IBM (NYSE: IBM) Security ha publicado su informe anual Cost of a Data Breach Report, que revela que el coste medio global de una vulneración de datos ha ascendido a 4,45 millones de dólares en 2023, lo que supone un máximo histórico desde que se realiza este informe y, más concretamente, un crecimiento del 15% en los últimos 3 años. Asimismo, los costes derivados de la detección y el escalado aumentaron un 42% en el mismo periodo, lo que representa la mayor parte de los costes generados por las vulneraciones de datos e indica que se ha producido un cambio hacia investigaciones de ataques más complejos.
De acuerdo con la edición de 2023 de este informe de IBM, las empresas se encuentran divididas en cómo manejar el aumento del coste y de la frecuencia de las vulneraciones de datos. El estudio muestra que el 95% de las organizaciones analizadas ha sufrido más de una vulneración y es más probable que dichas organizaciones repercutan los costes derivados del incidente en los consumidores (57%) que aumenten sus inversiones en seguridad (51%).
El informe Cost of a Data Breach 2023 se basa en un análisis en profundidad de las vulneraciones de datos experimentadas por 553 organizaciones a nivel mundial entre marzo de 2022 y marzo de 2023. La investigación, patrocinada y analizada por IBM Security, fue realizada por Ponemon Institute y se ha publicado durante 18 años consecutivos. Algunas de las principales conclusiones de la edición de 2023 son:
- La Inteligencia Artificial aumenta la rapidez: la IA y la automatización tuvieron el mayor impacto en la velocidad de identificación y contención de las vulneraciones en las organizaciones estudiadas. Aquellas con un uso extensivo de la IA y la automatización experimentaron un ciclo de vida de la vulneración de datos 108 días más corto en comparación con las que no han desplegado dichas tecnologías (214 días frente a 322 días).
- El coste del silencio: las víctimas de ransomware del estudio que recurrieron a las fuerzas de seguridad ahorraron de media 470.000 dólares en los costes de una vulneración en comparación con aquellas que decidieron no hacerlo. A pesar de este ahorro potencial, el 37% de las víctimas de ransomware estudiadas no implicó a las fuerzas de seguridad en la confrontación del ataque.
- Lagunas en la captación de detección: sólo en un tercio de los casos estudiados el propio equipo de seguridad de las empresas detectó la vulneración, frente al 27% que fueron divulgadas por los atacantes. Las vulneraciones de datos comunicadas por los propios ciberdelincuentes supusieron un coste medio de casi un millón de dólares más en comparación con aquellos casos en los que fueron las organizaciones las que detectaron por sí mismas la vulneración.
Cada segundo cuesta
Según el Cost of a Data Breach de 2023, las organizaciones estudiadas que desplegaron completamente la IA y la automatización en sus sistemas de seguridad vieron reducidos los ciclos de vida de las vulneraciones en 108 días de media y experimentaron costes significativamente más bajos en comparación con aquellas que no lo hicieron. De hecho, aquellas empresas que desplegaron ampliamente la IA y la automatización en sus sistemas de seguridad tuvieron de media casi 1,8 millones de dólares menos en costes derivados de la vulneración de datos —el mayor ahorro de costes identificado en el informe— que aquellas otras que no llevaron a cabo dicho despliegue.
Al mismo tiempo, los agresores han reducido el tiempo medio para completar un ataque de ransomware. Teniendo en cuenta que casi un 40% de las empresas estudiadas aún no han desplegado la IA y la automatización en sus sistemas de seguridad, existe una oportunidad considerable para que dichas organizaciones aumenten su velocidad de detección y respuesta.
‘Código de descuento' contra el ransomware
Algunas de las organizaciones analizadas siguen mostrándose reticentes a involucrar a las fuerzas de seguridad durante un ataque de ransomware debido a la percepción de que eso sólo complicaría la situación. Por primera vez, la edición 2023 del informe Cost of a Data Breach de IBM ha analizado más de cerca esta cuestión y ha encontrado pruebas de lo contrario: las organizaciones que no recurrieron a las fuerzas de seguridad experimentaron ciclos de vida de las vulneraciones 33 días más largos de media que aquellas que sí lo hicieron. Y ese silencio tuvo un precio.: las víctimas de ransomware que no recurrieron a las fuerzas de seguridad pagaron una media de 470.000 dólares más que las que sí lo hicieron.
A pesar de los esfuerzos continuos de las fuerzas de seguridad por colaborar con las víctimas de ransomware, el 37% de los consultados optó por no recurrir a ellas. Además, casi la mitad (47%) de las víctimas de ransomware estudiadas pagó el rescate. Resulta evidente que las organizaciones deben abandonar estos prejuicios en torno al ransomware. Pagar un rescate y evitar el contacto con las fuerzas de seguridad sólo puede suponer un aumento en los costes derivados de la vulneración y ralentizar la respuesta.
Los equipos de seguridad apenas descubren las vulneraciones por sí mismos
La detección y respuesta a las amenazas ha experimentado algunos avances. Según el X-Force Threat Intelligence Index de 2023 de IBM Security, los responsables de seguridad fueron capaces de detener una mayor proporción de ataques de ransomware en 2022. Sin embargo, los ciberdelincuentes siguen encontrando formas de colarse por las grietas de los sistemas de seguridad. De acuerdo con el Cost of a Data Breach Report de 2023, sólo una de cada tres vulneraciones estudiadas fue detectada por los propios equipos o herramientas de seguridad de las organizaciones, mientras que el 27% fueron reveladas por los atacantes y el 40% por un tercero neutral, como las fuerzas de seguridad.
Las organizaciones que respondieron y que descubrieron la filtración por sí mismas afrontaron costes derivados de la vulneración de casi un millón de dólares menos que aquellas que fueron reveladas por los atacantes (5,23 millones de dólares frente a 4,3 millones). Los casos en que los ataques fueron revelados por los propios ciberdelincuentes también tuvieron un ciclo de vida casi 80 días más largo (320 frente a 241) en comparación con aquellos que se detectaron de forma interna. El importante ahorro de tiempo y costes que supone la detección temprana demuestra que invertir en estas estrategias puede ser rentable a largo plazo.
El informe Cost of a Data Breach de 2023 también arroja otras conclusiones:
- Vulneración de datos en múltiples entornos: casi el 40 % de las vulneraciones de datos estudiadas resultó en la pérdida de datos en múltiples entornos, incluyendo nube pública, nube privada y on-prem, lo que demuestra que los atacantes fueron capaces de comprometer varios entornos sin ser detectados. Las vulneraciones de datos estudiadas que afectaron a múltiples entornos también provocaron costes más elevados (4,75 millones de dólares de media).
- El coste de las vulneraciones en el sector sanitario sigue aumentando: el coste medio de una vulneración en el sector sanitario alcanzó casi los 11 millones de dólares en 2023, lo que supone un aumento del 53 % desde 2020. Los ciberdelincuentes han comenzado a hacer que los datos robados sean más accesibles para las víctimas colaterales, según el X-Force Threat Intelligence Index de 2023 de IBM Security. Con los registros médicos como palanca, los ciberdelincuentes amplifican la presión sobre las organizaciones vulneradas para que paguen un rescate. De hecho, en todos los sectores estudiados la información de identificación personal de los clientes fue el tipo de registro más vulnerado y el que derivó en mayores costes.
- La ventaja de DevSecOps: a nivel global, las organizaciones analizadas de todos los sectores con un alto nivel de DevSecOps tuvieron un coste medio de una vulneración de datos casi 1,7 millones de dólares inferior al de aquellas con un nivel bajo o sin uso de un sistema DevSecOps.
- Los costes de las vulneraciones en infraestructuras críticas superan los 5 millones de dólares: las infraestructuras críticas estudiadas experimentaron un aumento del 4,5% en los costes medios de una vulneración de datos en comparación con la edición del Cost of a Data Breach de 2022, pasando de 4,82 millones de dólares a 5,04 millones de dólares, lo que supone 590.000 dólares más que la media mundial.
