Un estudio, ‘The trouble at your door’, realizado con una muestra de 600 grandes empresas y organismos públicos, estos últimos no llegan al centenar, realizado por la consultora Quocirca por encargo de la multinacional del sector de la seguridad informática y las telecomunicaciones, Trend Micro, coloca en mala posición a las empresas españolas, respecto a las de otros países, Francia, Alemania, Italia, Reino Unido y un grupo con sede social en países escandinavos. La muestra recoge en parecida proporción empresas de bastantes sectores, con el mayor número en el sector financiero, seguido de instituciones públicas, Distribución, Transporte, Industria, Servicios Públicos, Farmacia y Tecnologías de la Información.
La consecuencia de que las empresas españolas sean las que estén menos (peor) preparadas que sus homólogas equivalentes europeas es que son las que han sufrido proporcionalmente una mayor sangría de pérdidas de datos en Europa. El informe incluye una lista, con nombres ocultos, de los 40 peores ataques en los últimos 12 meses, y en ella se encuentran 10 que afectan a las organizaciones españolas, la mitad de ellas entre las cinco primeras.
Uno de los mayores problemas detectados por la encuesta es la incredulidad de las empresas españolas, ya que son menos proclives a pensar que son un objetivo de ciberataques y que estos hayan posido ser ejecutados, lo que contrasta con la realidad de que cuando los ataques han sido detectados los directivos españoles son más pesimistas que sus colegas europeos sobre el carácter devastador de aquellos. Una docena de las incidencias de robos de datos de tarjetas de crédito que han sido informadas en la muestra lo fueron de la muestra de España, la cifra mayor, y también se informó de 11 robos de datos personales y 3 de propiedad intelectual. Las empresas e instituciones públicas españolas obtienen el peor registro en el despliegue de medidas antes, durante y después de los ataques, en una clasificación encabezada por las de Reino Unido, países nórdicos, Alemania, Francia e Italia.
Las empresas españolas se preocupan más que el resto por el espionaje industrial a nivel local
En la muestra española fueron las empresas de Distribución, las más afectadas por los ataques, seguidas de las de Servicios Financieros, Transporte y Servicio Público (utilities). Solamente el 27% de las empresas españolas cuenta con un plan de respuesta ante brechas de datos, lo que resulta preocupante, un porcentaje muy inferior al del resto. El 18% de las españolas asegura haber sufrido serios daños en su reputación por algún ataque durante el último año, con un coste asociado próximo al millón de euros. De las 10 que están en el top 40 de ataques, 5 son del sector de Distribución, 3 operan en el Financiero, y las dos restantes son del Transporte y Servicio Público. De las 10 hay un par de ellas que ni siquiera saben si los atacantes habían conseguido llevarse datos.
Otras características de la percepción de las empresas españolas es que se preocupan más que las otras del espionaje industrial a nivel local o comunitario, pero menos que el resto por el cibercrimen, y también son las que menos importancia (preocupación) dan a la ingeniería social como vector de ataque. La social engineering es un método no técnico de intrusión que utiliza el hacker o atacante que reposa en gran medida en el factor humano y que, a menudo, se sirve del engaño a personas para romper la seguridad. Se podría decir que las empresas españolas pecan de confianza en materia de ciberseguridad, aunque curiosamente son las que menos fatalistas se muestran, con sólo el 6% considerando que los ataques son inevitables, frente a un 24% del resto. En confianza sobre los sistemas defensivos desplegados es igual de baja en las españolas que el resto, un 5%. Más bien se puede hablar de desconfianza general sobre las medidas y sistemas de seguridad adoptados. Al respecto, el director general de Trend Micro Iberia, el español Tomás Lara, subrayaba ayer que la seguridad es vital en la nueva era digital, en la que estamos cada día más conectados con objetos y redes, un ecosistema repleto de amenazas, en el que es necesario “estar preparados y contar con iniciativas, planes, tecnología y servicios que permitan aminorar los riesgos y contrarrestar considerablemente los efectos de una ruptura. El cibercrimen no va a desaparecer, pero sí se le puede combatir”, subraya Lara.
Microsoft desvela que las ciberamenazas en España son superiores a las de la media mundial
Los internautas sufren mucho menos problemas de virus y seguridad que hace cinco años