Los presupuestos TI de las empresas españolas se contrajeron en la pandemia pero se centraron más en ciberseguridad, según revela el informe de esta aseguradora

Hiscox es una aseguradora británica que lleva quince años operando en España, y en su último informe de ciberpreparación la compañía destaca cómo los presupuestos TI de las compañías se contrajeron en 2020, el año de la pandemia. Sin embargo, se centraron más en ciberseguridad.

La presentación del informe corrió a cargo de la directora de Comunicación de la firma en España, Carolina Morato, y de un 'cibercolaborador', Fernando Conde, también consultor de ciberriesgos para Deloitte España. Ambos destacaron cómo también ha crecido el número de compañías que reconocían haber sido ciberatacadas.

El estudio de Hiscox se realiza en cerca de una decena de países, en todos aquellos en los que esta aseguradora operadora: Estados Unidos, Francia, Países Bajos, Bélgica, Alemania, Reino Unido, Irlanda y España. El estudio contempla entrevistas a miles de empresas a nivel global. La muestra en España ha contado con los testimonios de 500 firmas. Se realizaron entre noviembre de 2020 y enero de 2021.

Mientras que el informe de ciberriesgos de Hiscox del año pasado destacaba que el 38% de las firmas españolas reconocían haber sufrido algún tipo de incidente informático, esta cifra ha aumentado sensiblemente hasta en 5 puntos porcentuales, hasta un 43%. 

Facebook, LinkedIn o Clubhouse: los hackeos en redes sociales siguen creciendo porque son el 'petróleo' con el que los ciberdelincuentes montan sus ataques

Pero uno de los datos en los que más llamaron la atención desde la aseguradora es que "1 de cada 6 empresas" que sufrieron estos ciberataques reconocieron que su supervivencia estuvo en peligro.

Con respecto a las inversiones en el campo de la ciberseguridad, la inversión en tecnologías de la información (TI) de las firmas consultadas en todo el mundo cayó cerca de un 2% de media. En España el descenso fue todavía mucho más dramático, casi de un 20% en 2020.

Sin embargo, y a pesar de la citada contracción, el porcentaje del presupuesto TI destinado a la ciberseguridad se mantuvo creciendo durante el año de la pandemia. Y lo hizo más que nunca. La media de la inversión en ciberseguridad de esta partida que registraron las empresas españolas consultadas creció un 22% en 2020, por encima del crecimiento de 2019 (15%) o de 2018 (9%).

En ese sentido, España se alinea más con el ascenso de la inversión en ciberseguridad de las firmas consultadas por Hiscox en todos sus mercados: la media a nivel de los países que forman parte de la muestra registran un incremento de esta inversión del 21% de media. Por eso, a juicio de Fernando Conde, se trata de un dato "bastante positivo".

Más de la mitad sigue pagando rescates

En cuanto a ciberincidentes, el 53% de las empresas españolas consultadas por la aseguradora reconocieron haber sufrido un ciberincidente en su historia, frente a un 42% que no y un 5% que no sabía qué responder. A juicio de Conde, esto refleja que las compañías en el país ya tienen más capacidad para reconocer posibles incidentes informáticos en caso de ser víctimas de ellos.

Un dato ilustrativo es que el 42% de todas las empresas españolas consultadas reconocieron haber sufrido 3 o más ciberincidentes.

Y sin embargo, la gran mayoría, cuando sufre un ataque con ransomware —un código malicioso que cifra archivos y dispositivos para pedir un rescate a su víctima a cambio de regresar la normalidad—, sigue pagando. "El 58% de las empresas afectadas por un incidente de este tipo terminó pagando".

Precisamente varias firmas de ciberseguridad han criticado en los últimos meses las fórmulas de actuación de determinadas compañías aseguradoras con sus pólizas de ciberriesgos. En algunos casos, se ha llegado a acusar a estas firmas de financiar la delincuencia asumiendo el pago de estos rescates por sus clientes, aunque dichas firmas han procurado rechazar la idea y defenderse alegando que si se dedicaran a pagar dichos rescates el negocio haría aguas.

Las empresas hackeadas pagan los rescates de 'ransomware', los criminales invierten los beneficios en mejorar sus ataques, y este bucle no parece tener fin

Hiscox no paga los rescates de ransomware que exigen a sus clientes. Además de la póliza, ofrece un paquete de protección y prevención y deja en manos de un equipo de respuesta a incidentes de un proveedor la labor de respuesta en caso de ciberataque a uno de sus clientes. 

"Cuando el asegurado nos llama, se activa la póliza y de forma paralela se pone en marcha este equipo de respuesta a incidentes", aclaran desde la firma a preguntas de Business Insider España. "Es ese equipo el que asesora al cliente sobre cómo restablecer sus servicios y cómo gestionar el incidente. Esto qué significa: nosotros nos quedamos en un segundo plano y es esa empresa la que va asesorando. Nosotros luego reembolsamos todo lo que ha costado el incidente".

El "todo lo que ha costado el incidente" implica por lo general "las horas de trabajo" de los profesionales de ese proveedor, y en caso de que se haya producido una pérdida o fuga de datos, "restablecerlos".

Fernando Conde es claro: del informe también extrae la conclusión de que "las empresas que contaban con un ciberseguro" vieron cómo los ciberincidentes que sufrieron supusieron menos gastos. "Las cuantías eran menores", detalla. "El hecho de tener un ciberseguro no solo implica transferir riesgos, sino también tener capacidades previas de prevención, con formaciones a empleados que desde Hiscox se ofrecen".

De hecho "aquellas empresas que sí pagaban los rescates" eran las que después "volvían a ser atacadas", incide el especialista, de lo que se puede deducir que no contaban con un ciberseguro.

En el reciente XIV Smart Business Meeting, Juan Cobo, CISO global de Ferrovial, recordó lo "absolutamente pertinente" que es contar con un ciberseguro hoy día. El evento estuvo organizado por Business Insider España con el patrocinio de Havas Media Group España y el agregador de noticias upday. Colabora: Máster en Ciberseguridades de Universidad Pontificia Comillas ICAI-ICADE ICAI.

"Con un seguro te puedes hacer cargo de muchos de los costes de la recuperación. Antiguamente no existían en materia de ciberseguridad, pero hoy en día es imprescindible", destacó.