Una amenaza cibernética es la posibilidad de que ocurra un tipo específico de ataque, daño o perjuicio.
Un ataque cibernético (o evento cibernético) es el intento de un actor malicioso de comprometer un sistema.

Una violación de datos puede resultar de un ataque cibernético exitoso que expone información confidencial, sensible o patentada a una persona no autorizada. Los archivos y otra información involucrados en una violación de datos pueden ser accedidos, visualizados y compartidos sin permiso.

 ¿Por qué un Ataque Cibernético o Violación de Datos es un Riesgo Principal para las Organizaciones Hoy en Día?
Las amenazas cibernéticas y los ataques de secuestro de datos se han vuelto más frecuentes, sofisticados y graves en los últimos cuatro años, con impactos que van desde daños reputacionales y financieros hasta la compromisión de operaciones críticas.

Después de alcanzar su punto máximo en 2021, el número de ataques de secuestro de datos disminuyó en 2022 en medio de un período de menor financiamiento y actividad entre los actores de amenazas, junto con una mejor mitigación de riesgos (incluida una suscripción más rigurosa de seguros cibernéticos). Desafortunadamente, los ataques de secuestro de datos aumentaron un 176 por ciento en la primera mitad de 2023, señalando la necesidad de permanecer alerta en la gestión de esta amenaza a través de estrategias como evaluaciones de riesgos enfocadas, inversión en controles apropiados y seguros.

Abordar y recuperarse de eventos cibernéticos se ha vuelto cada vez más complejo y seguirá siéndolo. Los eventos cibernéticos pueden afectar todas las áreas de una organización, y los organismos reguladores están fortaleciendo los requisitos de ciberseguridad; como consecuencia, la resiliencia cibernética es un tema clave de discusión en las salas de juntas de todo el mundo. Las organizaciones deben bloquear y responder continuamente a las amenazas, parchar sistemas vulnerables y evaluar puntos de conexión en pilas tecnológicas altamente integradas, todo mientras mantienen información actualizada sobre posibles impactos de amenazas emergentes y requisitos regulatorios cambiantes, que pueden imponer pautas rígidas. El uso de inteligencia artificial (IA) para ataques cibernéticos y la creación de malware es un área de particular preocupación sustancial y creciente.

Además del aumento de amenazas emergentes, no se puede subestimar el vínculo entre los empleados individuales y los riesgos de ciberseguridad organizativos. La mitad de los asuntos de respuesta a incidentes y forenses digitales (DFIR, por sus siglas en inglés) manejados por Aon en 2022 estaban relacionados con ingeniería social y phishing. Según el Informe de Resiliencia Cibernética de Aon 2023, más de la mitad de los eventos cibernéticos serán causados por factores humanos para 2025. Otro informe de 2023 señaló un elemento humano en el 74 por ciento de todas las brechas, desde simples errores humanos e ingeniería social hasta el mal uso de privilegios y credenciales robadas. Estas acciones exponen a los empleadores a una serie de otros riesgos potenciales, incluida la pérdida de propiedad intelectual, acciones regulatorias punitivas y daño reputacional.

El costo de una sola violación de datos empresarial alcanzó un máximo histórico de casi $4.5 millones entre las empresas que experimentaron brechas desde marzo de 2022 hasta marzo de 2023. El costo por violación fue aún mayor (aproximadamente $5.4 millones) para las empresas que informaron que no utilizaban inteligencia artificial y automatización como parte de sus esfuerzos de seguridad. Además, el 67 por ciento de las violaciones de datos entre las empresas encuestadas fueron descubiertas por un tercero externo o divulgadas por el atacante. Nuestros propios resultados de la encuesta reflejan esta dura realidad: Uno de cada cinco encuestados informó que sus organizaciones habían perdido ingresos debido a ataques cibernéticos y violaciones de datos en los últimos 12 meses.


Pérdidas y Preparación
Un poco menos de la quinta parte de los encuestados sufrió pérdidas debido a un ataque cibernético o violación de datos, y nueve de cada diez indicaron que tienen planes establecidos para responder al riesgo.

18% de los encuestados indicaron que este riesgo contribuyó a una pérdida para su organización en los 12 meses previos a la encuesta.

89% de los encuestados afirmaron que sus organizaciones han establecido un plan para responder al riesgo.

Fuente: Encuesta de Gestión de Riesgos Globales 2023 de Aon.