En los últimos cinco años, los ataques cibernéticos prácticamente se han duplicado y, según datos del Foro Económico Mundial1, han causado un coste estimado de 90 billones de dólares estadounidenses. En efecto, el ritmo y la escala a la que se están implementando las nuevas tecnologías en los diferentes sectores están ampliando la superficie de ciberataque que los actores malintencionados pueden aprovechar. Esta tendencia no hará sino acentuarse a medida que se acelera la realización de pruebas y proyectos piloto para la implementación de la tecnología 5G.

Los ataques cibernéticos dirigidos tanto a empresas como a Gobiernos incluyen, entre otros, la vulneración de la privacidad y la confidencialidad, el robo oneroso de información, la puesta en peligro de la integridad de los sistemas y la accesibilidad y, por último, la destrucción de datos. Además, a pesar de que los ciberataques están incrementando su frecuencia y nivel de sofisticación a un ritmo alarmante, parece que las empresas no están invirtiendo lo suficiente en la gestión de los riesgos cibernéticos. De hecho, uno de los dos principales retos que mencionan los responsables de la seguridad de la información (en inglés, CISO) es la falta de recursos.

Este informe del equipo de Inversión Responsable destaca por qué consideramos que la ciberseguridad constituye un factor de riesgo ASG cada vez más presente en los diferentes sectores y reflexionamos sobre cuáles son, a nuestros ojos, las principales implicaciones financieras de los incidentes de ciberseguridad para las empresas. Además, puntuamos la exposición de cada sector a las amenazas cibernéticas y brindamos nuestra opinión sobre aquellos que presentan un riesgo elevado.

En el marco de nuestra práctica de compromiso con los criterios ASG, hemos desarrollado un enfoque para incorporar las mejores prácticas en materia de identificación de amenazas cibernéticas, gobernanza, conocimiento del contexto e implementación de medidas de ciberseguridad. Proponemos un cuestionario como herramienta para ayudar a establecer una referencia del grado de ciberresiliencia de las empresas y esbozamos nuestras expectativas sobre las mejores prácticas que las empresas pueden adoptar para expresar su nivel de preparación en el plano de la ciberseguridad.

 

Ataques cibernéticos de gran envergadura: algunas lecciones aprendidas sobre las implicaciones financieras para las empresas

En vista de que la identificación, evaluación y eliminación de los ciberataques puede llevar un tiempo considerable y traducirse en pérdidas operativas, el coste para las empresas sigue orientándose al alza. Ello queda reflejado en algunos de los ataques con ransomware de mayor envergadura de la historia, por ejemplo, el de NotPetya. El ataque con el ransomware NotPetya se propagó desde los servidores ucranianos en 2017 a multinacionales de gran envergadura, lo que provocó pérdidas que superaban en total los 10.000 millones de dólares estadounidenses2 en concepto de daños a las empresas y afectó a ordenadores de todo el mundo. Infectó a empresas en numerosos sectores, desde proveedores de servicios médicos a destacadas empresas logísticas (A.P. Møller-Maersk), e interrumpió sus operaciones durante más de diez días3.

Marriott es otra gran empresa que ha sido víctima de un importante ataque con ransomware. El 8 de septiembre de 2018, una herramienta de seguridad interna detectó un intento sospechoso de acceder a la base de datos interna de reservas de huéspedes de las marcas Starwood, propiedad de Marriott. Ello dio pie a una investigación interna que determinó que la red Starwood, que Marriott adquirió en 2016, se había visto afectada en algún momento de 2014. Según los informes, en el momento del ataque, los hoteles que antes operaban bajo la marca Starwood no habían migrado al sistema de reservas de Marriott y seguían utilizando la infraestructura de TI heredada de Starwood. En su investigación, Marriott encontró datos que mostraban que los atacantes habían encriptado y tratado de sustraer (probablemente con éxito) datos personales de los sistemas de Starwood. Marriott logró descifrar los datos y descubrió que contenían información de las fichas de hasta 500 millones de huéspedes, muchas de las cuales incluían información sumamente sensible, como los datos de los pasaportes y de las tarjetas de crédito.

Para Marriott, el incidente con el ransomware tuvo graves implicaciones financieras. En julio de 2019, el Reino Unido impuso a la compañía una multa de 126 millones de dólares estadounidenses en virtud del Reglamento General de Protección de Datos (RGPD). En sus resultados del segundo trimestre de 2019, los beneficios de la empresa cayeron un 65% hasta los 232.000 millones de dólares estadounidenses o 69 céntimos por acción4. La cadena hotelera también recibió una multa de 1,5 millones de liras (en torno a 265.000 dólares) por parte de las autoridades turcas de protección de datos (que no están sujetas a la legislación del RGPD) debido a este incidente, lo que evidencia cómo una vulneración de la seguridad puede conllevar varias multas a escala mundial. Por último, en marzo de 2019, se le impuso una multa de 28 millones de dólares estadounidenses (que tan solo redujo los beneficios de la empresa en 3 millones de dólares, dado que Marriott contaba con un seguro frente a ataques cibernéticos).

La vulneración de la seguridad de Marriott se hizo pública el 30 de noviembre de 2018. En el mes siguiente a la publicación de la noticia, la cotización de Marriott se desplomó un 17%, si bien ello se produjo en un contexto caracterizado por un mes de diciembre volátil y por la elevada rentabilidad que registró la cadena hotelera en 20175.

Los análisis empíricos del mercado muestran que los inversores penalizan a las empresas que sufren filtraciones de datos. Ello debería constituir un importante incentivo para que las empresas se centren en adoptar medidas de ciberseguridad más eficientes. Un estudio reciente sobre empresas cotizadas en la Bolsa de Nueva York (NYSE) que experimentaron la filtración de al menos un millón de sus registros de forma pública mostró que sus cotizaciones marcaron mínimos aproximadamente dos semanas después de que la noticia del incidente se diese a conocer, con una caída media del 7,27%, y registraron una rentabilidad un -4,18% inferior a la del NASDAQ6. El mismo estudio reveló que, aunque la repercusión de la filtración sobre la cotización disminuía con el tiempo, las acciones de estas empresas se situaban a la zaga del mercado (en un intervalo de uno o dos años)

Incidencia del riesgo cibernético en la generación de valor: medidas para calcular los efectos sobre los costes y los ingresos

En vista de que predecir cuándo se producirán incidentes cibernéticos concretos resulta prácticamente imposible, asignar un precio al riesgo cibernético constituye todo un reto. Además, un estudio elaborado recientemente por Deloitte sugirió que las aseguradoras se muestran indecisas a la hora de suscribir pólizas de riesgo cibernético debido a los retos que plantea la modelización financiera de un área en constante evolución a medida que surgen periódicamente nuevas amenazas y tipos de ataque7. Dicho esto, los ataques cibernéticos de elevada complejidad también se han traducido en la suscripción de pólizas más sofisticadas y, de hecho, los proveedores de seguros para el ámbito cibernético indican que, en los últimos tres o cuatro años, los datos para elaborar modelos basados en supuestos son cada vez más homogéneos entre los principales proveedores de seguros cibernéticos8.

En un estudio de 2019 sobre las 2.000 empresas más destacadas a escala internacional, Accenture reveló que, en 2017, el coste medio global de un delito informático era de 11,7 millones de dólares estadounidenses por empresa. No obstante, el coste medio, junto con el número de vulneraciones, se ha incrementado en 1,3 millones de dólares estadounidenses en términos interanuales9. En el caso de las empresas de pequeña y mediana capitalización, que disponen de menos recursos para asignar a las áreas de TI y ciberresiliencia operativa, el coste podría ser aún más elevado. Sin embargo, existe una divulgación limitada de los costes de los incidentes o de la especificidad de los costes de cada incidente (por ejemplo, el tiempo de inactividad o el gasto necesario en ciberseguridad). Por tanto, en este informe no tratamos de realizar una estimación de los costes.

En su lugar, hemos identificado los sectores en los que la generación de valor se encuentra más expuesta a los incidentes cibernéticos. Nos centramos en algunos de los sectores más vulnerables y estimamos qué parte del negocio de una empresa podría correr más riesgo.

Para evitar entrar en especificidades tecnológicas, nuestra puntuación contempla únicamente los sectores que presentan un riesgo elevado. De cara a atribuir una puntuación sectorial, calificamos los sectores en función de tres grupos de indicadores: potencial de daños (a bienes, a personas, al medio ambiente o disrupciones), tipo de carencia del sistema (falta de conocimiento, experiencia o comunicación) y exposición (modelo de negocio delicado, almacenamiento de datos valiosos o sensibles). En el caso de las calificaciones sectoriales según el primer y tercer grupo de indicadores, analizamos los modelos operativos de los sectores en cuestión para identificar las repercusiones pertinentes. El segundo grupo de indicadores abarca las posibles deficiencias en las prácticas empresariales: grado de preparación y gobernanza, antigüedad de los sistemas, conocimiento, experiencia y comunicación.

Para asignar una calificación de acuerdo con este grupo, analizamos aproximadamente treinta publicaciones comerciales, informes de conferencias de responsables de la seguridad de la información (CISO) y estudios de consultoras para comprender los problemas sistémicos más comunes en un sector determinado. Otra vertiente de la exposición consiste en determinar si el modelo empresarial se estructura en torno a los datos o si los datos que las compañías del sector en cuestión suelen almacenar son especialmente sensibles o valiosos. En pocas palabras: puntuamos las empresas atendiendo a si disponen de una política adecuada de gobernanza del riesgo cibernético, si sus sistemas están actualizados, si tienen acceso a los conocimientos necesarios y si las diferentes áreas de la compañía se comunican lo suficiente entre ellas como para integrar soluciones de seguridad de forma efectiva.

Los sectores más expuestos pertenecen principalmente a dos grupos: el industrial y el manufacturero. Ambos obtienen unas puntuaciones de medias a altas en términos de exposición, pero se ven lastrados por la falta de inversión en sistemas y conocimientos.

Los sistemas en los sectores de ocio y de restauración suelen carecer en gran medida de la sofisticación necesaria para satisfacer las demandas de tratamiento de los datos sensibles sobre clientes que gestionan.

Contexto sobre nuestras expectativas para las empresas

Puesto que resulta imposible blindarse frente a los ciberataques, las empresas deberían tratar de estar lo suficientemente preparadas para responder ante posibles incidentes que impliquen una vulneración de los sistemas informáticos.

Una de las medidas centrales debería ser lograr tener una comprensión clara de qué componentes del modelo empresarial (ingresos) están más expuestos a los riesgos cibernéticos de gran relevancia. Como hemos mencionado anteriormente, un incidente podría conllevar la interrupción de las operaciones durante varios días, lo que se traduciría de inmediato en la pérdida de ingresos comprometidos por contrato. Tomemos como ejemplo el sector de telecomunicaciones, que suele estar mejor preparado en comparación con los casos de alto riesgo que hemos analizado antes. Una gran empresa de telecomunicaciones podría obtener en torno a un 20% o 30% de sus ingresos totales de la prestación de servicios empresariales, y que los ingresos derivados de los negocios que gestiona estén sujetos a acuerdos de nivel de servicio con empresas clientes. Los clientes podrían exigir el cumplimiento de estos acuerdos en caso de que se produzca una vulneración, por lo que la responsabilidad recaería sobre el proveedor del servicio. Por citar otro ejemplo, las empresas digitales —cuyo producto principal es el código fuente— no podrían comercializar su producto en caso de que tenga lugar una vulneración del código, lo que se traduciría en unas pérdidas de ingresos aún mayores.

Otra de las principales preocupaciones expresada por los CISO es que, por lo general, las empresas no invierten lo suficiente en la preparación para afrontar incidentes cibernéticos. Según un estudio de IBM10, las empresas deberían invertir, preferiblemente, un 14% de su presupuesto de TI en ciberseguridad, pero si analizamos los promedios sectoriales en el contexto de los ingresos obtenidos en 2018, resulta evidente que las empresas no están invirtiendo lo suficiente en este aspecto (por ejemplo, las firmas de TI invierten el 3,73% de sus ingresos). Para las compañías, divulgar públicamente su presupuesto de ciberseguridad resulta complicado, pero creemos que los inversores deben solicitar información detallada.