Skip to main content
Opens in a new tab External site

November 2023 / 5 Min Read

Ataque cibernético o filtración de datos

 

Los ataques cibernéticos o filtraciones de datos son el riesgo número uno que enfrentan las organizaciones a nivel mundial; se predice que se mantendrán en esta posición en 2026.

 

¿Qué es un ataque cibernético o una filtración de datos?

Las amenazas cibernéticas, los ataques cibernéticos y las filtraciones de datos son riesgos diferentes, pero estrechamente relacionados:

  1. Una amenaza cibernética es una posibilidad de que se pueda producir un tipo específico de ataque o daño.
  2. Un ataque cibernético (o evento cibernético) es un intento malicioso de comprometer un sistema.
  3. Una filtración de datos puede resultar de un ataque cibernético exitoso que expone información confidencial, sensible o de propiedad exclusiva a una persona no autorizada. Se puede acceder a los archivos y otra información involucrada en una filtración de datos, verlos y compartirlos sin permiso.

¿Por qué es un ataque cibernético o una filtración de datos un riesgo principal para las organizaciones hoy?

Las amenazas cibernéticas y los ataques de ransomware se han vuelto más frecuentes, sofisticados y graves en los últimos cuatro años, con impactos que van desde daño financiero y a la reputación hasta operaciones críticas que se ven comprometidas.

Después de alcanzar el máximo en 2021, la cantidad de ataques con ransomware disminuyó en 2022; en un período de disminución del financiamiento y la actividad entre los agentes de amenazas, junto con una mitigación del riesgo mejorada (lo que incluye un aseguramiento de ciberseguros más riguroso). Desafortunadamente, los ataques con ransomware aumentaron un 176 % en la primera mitad de 2023, lo que indica la necesidad de mantenerse alerta para manejar esta amenaza por medio de estrategias como las evaluaciones de riesgo focalizadas, la inversión en controles y seguros adecuados.

Abordar los eventos cibernéticos y recuperarse de ellos se ha vuelto cada vez más complejo y seguirá siéndolo. Los eventos cibernéticos pueden tener un impacto en todas las áreas de la organización y los organismos reguladores están endureciendo los requisitos de seguridad cibernética; por lo tanto, la resiliencia cibernética es un tema clave de discusión en las salas de juntas de todo el mundo. Las organizaciones deben bloquear y responder constantemente a las amenazas, parchar los sistemas vulnerables y evaluar los puntos de conexión en pilas de tecnología altamente integradas, mientras mantienen información actualizada sobre los impactos potenciales de las amenazas emergentes y los requisitos regulatorios cambiantes, que puede imponer directrices rígidas. El uso de inteligencia artificial (IA) para la creación de malware y ataques cibernéticos es un área de especial y creciente preocupación.

Además del aumento de las amenazas emergentes, no se puede subestimar el vínculo entre los empleados individuales y los riesgos de seguridad cibernética organizativa. La mitad de los asuntos de investigación forense digital y respuesta a incidentes (DFIR) que manejó Aon en 2022 estaban relacionados con ingeniería social y phishing. Según el Informe sobre Resiliencia Cibernética 2023 de Aon, más de la mitad de los eventos cibernéticos serán causados por factores humanos en 2025. Otro informe de 2023 observó un elemento humano en 74 % de todas las infracciones, desde errores humanos simples e ingeniería social hasta mal uso de privilegios y credenciales robadas.1 Estas acciones exponen a los empleadores a una amplia gama de riesgos potenciales, entre los que se incluyen la pérdida de propiedad intelectual, medidas reglamentarias punitivas y daño a la reputación.

El costo de una filtración de datos de una sola empresa subió a un máximo histórico de casi $4,5 millones entre las empresas que experimentaron infracciones entre marzo de 2022 y marzo de 2023. El costo por violación fue incluso mayor (aproximadamente $5,4 millones) para las empresas que informaron no usar IA y automatización como parte de sus esfuerzos de seguridad. Y el 67 % de las infracciones de datos entre empresas encuestadas fueron descubiertas por un tercero externo o divulgadas por el atacante.2 Los resultados de nuestra propia encuesta reflejan esta realidad sombría: uno de cada cinco encuestados informó que sus organizaciones habían perdido ingresos por ataques cibernéticos e infracciones de datos en los últimos 12 meses.

Explorar los resultados globales

Las empresas están lidiando con los riesgos tradicionales bajo nuevas formas tanto en el riesgo como en el capital humano. ¿Cómo pueden los líderes empresariales priorizarlos y responderles mejor?

Ver informe global

Pérdidas y preparación

Poco menos de una quinta parte de los encuestados sufrió una pérdida por un ataque cibernético o una filtración de datos, y nueve de cada diez indicaron que tienen planes implementados para responder al riesgo.

18%

de los encuestados indicó que este riesgo contribuyó a una pérdida para su organización en los 12 meses previos a la encuesta.

89%

de los encuestados afirmó que sus organizaciones habían establecido un plan para responder al riesgo.

¿Cómo pueden las organizaciones mitigar el impacto de un ataque cibernético o una filtración de datos?

Explorar el camino hacia la resiliencia cibernética y, finalmente, la resiliencia operativa, es un desafío. Pero las estrategias de resiliencia prospectivas son esenciales para ayudar a minimizar los riesgos financieros, operativos y de reputación. Cada viaje cibernético de resiliencia requiere un enfoque holístico y proactivo que combine identificación, evaluación y mitigación de riesgos, preparación y recuperación de respuestas y mecanismos de transferencia de riesgo.

Identificar y evaluar el riesgo cibernético. Las organizaciones deben recopilar y examinar datos y percepciones para comprender el rango completo de impactos, tanto de ciberseguridad como de exposiciones, incluso cómo los controles de seguridad afectan las exposiciones del balance general. Estos hallazgos pueden informar las decisiones estratégicas de los líderes acerca de cómo evitar, mitigar o transferir el riesgo cibernético, en línea con la misión y los objetivos generales de la organización.

Mitigar el riesgo cibernético. Un aspecto crítico de cualquier viaje cibernético de resiliencia es probar y actualizar los planes de continuidad comercial y recuperación de desastres basados en cambios en las herramientas, tecnologías y procedimientos, además de las operaciones comerciales actuales.

Para ayudar a mitigar las amenazas cibernéticas y prepararse para una suscripción de seguros más rigurosa, los equipos de seguridad y tecnología de las organizaciones deben evaluar constantemente las amenazas en evolución y ofrecer evidencia cuantificable de la eficacia de los controles actuales a las aseguradoras y el mercado. Los equipos deben centrarse en los controles de seguridad que mitigan los ataques de ransomware, especialmente los controles que son una parte crítica del proceso de aseguramiento. Alinearse con los estándares de control de mejores prácticas, como los del National Institute of Standards and Technology (NIST) o el Center for Internet Security (CIS), puede ayudar a las organizaciones a reforzar la seguridad cibernética mientras apoyan el cumplimiento de los requisitos normativos en evolución. La cuantificación periódica del riesgo y el mapeo térmico basado en el riesgo son otras formas de ayudar a garantizar que cualquier compra de seguro retenga su valor como parte de la estrategia general de la empresa para mitigar el riesgo cibernético, mientras se presentan situaciones y ataques, los análisis de ruta ayudan a identificar los dominios de seguridad y controles centrales con la mayor capacidad de mitigar el daño de un incidente cibernético.

La capacitación de defensa cibernética en toda la organización es un componente crítico para mitigar los riesgos. La importancia de cumplir con las medidas de ciberseguridad se debe comunicar claramente desde los niveles superiores de la organización y reforzar con mensajes regulares, capacitación y apoyo. Establecer una cultura cibernética sólida puede ser una de las mejores formas de ayudar a mitigar los riesgos cibernéticos. Esta depende de generar conciencia en los empleados a nivel individual para que todos comprendan las políticas y estrategias de la organización y el rol que cada persona desempeña en sostenerlas y fomentarlas.

Finalmente, aunque proporcionar a los empleados las prácticas recomendadas para evitar caer en actos fraudulentos es imperativo, apoyar el bienestar de los empleados también es vital. Los empleados estresados y no comprometidos suelen ser más propensos a cometer errores o eludir deliberadamente las medidas de seguridad cibernética. Y el estrés de los empleados sigue siendo alto. Por ejemplo, un tercio de los encuestados de la Encuesta de bienestar en el lugar de trabajo 2023 de la American Psychological Association expresaron su temor de que la IA volviera obsoletas sus tareas o roles. Es más, la mitad de los encuestados que expresaron miedo acerca de la IA informaron signos de agotamiento, como irritabilidad y falta de motivación.

Preparación de recuperación y respuesta a incidentes cibernéticos. Recuperarse de un incidente cibernético suele ser un proceso complejo y prolongado. Prepararse con anticipación puede permitir que las organizaciones inicien este proceso mucho más rápidamente y con mayor éxito. Se deben realizar esfuerzos de investigación, contención y respuesta a incidentes, además de una evaluación de impactos financieros y operativos, lo que incluye demandas de seguros y terceros. Con una planificación avanzada, estos esfuerzos se pueden medir y alinear con los objetivos de la organización, mientras ayudan a agilizar el procesamiento de demandas y trabajan para lograr la neutralidad de flujo de efectivo.

Transferir riesgo cibernético. Cuando una organización haya cuantificado el máximo de pérdidas cibernéticas posibles, podrá evaluar y adaptar periódicamente sus estrategias de aceptación y transferencia de riesgos cibernéticos con comentarios informados de todas las partes interesadas. La transferencia de riesgo es importante para entregar resiliencia financiera y las opciones de transferencia no se limitan a la colocación tradicional de seguros; el seguro cautivo y el capital alternativo también son enfoques viables para apoyar la protección de la hoja de balance.

=
Los ataques cibernéticos o filtraciones de datos siguen siendo el riesgo número uno para las organizaciones en la actualidad, el mismo rango que tuvo en nuestra encuesta anterior.

Fuente: Encuesta Global de Gestión de Riesgos 2023 de Aon

 
 

1 Informe de investigación de filtración de datos 2023, Verizon, 2023.
2 Informe del Costo de una violación de datos 2023, IBM Security, Julio de 2023.

Aviso de responsabilidad

El presente documento no pretende abordar situaciones específicas ni proporcionar asesoramiento jurídico, regulatorio, financiero o de ningún otro tipo. Aunque se ha puesto especial cuidado en la elaboración de este documento, Aon no asegura, respalda ni garantiza la exactitud, adecuación, exhaustividad o idoneidad para cualquier propósito del documento, en todo o en parte, y no asume responsabilidad alguna por cualquier pérdida derivada de su contenido. Cada destinatario será responsable del uso que haga de este documento, que ha sido elaborado con la información disponible a la fecha de su publicación y está sujeto a las salvedades indicadas.

Condiciones de uso

El contenido del presente documento no podrá reproducirse, reutilizarse, volver a imprimirse ni redistribuirse sin el consentimiento expreso y por escrito de Aon, a menos que Aon autorice lo contrario. Para utilizar la información aquí contenida, póngase en contacto por escrito con nuestro equipo.

General Disclaimer
The information contained herein and the statements expressed are of a general nature and are not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information and use sources we consider reliable, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.

Terms of Use
The contents herein may not be reproduced, reused, reprinted or redistributed without the expressed written consent of Aon, unless otherwise authorized by Aon. To use information contained herein, please write to our team.