La mitad de las empresas del Reino Unido ha informado de un incidente cibernético o una violación de datos en los últimos 12 meses, según la Encuesta sobre violaciones de seguridad cibernética 2024 del gobierno del Reino Unido.

El informe anual, que encuestó a 2.000 empresas del Reino Unido y 1.004 organizaciones benéficas, encontró que las grandes empresas tenían más probabilidades de verse afectadas (74%), seguidas de las medianas (70%) y las pequeñas (58%).

Los mensajes de phishing fueron la causa de la mayoría de los ciberataques: el 84% para empresas y el 83% para organizaciones benéficas.

A esto le siguieron los atacantes que se hacían pasar por su organización o su personal en correos electrónicos en línea (35 % empresas, 37 % organizaciones benéficas) y ataques de malware (17 % empresas, 14 % organizaciones benéficas).

Los incidentes ocurrieron una vez al mes o con más frecuencia para el 53% de las empresas y el 45% de las organizaciones benéficas que identificaron infracciones o ataques en los 12 meses anteriores.

El estudio también calculó el costo financiero de las infracciones o ataques a las organizaciones víctimas. Estos costos a corto plazo incluían pagos externos que se realizaron cuando se estaba resolviendo la infracción, como pagos a consultores o contratistas de TI externos, y dinero pagado o robado por los atacantes.

Encontró que el costo directo medio a corto plazo de tales incidentes en los últimos 12 meses fue de £510 ($646) en todas las empresas.

El daño financiero fue mayor para las medianas y grandes empresas, con £4670 ($5923) por incidente, en comparación con las micro y pequeñas empresas, que fueron de £330 ($418) por incidente.

Los costos medios a largo plazo, que incluyeron el costo de software o sistemas nuevos o actualizados y los honorarios legales y multas posteriores al incidente, alcanzaron £240 ($304) en todas las empresas en los últimos 12 meses. Nuevamente, dichos costos fueron más altos para las medianas y grandes empresas, £3550 ($4503), en comparación con las micro y pequeñas empresas, £90 ($114).

Casi la mitad de las empresas (48%) y más de un tercio de las organizaciones benéficas (37%) confirmaron que tienen una regla o política para no pagar las demandas de ransomware.

Otro área a marcar en el reporte, fue la preocupante falta de atención a la gestión de riesgos de ciberseguridad y la seguridad de la cadena de suministro. Sólo el 11% de las empresas dijeron que revisan los riesgos que plantean sus proveedores inmediatos, aunque esta cifra fue mucho mayor para las grandes empresas (48%).

Además, menos de un tercio de las empresas (31%) y organizaciones benéficas (26%) han realizado evaluaciones de riesgos de ciberseguridad durante el último año.

Los informes externos sobre infracciones también siguen siendo poco comunes: solo el 34 % de las empresas informan su infracción más disruptiva fuera de su organización. En muchos de estos casos, la organización simplemente informa las violaciones a su ciberseguridad externa de los proveedores de TI y a nadie más, señala el informe.