IBM ha dado a conocer su informe anual Cost of a Data Breach Report, que revela que el coste medio global de una vulneración de datos asciendo a 4,45 millones de dólares (unos 4 millones de euros) en 2023, lo que supone un máximo histórico desde que se realiza este informe y, más concretamente, un crecimiento del 15% en los últimos tres años.
Asimismo, los costes derivados de la detección y el escalado aumentaron un 42% en el mismo periodo, lo que representa la mayor parte de los costes generados por las vulneraciones de datos e indica que se ha producido un cambio hacia investigaciones de ataques más complejos.
Las empresas se encuentran divididas sobre cómo manejar el aumento del coste y de la frecuencia de las vulneraciones de datos. El estudio muestra que el 95% de las organizaciones analizadas ha sufrido más de una vulneración y es más probable que dichas organizaciones repercutan los costes derivados del incidente en los consumidores (57%).
El informe Cost of a Data Breach 2023 se basa en un análisis en profundidad de las vulneraciones de datos experimentadas por 553 organizaciones a nivel mundial entre marzo de 2022 y marzo de 2023. La investigación fue realizada por Ponemon Institute y se ha publicado durante 18 años consecutivos. Algunas de las principales conclusiones de la edición de 2023 son:
- La Inteligencia artificial aumenta la rapidez: la IA y la automatización tuvieron el mayor impacto en la velocidad de identificación y contención de las vulneraciones en las organizaciones estudiadas. Aquellas con un uso extensivo de la IA y la automatización experimentaron un ciclo de vida de la vulneración de datos 108 días más corto en comparación con las que no han desplegado dichas tecnologías (214 días frente a 322 días).
- El coste del silencio: las víctimas de ransomware del estudio que recurrieron a las fuerzas de seguridad ahorraron de media 470.000 dólares en los costes de una vulneración en comparación con aquellas que decidieron no hacerlo. A pesar de este ahorro potencial, el 37% de las víctimas de ransomware estudiadas no implicó a las fuerzas de seguridad en la confrontación del ataque.
- Lagunas en la captación de detección: sólo en un tercio de los casos estudiados el propio equipo de seguridad de las empresas detectó la vulneración, frente al 27% que fueron divulgadas por los atacantes. Las vulneraciones de datos comunicadas por los propios ciberdelincuentes supusieron un coste medio de casi un millón de dólares más en comparación con aquellos casos en los que fueron las organizaciones las que detectaron por sí mismas la vulneración.
“El tiempo es la nueva moneda de cambio en ciberseguridad, tanto para los responsables de seguridad como para los atacantes. Como muestra el informe, la detección temprana y la respuesta rápida pueden reducir significativamente el impacto de una vulneración”, explica Chris McCurdy, general manager de IBM Security Services en todo el mundo. “Los equipos de seguridad deben centrarse allí donde los agresores tienen más éxito y concentrar sus esfuerzos en detenerlos antes de que logren sus objetivos. Las inversiones en métodos de detección y respuesta a amenazas que aceleran la velocidad y la eficiencia de los responsables de seguridad, como la IA y la automatización, resultan cruciales para modificar este desequilibrio”.
Índice de temas
Cada segundo cuesta
Según el Cost of a Data Breach de 2023, las organizaciones estudiadas que desplegaron completamente la IA y la automatización en sus sistemas de seguridad vieron reducidos los ciclos de vida de las vulneraciones en 108 días de media y experimentaron costes significativamente más bajos en comparación con aquellas que no lo hicieron. De hecho, aquellas empresas que desplegaron ampliamente la IA y la automatización en sus sistemas de seguridad tuvieron de media casi 1,8 millones de dólares menos en costes derivados de la vulneración de datos —el mayor ahorro de costes identificado en el informe— que aquellas otras que no llevaron a cabo dicho despliegue.
Al mismo tiempo, los agresores han reducido el tiempo medio para completar un ataque de ransomware. Teniendo en cuenta que casi un 40% de las empresas estudiadas aún no han desplegado la IA y la automatización en sus sistemas de seguridad, existe una oportunidad considerable para que dichas organizaciones aumenten su velocidad de detección y respuesta.
‘Código de descuento’ contra el ransomware
Algunas de las organizaciones analizadas siguen mostrándose reticentes a involucrar a las fuerzas de seguridad durante un ataque de ransomware debido a la percepción de que eso sólo complicaría la situación. Por primera vez, la edición 2023 del informe Cost of a Data Breach de IBM ha analizado más de cerca esta cuestión y ha encontrado pruebas de lo contrario: las organizaciones que no recurrieron a las fuerzas de seguridad experimentaron ciclos de vida de las vulneraciones 33 días más largos de media que aquellas que sí lo hicieron. Y ese silencio tuvo un precio: las víctimas de ransomware que no recurrieron a las fuerzas de seguridad pagaron una media de 470.000 dólares más que las que sí lo hicieron.
A pesar de los esfuerzos continuos de las fuerzas de seguridad por colaborar con las víctimas de ransomware, el 37% de los consultados optó por no recurrir a ellas. Además, casi la mitad (47%) de las víctimas de ransomware estudiadas pagó el rescate. Resulta evidente que las organizaciones deben abandonar estos prejuicios en torno al ransomware. Pagar un rescate y evitar el contacto con las fuerzas de seguridad sólo puede suponer un aumento en los costes derivados de la vulneración y ralentizar la respuesta.
