Los investigadores de mercado del prestigioso Ponemon Institute han vuelto a recopilar y analizar en 2023, por encargo de IBM, un elevado número de datos sobre los costes que suponen las brechas de datos. En esta ocasión, las filtraciones de datos investigadas proceden de 16 países y de 17 sectores.
Según el informe Cost of a Data Breach Report 2023, el coste total medio de una filtración de datos ha aumentado hasta un máximo histórico de 4,45 millones de dólares, otro 2,3 % más que los 4,35 millones de dólares de 2022. En comparación con 2020 (3,86 millones de dólares) los costes medios aumentaron incluso un 15,3 %.
Por decimotercera vez consecutiva, las brechas de datos más costosas se producen en el sector sanitario, altamente regulado. En este caso, suponen un coste medio de 10,93 millones de dólares, lo que representa un 53,3 % más que en 2020.
Los equipos y herramientas internas de las empresas sólo pudieron detectar una de cada tres filtraciones de datos. En cambio, en el 67 % de los casos, la filtración fue comunicada por terceros de buena voluntad o por los propios atacantes. En este último escenario, la filtración de datos resultaba casi un millón de dólares más cara que cuando había sido descubierta internamente.
Los datos almacenados en el Cloud han sido con especial frecuencia el blanco de los ciberatacantes. El 82 % de las filtraciones de datos afectaron a datos almacenados en una nube (pública, privada o múltiple/híbrida). En el 39 % de los casos, los atacantes consiguieron acceder a múltiples entornos, lo que se tradujo en un aún más elevado coste medio de 4,75 millones de dólares.
Según el estudio, las empresas pueden ahorrar más dinero en ciberseguridad si integran las pruebas de seguridad en su desarrollo de software («DevSecOps»). Las empresas que se toman en serio este asunto gastan 1,68 millones de dólares menos que aquellas que no usan o apenas han integrado DevSecOps. También la planificación y testeo de respuesta a incidentes (IR, por sus siglas en inglés) –es decir, la reacción a las filtraciones de datos–, ofrecen un importante potencial de ahorro de 1,49 millones de dólares.
Los sistemas de seguridad complejos encarecen las filtraciones de datos. Las empresas con sistemas de nula o baja complejidad han salido mejor paradas, con filtraciones que supusieron una media de 3,84 millones de dólares. En cambio, las empresas con sistemas de seguridad complejos desembolsaron una media de 5,28 millones de dólares, lo que se traduce en un incremento del 31,6 %.
Al igual que en las ediciones anteriores del informe Cost of a Data Breach, cabe señalar lo siguiente: cuanto más tarde se descubre una brecha de datos, más cara resulta. Las filtraciones detectadas y contenidas en menos de 200 días cuestan una media de 3,93 millones de dólares, mientras que las filtraciones con un «ciclo de vida» de más de 200 días cuestan una media de 4,95 millones de dólares. Una diferencia del 23 %.
A nivel regional, las filtraciones de datos son, con diferencia, las más caras en EE.UU., donde actualmente los costes ascienden a una media de 9,48 millones de dólares (2022: 9,44 millones de dólares). A continuación se sitúa Oriente Medio, con 8,08 millones de dólares y, a cierta distancia, Canadá (5,13 millones de dólares). Alemania se sitúa en cuarto lugar, con unos costes medios de 4,67 millones de dólares, seguido por Japón e Inglaterra (4,52 millones y 4,21 millones de dólares). Francia e Italia ocupan los puestos 7º y 8º, con costes de 4,08 millones y 3,86 millones de dólares respectivamente. En Latinoamérica, que ocupa el noveno lugar, el coste medio es de 3,69 millones de dólares.
Los vectores de ataque iniciales más frecuentes fueron el phishing y el robo o uso indebido de credenciales, con un 16 % y un 15 % del total, respectivamente. El phishing, con 4,76 millones de dólares, fue también el vector de ataque con el segundo coste medio más elevado, tras los ataques por parte de «insiders» malintencionados (4,9 millones de dólares), y seguido de los ataques de Business Email Compromise (BEC) con 4,67 millones de dólares.
Sin duda, una razón más para protegerse al máximo de los ataques al canal de comunicación del correo electrónico –crítico para la empresa–. Por ejemplo, con Secure Email Platform y Email Security de Retarus. Los interesados pueden obtener más información en nuestro sitio web o directamente a través de su interlocutor local.