Si 2021 va a ser recordado como un año histórico por el número de ciberataques registrados, 2022 no va a quedar a la zaga. Las empresas prevén otro aumento de los ciberataques y disparan sus presupuestos en ciberseguridad. Así lo desvela el informe Digital Trust Survey 2022, elaborado por PwC a partir de una encuesta con más de 3.500 responsables de ciberseguridad (CISOs), CEOs y altos directivos de 66 países -141 españoles-.

El estudio revela que más del 50% de las empresas esperan que los ciberataques alcancen cifras récord el próximo año. Una amenaza que se ve reflejada en los presupuestos de las propias compañías. El 69% de las empresas en el mundo, el 70% en España, prevén aumentar sus inversiones en ciberseguridad, frente al 55% del año pasado, y un 26% -el mismo porcentaje en nuestro país-, espera que este incremento sea del 10% o esté, incluso, por encima.

Los ciberataques que estarán en auge

Más del 50% de las empresas esperan que los ciberataques alcancen cifras récord el próximo año

Según los directivos encuestados, los ataques que más crecerán el próximo año son los que tienen como objetivo los servicios en la nube y los ransomware -para el 57% de entrevistados-, seguidos del malware descargado a través de las actualizaciones de software y los ataques al software de la cadena de suministro y al correo corporativo (56%). Los responsables de ciberseguridad españoles coinciden en señalar a las amenazas a los servicios en la nube como las que más se van a incrementar, seguidas, en este caso, por los ataques a la cadena de suministro.

La puerta de entrada que más van a utilizar estos ciberdelincuentes serán el Internet de las Cosas, los móviles, los proveedores de servicios en la nube, la ingeniería social y los proveedores. Mientras que los tres principales protagonistas de estos ciberataques serán los cibercriminales, hackers y activistas y los Estados nación.

Lo cierto es que los ciberdelincuentes son cada vez más sofisticados y son capaces de recorrer cada rincón de los sistemas y redes de las empresas para encontrar vulnerabilidades, y utilizan todos los medios a su disposición para explotarlas. A medida que aumenta la complejidad e interdependencia de los sistemas en una compañía, las consecuencias de un ciberataque son mayores. Sin embargo, muchos de los riesgos pueden prevenirse si se ponen en marcha distintas prácticas y controles.

Un punto ciego, complejidad y datos

El informe pone un punto de atención especial sobre el conjunto de proveedores y terceras partes que intervienen en la operativa diaria de una compañía -los denominados third party providers, en inglés-. Y asegura que las empresas los podrían estar pasando por alto y que éstos estarían convirtiéndose en un punto ciego de entrada para los ciberataques. El 60% de los entrevistados reconoce no tener un conocimiento profundo de las brechas de seguridad asociadas con estas terceras partes y un 20% asegura tener poco o ninguno. En el caso de los encuestados en España, la situación es idéntica.

El documento concluye que las empresas se han vuelto demasiado complejas como para poder ser aseguradas en su totalidad. Por un lado, como consecuencia del incremento exponencial de la conectividad y, por otro, de la aceleración de la transformación digital en los últimos años. El 75% de encuestados afirma que sus empresas tienen un exceso de complejidad en su modelo operativo y en sus procesos que podrían ser innecesarios, lo que conlleva un incremento notable de los riesgos de ciberseguridad y de privacidad.

Las infraestructuras de datos de las empresas y las arquitecturas tecnológicas, con multitud de sistemas distintos, muchos de ellos heredados y difícilmente integrables, son algunos de los principales factores que más contribuyen a esta complejidad. Para los entrevistados, esta circunstancia se traduce en el día a día de las compañías, en pérdidas económicas, en una menor capacidad de innovación y en una menor capacidad de recuperación ante el ciberataque o los fallos tecnológicos.

Finalmente, se debe resaltar la importancia de los datos: el activo más codiciado por los ciberdelincuentes. Un riesgo que las compañías podrían minimizar protegiendo los datos contra la manipulación y el robo. Sólo el 34% del conjunto de los participantes en el estudio -el 33% en España-, afirman haber implantado procesos formales de seguridad de los datos. Además de incluir su cifrado y su intercambio seguro, determinan cuáles se deben proteger o no.