El coste real de la ciberseguridad en las empresas

Informatec Digital » Recursos » El coste real de la ciberseguridad en las empresas

Hablar del coste real de la ciberseguridad ya no va solo de licencias de antivirus o de contratar un “informático” que eche una mano cuando algo falla. Hoy en día, el dinero que se juega una empresa en un incidente serio de seguridad supera con mucho cualquier inversión razonable en protección, y los datos de aseguradoras, consultoras y organismos públicos lo dejan bastante claro.

Mientras el volumen y la sofisticación de los ciberataques se disparan, muchas compañías siguen infraprotegidas, con presupuestos cortos, medidas parciales y una sensación de “a mí no me va a pasar” que, cuando llega el primer siniestro, sale muy cara. Desde grandes grupos industriales y energéticos hasta pymes de barrio, el desajuste entre el riesgo asumido y el dinero que realmente se destina a mitigarlo es cada vez más evidente.

El coste directo de los ciberincidentes: cifras que asustan

Cuando se analizan reclamaciones de seguros cibernéticos a gran escala, se ve con claridad que las brechas de datos y filtraciones de información son el tipo de incidente más frecuente y, además, el que acaba generando mayores pérdidas económicas. Hablamos de casos que van desde un puñado de afectados hasta incidentes que impactan en más de un millón de clientes, con todo lo que eso implica en notificaciones, gestión de crisis, abogados, sanciones y daño de imagen.

Un estudio global basado en 4.650 reclamaciones de seguros en casi 90 países a lo largo de una década sitúa el coste medio de un ciberataque en torno a 2,4 millones de dólares por incidente. Cuando el problema implica una filtración masiva de información, el impacto sube todavía más: el coste medio de una brecha de datos ronda los 3,9 millones de dólares, sumando costes técnicos, legales, operativos y reputacionales.

Además, el peso de los “grandes siniestros” es enorme: solo un 4% de los incidentes supera la barrera de los 10 millones de dólares, pero ese pequeño grupo acumula aproximadamente el 91% de las pérdidas totales registradas. En el extremo, hay reclamaciones que han alcanzado cifras tan desorbitadas como 331 millones de dólares, lo que da una idea del potencial devastador de un ataque bien dirigido a una organización con alta exposición.

Un factor que aparece de forma reiterada es la ausencia de medidas de seguridad adecuadas. En torno a una cuarta parte de las pérdidas analizadas tiene su origen en una protección deficiente: sistemas sin parches, controles de acceso flojos, falta de supervisión de proveedores o carencia de planes de respuesta y recuperación que permitan volver a operar con rapidez.

Principales causas de las pérdidas: terceros, errores humanos y ransomware

Si se mira el origen de muchos de estos siniestros, se aprecia que una parte muy relevante de las pérdidas por filtraciones de datos está vinculada a proveedores y terceros. Aproximadamente la mitad de los incidentes de este tipo tiene como raíz fallos o ataques que afectan a socios que almacenan o procesan datos de clientes y empleados. Esto obliga a hacer una revisión periódica y exigente de la ciberseguridad a lo largo de toda la cadena de suministro y no solo puertas adentro de la organización.

Los errores humanos siguen siendo otro clásico. En torno a un 24% de las pérdidas asociadas a filtraciones se relacionan con despistes o malas prácticas de empleados propios o de socios: hacer clic en enlaces de correos de phishing, responder a mensajes fraudulentos, enviar documentación sensible al destinatario equivocado o compartir credenciales sin demasiadas cautelas. Un buen programa de onboarding y formación reduce significativamente estos riesgos.

En paralelo, los ataques de ransomware mantienen una tendencia al alza. Este tipo de malware cifra o bloquea sistemas y datos para exigir un rescate económico a cambio de recuperar el acceso, y en muchos casos se combina con robo y publicación de información para aumentar la presión. El modelo se ha profesionalizado tanto que han surgido operadores que ofrecen ransomware-as-a-service, facilitando kits, infraestructura y soporte a otros delincuentes a cambio de un porcentaje del botín.

Este escenario hace que resulte imprescindible contar con un plan de continuidad de negocio y recuperación bien diseñado, probado y actualizado: copias de seguridad robustas y aisladas, procedimientos claros para aislar sistemas comprometidos, comunicación interna y externa coordinada y, sobre todo, simulacros periódicos que eviten improvisaciones cuando la empresa está bajo ataque.

La brecha entre riesgo y presupuesto en ciberseguridad

Mientras los atacantes perfeccionan sus herramientas y métodos, el gasto en protección no siempre avanza al mismo ritmo. En mercados como el español, estimaciones recientes apuntan a que el coste de la ciberdelincuencia podría dispararse hasta un 148% de aquí a 2028, alcanzando en torno a 69.000 millones de euros. Sin embargo, el presupuesto destinado a ciberseguridad crece apenas a un ritmo anual de algo menos del 6%, lo que abre una brecha cada vez más preocupante entre el volumen de riesgo asumido y el nivel de defensa real.

Esta situación es especialmente delicada en sectores estratégicos, donde una interrupción de la actividad no solo genera pérdidas económicas, sino impactos en la seguridad, el suministro o los servicios esenciales de un país. En el último año, la industria manufacturera concentró aproximadamente una cuarta parte de los ataques registrados, seguida del sector energético y de suministros, y del transporte, que también soportaron un porcentaje significativo de incidentes.

Casos mediáticos como el ciberataque a una gran firma automovilística británica, considerado uno de los más costosos en ese país, dejan claro que un solo incidente puede paralizar la producción, cortar las cadenas logísticas, dañar la reputación y acarrear indemnizaciones millonarias.

A pesar de este panorama, muchas organizaciones todavía muestran niveles bajos de madurez en ciberseguridad. Informes recientes indican que solo una pequeña fracción de las empresas, alrededor de un 2%, ha desplegado una estrategia de ciberresiliencia completa, es decir, un enfoque integral que no solo intenta prevenir ataques, sino también resistirlos y recuperarse de ellos de forma rápida y controlada.

La buena noticia es que una gran mayoría de directivos reconoce ya la necesidad de reforzar esta área. Más de las tres cuartas partes de las compañías esperan aumentar sus presupuestos de ciberseguridad a corto plazo, y una parte relevante planea incrementos de dos dígitos, conscientes de que seguir posponiendo estas inversiones solo hace que el coste futuro sea mayor.

Digitalización, conectividad y nueva superficie de ataque

La transformación digital ha revolucionado la forma de trabajar en sectores tan dispares como emergencias, logística, mantenimiento de infraestructuras o defensa. Dispositivos móviles y portátiles conectados permiten acceder a información en tiempo real, optimizar rutas, coordinar equipos y reducir tiempos muertos. Pero, como contrapartida, esa misma conectividad amplía el campo de juego de los atacantes. La transformación digital requiere medidas específicas para no multiplicar el riesgo.

En entornos remotos o de campo, donde la supervisión directa del equipo de TI es limitada o no existe, se multiplican los riesgos: accesos no autorizados a sistemas corporativos, pérdida o robo de dispositivos que contienen datos sensibles, conexiones a redes inalámbricas poco seguras y uso de aplicaciones no controladas. Todo ello configura un escenario perfecto para que un fallo de seguridad aparentemente menor acabe en un problema serio.

Los equipos rugerizados (portátiles y tablets robustos) que se utilizan en estos sectores están diseñados para operar en condiciones extremas y ofrecer conectividad avanzada, ya sea 4G LTE o 5G, incluso en zonas aisladas. Sin embargo, una mayor conectividad sin una estrategia de seguridad adecuada es una invitación al desastre: más puntos de entrada, más dispositivos que parchear, más identidades que gestionar.

Para mitigar estos riesgos, cobra sentido un enfoque de protección en múltiples capas centrado en el endpoint: hardware con características de seguridad reforzadas desde el firmware, sistemas operativos configurados con principios de seguridad por defecto, controles de identidad robustos (como autenticación multifactor), cifrado completo de disco y de comunicaciones, y herramientas de monitorización que permitan detectar actividad sospechosa en tiempo real.

Sobre esa base, conviene añadir capas adicionales como el uso sistemático de VPN seguras para el acceso remoto, políticas estrictas para la gestión de actualizaciones de software y firmware (evitando dejar ventanas abiertas a vulnerabilidades conocidas) y planes de respuesta a incidentes que contemplen el contexto específico de trabajo en campo.

Medir el ciberriesgo y priorizar la inversión

Uno de los grandes retos para muchas compañías es pasar de decisiones basadas en intuiciones o miedos genéricos a una gestión cuantitativa del ciberriesgo. La mayoría de directivos coincide en que medir el riesgo cibernético será clave para decidir dónde poner el dinero, qué proyectos priorizar y qué controles son más rentables en términos de reducción de exposición.

Sin embargo, solo una minoría de organizaciones afirma estar asignando recursos de forma realmente alineada con las áreas de mayor riesgo. Entre los obstáculos más frecuentes aparecen la incertidumbre sobre el alcance real de las amenazas, la falta de datos fiables, la dificultad para transformar esa información en métricas entendibles por negocio y la desconfianza respecto a los modelos de cuantificación disponibles.

Pese a ello, el uso de del impacto financiero de distintos tipos de incidentes está ganando terreno. Estas soluciones ayudan a estimar, por ejemplo, cuánto podría costar una caída prolongada de un sistema crítico, o qué impacto tendría una filtración masiva de datos de clientes en función del sector, la regulación aplicable y la capacidad de respuesta de la empresa.

Más allá de las grandes corporaciones, incluso las pymes podrían beneficiarse de aproximaciones más sencillas a esta cuantificación, aunque solo sea para contrastar una cifra aproximada de potencial pérdida frente a lo que se gasta actualmente en protección. Esa comparación suele ser reveladora y pone de manifiesto lo barato que resulta, en realidad, invertir en ciberseguridad frente al coste de un incidente serio.

En este contexto, la colaboración estrecha con aseguradoras y brókeres especializados puede ser muy útil. Compartir información sobre proveedores, arquitectura tecnológica y procesos de negocio permite ajustar mejor los límites de póliza, las coberturas y las exclusiones, reduciendo la probabilidad de sorpresas desagradables en caso de siniestro.

Lo que se gasta realmente: el caso de las pymes españolas

Si se baja al terreno de la pequeña y mediana empresa, la realidad es que la inversión en ciberseguridad suele ser muy reducida. Un barómetro reciente elaborado a partir de entrevistas a más de un millar de pymes españolas muestra que cerca de la mitad de ellas no llega a gastar 500 euros al año en seguridad digital, una cantidad claramente insuficiente si se tienen en cuenta los riesgos a los que están expuestas.

En el tramo siguiente, alrededor de un 18% de las pymes afirma destinar entre 500 y 2.000 euros anuales, mientras que solo un porcentaje pequeño supera la barrera de los 2.000 euros. Entre los principales frenos a la inversión aparece con fuerza la percepción de que los costes de implantación son demasiado elevados, algo que muchas veces responde más a desconocimiento que a cifras reales.

Otras barreras son más culturales o de percepción: un cuarto de las pymes considera que no es necesario ir más allá de lo que ya tiene (aunque a menudo eso se reduzca a un antivirus básico y poco más). A esto se suma la sensación de que la ciberseguridad es demasiado compleja de gestionar o que no se dispone de personal cualificado, lo que lleva a muchas empresas a no dar el paso, pese a que existen soluciones y servicios gestionados ajustados a casi cualquier presupuesto.

Además, aproximadamente la mitad de estas empresas percibe que la regulación europea en materia de digitalización les supone más un freno que un impulso, al obligarles a cumplir requisitos que consideran difíciles de asumir con sus recursos actuales. Paradójicamente, muchas de estas mismas organizaciones reconocen que las inversiones en digitalización y en servicios en la nube ya les están generando beneficios económicos y eficiencia operativa.

De hecho, cuatro de cada diez pymes asegura que ya nota un retorno positivo de la digitalización, y un porcentaje significativo ve la ciberseguridad como un factor que puede tener impacto beneficioso en sus resultados. El problema no suele ser la falta de evidencia del valor, sino la dificultad de trasladar ese valor a decisiones presupuestarias concretas y sostenidas en el tiempo.

IA, productividad y nuevos desafíos de seguridad

Otro aspecto relevante en el coste real de la ciberseguridad es la adopción de herramientas de inteligencia artificial. En el entorno de las pymes, algo más de un tercio declara utilizar ya soluciones basadas en IA, con un peso claro de los asistentes generativos para tareas de gestión documental, tratamiento de textos, análisis de datos y apoyo al marketing, ventas o atención al cliente.

Entre quienes han empezado a usar estas tecnologías, la motivación principal es aumentar la productividad y la eficiencia: reducir trabajo manual, acelerar la generación de contenidos, mejorar la atención al cliente con chatbots o facilitar la toma de decisiones apoyándose en análisis automatizados. Una parte importante de estas empresas planea incrementar su inversión en IA en los próximos meses.

Sin embargo, entre las pymes que aún no han dado el salto, el freno no suele ser el coste económico, que solo un porcentaje muy reducido cita como principal problema. Lo que pesa más es la falta de un caso de uso claro en el negocio diario o el desconocimiento de las soluciones disponibles. Esto implica que muchas organizaciones están dejando pasar oportunidades de mejorar su competitividad y, al mismo tiempo, de reforzar su seguridad con herramientas basadas en IA.

No hay que olvidar que la propia IA se ha convertido también en un arma en manos de los atacantes. El phishing generado automáticamente, los deepfakes de voz y vídeo o los ataques más sofisticados de ingeniería social elevan el listón de lo que hace falta para distinguir un intento fraudulento de una comunicación legítima. Eso presiona todavía más a las empresas para reforzar sus programas de seguridad de la IA y sus controles técnicos.

En este contexto, la combinación de IA para mejorar procesos y detección de amenazas, junto con políticas claras de uso responsable de estas herramientas, puede marcar la diferencia entre ganar eficiencia sin perder seguridad, o abrir sin querer nuevas brechas en la organización.

El papel de las pólizas de ciberriesgo y sus limitaciones

Las pólizas de seguros de ciberriesgos se han consolidado como un elemento importante del ecosistema de gestión de riesgos. En términos generales, este tipo de seguros cubre reclamaciones asociadas a incidentes como phishing con filtraciones de datos, interrupciones del negocio, ataques de ransomware y otros sucesos relacionados con sistemas y activos digitales.

Los análisis de reclamaciones muestran que, en la mayoría de las filtraciones de datos, alrededor del 94% de las pérdidas queda cubierto por estas pólizas, siempre que el incidente se ajuste a las condiciones contratadas. No obstante, cuando la causa del problema está en el interior de la propia organización asegurada, ese porcentaje de cobertura efectiva desciende, situándose en torno al 83%.

Entre los motivos de conflictos de cobertura destacan tres especialmente: la presentación de reclamaciones fuera de plazo, la falta de activación de determinadas cláusulas que requerían acciones específicas por parte del asegurado, y decisiones tomadas por la empresa sin recabar el consentimiento previo de la aseguradora, lo que en algunos casos puede invalidar parte de las garantías.

Para evitar estas situaciones, resulta clave que las organizaciones entiendan bien qué cubre exactamente su póliza, cuáles son sus exclusiones y qué obligaciones tienen en caso de incidente. Una comunicación fluida y temprana con el bróker y la aseguradora, informando sobre proveedores críticos, activos sensibles y vulnerabilidades conocidas, facilita que el diseño del seguro se adapte realmente a la exposición de la empresa.

Además, integrar la póliza dentro de una estrategia de ciberresiliencia más amplia evita caer en la falsa sensación de que el seguro lo solucionará todo. La cobertura económica ayuda a absorber el golpe, pero ni evita los ataques ni suple la necesidad de contar con procedimientos sólidos, personal formado y tecnología adecuada.

La nueva Ley de Ciberseguridad y el coste de cumplirla

En Europa, la transposición de la directiva NIS2 a través de una nueva Ley de Ciberseguridad está elevando el listón de las obligaciones para miles de empresas, especialmente aquellas que operan en sectores considerados críticos o esenciales para la economía y la sociedad. En España, se estima que casi 6.000 organizaciones deberán adaptarse a esta norma y asumir los costes asociados a su implementación.

La ley distingue entre entidades esenciales e importantes. Las primeras se corresponden principalmente con compañías de sectores de alta criticidad (energía, transporte, banca, sanidad, gestión de aguas, infraestructuras digitales, servicios TIC a terceros, espacio o industria nuclear) que además superan determinados umbrales de tamaño y facturación, así como proveedores de servicios de confianza, dominios y redes públicas de comunicaciones, entre otros casos. El resto de organizaciones que entran en el ámbito de aplicación, pero no cumplen los requisitos de esencialidad, se consideran entidades importantes.

El coste de adecuación varía de forma significativa según el punto de partida. Para las entidades importantes que prácticamente tienen que construir su estructura de ciberseguridad desde cero, la inversión media estimada ronda los 180.000 euros. Aquellas que ya tienen aproximadamente un 27% de las medidas requeridas implementadas podrían situarse en un coste de adaptación en torno a 131.000 euros.

En el caso de las entidades esenciales, las cifras se disparan: las que parten de un nivel de implantación muy bajo pueden llegar a necesitar inversiones superiores a los 2 millones de euros, mientras que aquellas que ya tienen cerca de la mitad de los requisitos cumplidos se moverían alrededor de 1,19 millones. Las empresas ya reguladas bajo el marco anterior (NIS1) tienen un coste adicional mucho menor, en el entorno de los 100.000 euros, para ajustarse a las nuevas exigencias.

Si se suman todos estos esfuerzos, el Gobierno calcula que el conjunto del tejido productivo afectado podría invertir alrededor de 2.250 millones de euros en adaptarse a la nueva ley. Una cifra elevada, pero que debe interpretarse a la luz de lo que costaría, tanto en dinero como en impacto social, una cadena de incidentes graves en sectores estratégicos sin un nivel mínimo común de protección.

Medidas exigidas: de la gestión de riesgos a las sanciones

La Ley de Ciberseguridad no se queda en recomendaciones genéricas: obliga a las empresas incluidas en su ámbito a adoptar un paquete amplio de medidas que abarca desde la gestión de riesgos hasta la formación del personal. Entre los requisitos clave se encuentran la elaboración de políticas de seguridad robustas, análisis periódicos de riesgos, gestión sistemática de vulnerabilidades y establecimiento de procedimientos claros para manejar incidentes.

También se insiste en la necesidad de realizar copias de seguridad frecuentes y fiables, disponer de mecanismos de recuperación ante desastres y contar con protocolos de gestión de crisis que eviten que un incidente de seguridad paralice durante días o semanas la operativa. La protección de la cadena de suministro vuelve a estar en primer plano, obligando a las organizaciones a supervisar la seguridad de sus proveedores y socios tecnológicos.

Otro bloque importante es la resolución y notificación de incidentes. Las empresas deben tener servicios capaces de responder con rapidez cuando detectan un problema, mitigar su impacto y restaurar la normalidad lo antes posible, además de avisar a las autoridades competentes y a las personas afectadas en plazos y con contenidos bien definidos.

La norma exige, además, la designación de un responsable de la seguridad de la información que actúe como referencia interna y como punto de contacto ante las autoridades. Se refuerza la idea de la formación continua en ciberseguridad para directivos y plantillas, asumiendo que la tecnología por sí sola no basta si las personas no saben reconocer y manejar los riesgos.

Para verificar que todo esto se cumple, se prevén mecanismos de certificación para entidades esenciales, autoevaluaciones guiadas para las importantes y facultades amplias para las autoridades de control, que podrán realizar auditorías, requerir información e imponer sanciones. En los casos más graves, las multas podrían llegar hasta los 10 millones de euros, y se contemplan incluso medidas como la suspensión de certificaciones o la restricción temporal de funciones de altos cargos hasta que se solucionen las deficiencias detectadas.

Cuando se ponen frente a frente las cifras de inversión necesarias para reforzar la seguridad y el potencial impacto económico, legal y reputacional de un incidente grave, queda bastante claro que sale mucho más caro mirar hacia otro lado. Entender el coste real de la ciberseguridad implica asumir que proteger sistemas, datos y procesos no es un gasto accesorio, sino una pieza central del modelo de negocio; cuanto antes lo interioricen las empresas, menos pagarán el peaje de la inacción cuando llegue el próximo ataque.

Artículo relacionado:

Plantilla resiliente para CISO: guía práctica para liderar la ciberseguridad