puede tener una naturaleza de ciberataque diferente, encontrándonos por ejemplo con estos tipos:
- Malware
- Suplantación de identidad
- Phishing
- Ataques contra la disponibilidad (Denegación de servicio)
- Intentos de intrusión
- Robos de información
- Otros
Evolución anual de ciberataques por tipología
| Ciberataque | 2016 | 2017 | 2018 | 2019 | 2020 | 2021 |
|---|---|---|---|---|---|---|
| Intrusión | 14.412 | 19.372 | 8.567 | 6.493 | 9.570 | 7.050 |
| Fraude | 11.856 | 12.025 | 55.973 | 32.016 | 42.678 | 31.229 |
| Malware | 77.122 | 81.477 | 27.216 | 27.524 | 47.241 | 32.782 |
| SPAM | 10.287 | 7.978 | 0 | 0 | 0 | 0 |
| Disponibilidad | 523 | 569 | 154 | 70 | 2.023 | 7.187 |
| Intento de intrusión | 405 | 1.594 | 405 | 1.525 | 1.292 | 1.755 |
| Robots de información | 38 | 48 | 70 | 85 | 161 | 1.037 |
| Contenido Abusivo | 9.364 | 4.070 | 2.992 | 5.256 | ||
| Recolección de información | 5.716 | 85 | 132 | 108 | ||
| Sistema vulnerable | 3.955 | 31.928 | 23.512 | 20.948 | ||
| Otros | 1.093 | 886 | 821 | 4.419 | 4.415 | 2.454 |
Los datos solo incluyen aquellos registrados por los órganos públicos y empresas que, por ley, deben comunicar al organismo público si han sufrido un incidente.
Si además saltamos al mundo de las personas físicas, nos encontraríamos con que esta cifra aumentaría debido a la cantidad de ciberataques que recibimos en nuestro día a día, por ejemplo:
- Phishings
- Intentos de intrusión
- Malware
- Suplantación de identidad
- Otros
Cabe decir que estos ciberataques pueden estar más orientados al robo de información, fraude y extorsión en redes sociales.
La conclusión que podemos observar es que los ciberataques llevan tiempo aquí, y seguirán estando en nuestro entorno personal y empresarial. Tenemos que estar listos para detectarlos, pero también (e incluso más importante) para conocer las consecuencias que tienen; y así ser conscientes del impacto que pueden ocasionarnos.
Ciberataque: Cuando eres víctima directa o indirectamente
Antes de hablar sobre las consecuencias de un ciberataque es importante que recordemos que te puede impactar como víctima de un ataque de 2 formas:
- Directa:
- El ataque es contra tu empresa y/o persona.
- Indirecta:
- El ataque es contra un tercero, pero que te afecta de alguna forma. Por ejemplo, si el tercero tiene información sensible sobre ti o tu empresa (de tus empleados o incluso tus clientes).
Por eso es muy importante tener bien claro que tipo de “víctima” eres. Ya que de eso dependen las posibles reacciones y consecuencias.
Cabe recordar que las áreas más vulnerables a un ciberataque suelen ser las propias personas (a través de ingeniería social, correos maliciosos), aunque también mencionar cómo los atacantes también explotan sistemas informáticos vulnerables por configuraciones incorrectas y/o falta de actualizaciones/mantenimiento.
Consecuencias de un ciberataque en la empresa
Si el ciberataque se ha realizado contra una empresa (independientemente de su tamaño/volumen de facturación) debemos de tener en mente cuál es el peor escenario: el impacto más negativo para la empresa. Esto puede variar dependiendo del tipo de negocio/sector al que pertenezca.
Por ello, enumeramos todos aquellos a considerar de forma general y que pueden ser válidos para la gran mayoría de empresas:
¿Sabes cómo estudiar Ciberseguridad pero no dónde?
¡En Nuclio Digital School tienes la solución!
Reputacional
Hablamos de impacto reputacional cuando las consecuencias de un ciberataque afectan a la reputación de la empresa. Redes sociales, publicidad y marketing hoy en día son tan importantes como otros sectores en la empresa. Una pérdida de reputación en redes sociales puede generar una desconfianza de posibles compradores y afectar directamente al volumen de ventas de la empresa.
Aquí nos encontramos con situaciones que pueden tener consecuencias graves para la víctima:
- Extorsiones
- Usurpación de identidad (que puede llevar incluso al impacto económico)
- Bullying
- Daños contra el honor
- Otros
Económico
El impacto económico es el más sencillo de entender. Si debido a un ciberataque que ha podido afectar a nuestra infraestructura (por ejemplo, un malware que destruye equipos informáticos) la empresa debe hacer frente a un coste que no se esperaba realizar, estamos ante esta tipología.
Un ejemplo típico es el tener que afrontar costes por compra de software/hardware y/o servicios especializados para mitigar el ciberataque y que no vuelva a ocurrir.
Aquí podemos hacer referencia incluso a los pagos por rescate, debido a las campañas de malware de tipo “ransomware” donde el objetivo es entrar en una infraestructura y cifrar los datos de los equipos para solicitar un rescate si se quieren recuperar estos archivos.
Regulatorio
En aquellas empresas de sectores donde existe una regulación por parte de un órgano público, nos podemos encontrar con consecuencias adicionales no esperadas y que incluso pueden ser más impactantes que el propio incidente.
Multas por no cumplir el marco regulatorio para las empresas que trabajan en cierto sector pueden llegar a ser elevadas. Otras por ejemplo que afectan a cualquier empresa, como el Reglamento General de Protección de Datos (RGPD), reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. Dichas multas pueden oscilar dependiendo de la severidad:
Tipos de infracciones
- Leves: multa de hasta 40.000 €
- Graves: multa de 40.001 € a 300.000 €
- Muy graves: multa entre 300.001 € a 20.000.000 €
De negocio
En este sentido hablamos de una consecuencia que afecta al negocio directamente de la empresa.
Por ejemplo, un robo de información sobre un producto exclusivo puede caer en malas manos y producir que aparezca una competencia que antes no existía y/o modificar el mercado del negocio afectando a lo que ya tenía.
Ámbito Personal
En el otro lado de la moneda nos encontramos a las personas físicas que en su vida pueden ser víctimas de un ciberataque. En este caso hay diferencias respecto el impacto que pueden tener los ciberataques, ya que su objetivo puede ser distinto al ciberataque orientado a empresas.
Impacto Económico
Normalmente asociado a actividades fraudulentas para conseguir acceso a nuestro dinero (cuenta corriente, tarjetas, monederos virtuales, etc.) y poder realizar compras fraudulentas a nuestra costa.
Impacto
Definimos el impacto personal como el impacto que tiene la acción en el propio ser, tales como:
- Depresión
- Ansiedad
- Estrés
- Otros
Pudiendo agravar enfermedades incluso por consecuencia del ciberataque sufrido.
Cabe indicar que, en ambos mundos, el impacto fatal es el que provoca la desaparición de la empresa y/o persona, son casos extremos que afortunadamente son un número reducido, pero existen y se debe ser consciente para justamente poder anticiparse y evitarlos.
Conoce los detalles del
Conclusiones
Los ciberataques no van a desaparecer, mutarán y se adaptarán a las nuevas tecnologías, tendencias y sociedades, por lo que es vital ser conscientes de las consecuencias de sufrir uno y estar preparado de la mejor manera en caso de ser una posible víctima. Para ello es necesario:
Sentido común
Al igual que no le darías a un desconocido en la calle tu teléfono, usa el sentido común tras la pantalla.
Inversión en ciberseguridad
La ciberseguridad no es un coste, es una inversión. Cuando antes lo identifiques, antes evitarás que lo entiendas tras un incidente que pueda provocar un impacto en tu negocio. Por ello, invertir en prácticas como por ejemplo el pentesting, ayudarán a evitar un daño futuro.
Información es poder
- Mantente informado sobre la legislación que te afecta como persona y/o empresa para asegurar que cumples la normativa.
- Revisa las tendencias de ciberseguridad para estar al día de posibles nuevos ciberataques que puedan afectarte.
- Conocer cómo actuar frente a riesgos cibernéticos.
Por último, hay que mencionar que pueden aparecer nuevas consecuencias/impactos por ciberataques por la aparición de nuevas tecnologías, como lo han sido las redes sociales. Por ello, hay que estar siempre bien asesorado.
