Pedro López Sáez
Profesor titular y director del Máster en Protección de Datos y Seguridad de la Información en la Universidad Complutense de Madrid
En la última década, la economía global ha experimentado una profunda transformación, pasando de una economía basada en bienes de capital tradicionales (tierra, capital, trabajo) a una economía digital, impulsada por la información y los modelos de negocio basados en el procesamiento electrónico de datos (Strupczewski, 2021). No obstante, esta transición económica y social ha traído consigo nuevas amenazas.
El Foro Económico Mundial (WEF, 2023) sitúa el cibercrimen generalizado y la ciberinseguridad entre los 10 principales riesgos globales por su impacto, tanto a corto (horizonte a 2 años) como a largo plazo (horizonte a 10 años). Este organismo afirma que entre los riesgos que ya se están manifestando en la actualidad en el escenario internacional, los ciberataques a infraestructuras críticas ocupan el quinto lugar, siendo además el primero de los riesgos relacionados con la tecnología. Estos indicadores muestran que la ciberinseguridad es y será un elemento crítico, puesto que puede tener un papel determinante en la materialización de otros riesgos importantes como el colapso de infraestructuras de la información críticas, la proliferación de actividades económicas ilícitas, la desinformación y difusión de información falsa, los conflictos entre países o los ataques terroristas.
El Informe Oficial sobre Cibercrimen 2023 publicado por Cybersecurity Ventures estimaba que el coste global de la ciberdelincuencia ascendiera a 9,5 billones de dólares en 2024. Para entender esta magnitud, si se comparase con el PIB de otros países, supondría que la ciberdelincuencia equivaldría a la tercera economía más grande del mundo, sólo superada por China y Estados Unidos. Además, este informe preveía un incremento de los daños globales causados por los ciberdelicuentes del 15% anual durante los dos años siguientes, alcanzando los 10,5 billones de dólares en 2025. Conviene tener en cuenta que en 2015 esta cifra era de 3 billones de dólares. Los incrementos en las estimaciones de Cybersecurity Ventures se basan en las cifras históricas de ciberdelitos, patrocinados por estados o perpetrados por organizaciones criminales, y en el hecho de que la superficie de ataque cibernético se habrá duplicado para 2025 desde la publicación del informe.
De acuerdo con el Informe sobre Delitos en Internet (IC3, 2022) elaborado por el Centro de Denuncias de Delitos en Internet del FBI, en 2023 las posibles pérdidas totales asociadas a ciberataques y ciberincidentes superaron los 10.300 millones de dólares, lo que equivaldría a un 0,04% del PIB estadounidense. En 2018, esta cifra ascendía a 2.700 millones de dólares. No obstante, hay que tener en cuenta que este informe contempla únicamente las denuncias realizadas, por lo que el coste real puede ser considerablemente más elevado. Este informe afirma que «el riesgo cibernético es riesgo empresarial» y que «la ciberseguridad es seguridad nacional».
En el entorno europeo, hace más de una década, la consultora Detica (2011) publicó un informe junto con la Office of Cyber Security and Information Assurance (OCSIA) del Reino Unido, que concluía que el coste de la ciberdelincuencia ascendía a unos 27.000 millones de libras anuales. Este informe apuntaba que, aunque que el cibercrimen tenía un impacto considerable para los ciudadanos y las administraciones públicas, el principal perjudicado era el sector empresarial, a quien corresponderían unos 21.000 millones de libras como consecuencia de las pérdidas de la propiedad intelectual y el espionaje industrial.
Por su parte, desde 2021 la consultora GrantThornton publica el informe sobre el Coste Económico de la Ciberdelincuencia en Irlanda (GrantThornton, 2022). Ese año, este país sufría su «ciber annus horribilis», con un ataque de ramsonware contra su sistema nacional de salud que hizo visible el impacto de la ciberinseguridad para buena parte de la población del país. Para 2022, este informe estimaba que los ciberdelitos en Irlanda superarían los 10.000 millones de euros, una cifra cercana al 2% del PIB irlandés.
Previamente, el estudio de Gavėnaitė-Sirvydienė y Miečinskienė (2021) había pronosticado el coste que supondrían los ciberataques para los países bálticos en términos de PIB. Sus resultados arrojan un impacto equivalente al 1,09%, 1% y 0,92% para Estonia, Letonia y Lituania respectivamente. Además, estos autores realizan estimaciones para un total de 9 agrupaciones de industrias o sectores de actividad (banca, defensa y aeroespacial, seguros y salud, petróleo, gas y químicos, servicios públicos, tecnología y electrónica, transporte, «utilities» y bienes de consumo, y sector minorista). Entre ellos, el mayor daño financiero estimado correspondería a los sectores de defensa y de servicios públicos, mientras que el menor impacto lo sufrirían el sector bancario y el de tecnología y electrónica.
En el caso español, el Informe sobre la Cibercriminalidad en España (Ministerio del Interior, 2023), editado por la Secretaría de Estado de Seguridad, destaca el importante incremento que tiene la cibercriminalidad sobre el total de actividades penales, que ha pasado de representar el 7,5% en 2018 al 16,1% en 2022. Este informe, a partir de los datos del Sistema Estadístico de Criminalidad (SEC), muestra que las mayores categorías delictivas (en hechos conocidos) son el fraude informático, con casi el 90%, seguidas de las amenazas y coacciones, con el 4%, y la falsificación informática, que se encuentra en torno al 3%. Asimismo, los hechos conocidos en cuanto a cibercriminalidad aumentaron un 22,7% entre 2021 y 2022. No obstante, el Informe sobre la Cibercriminalidad en España detalla el número de hechos conocidos por diferentes categorías delictivas, o los incidentes gestionados por INCIBE-CERT y por operadores críticos del sector privado, pero no realiza estimaciones sobre las posibles pérdidas asociadas a delitos e incidentes de carácter cibernético.
1. Una difícil estimación
Bajo la premisa de que «lo que no se puede medir, no se puede gestionar», académicos, empresas y organismos públicos están tratando de cuantificar los riesgos que supone la ciberinseguridad para visibilizar esta amenaza. Se han comentado algunos ejemplos previamente. El esfuerzo merece la pena, pues tal y como señalan Falco et al. (2019) en la revista Science, es importante desarrollar métricas robustas que examinen la frecuencia y gravedad de las pérdidas asociadas al riesgo cibernético, determinando conceptos como el de «valor en riesgo», con los que valorar los beneficios que tiene el invertir en ciberseguridad y poder concienciar a las administraciones públicas, empresas y organizaciones y a la sociedad en general.
No obstante, los avances realizados en este campo hasta la fecha son limitados, y sus resultados resultan muy dispares y difíciles de comparar. Por ejemplo, en el Reino Unido, McGuire y Dowling (2013) señalan que la precisión de la estimación de Detica (2011) ha sido cuestionada por falta de datos robustos y transparentes. Sin embargo, Consejo Científico Asesor del Ministerio del Interior del Reino Unido (Home Office, 2018) continúa utilizando el concepto de costo económico para demostrar el impacto total del cibercrimen en la economía del Reino Unido. En concreto, para realizar estimaciones recomiendan utilizar el concepto de costo de oportunidad y asignar un valor a los recursos, como fondos o personal, que se liberarían si no hubiera ciberdelincuencia (Home Office, 2018).
Como señalan Dreyer et al. (2018), existe una importante variabilidad en los resultados de diferentes estudios que estiman los costes directos y sistémicos de los ciberincidentes. Y este problema es aún más complejo si se tienen en cuenta las diferencias existentes entre países y sectores industriales en cuanto a ciber-riesgos. En muchos casos, la comparación de estudios de investigación es sencillamente imposible, por la falta de transparencia en las metodologías utilizadas, o la divergencia en cuanto a los supuestos y los conjuntos de datos empleados. En su trabajo, estos autores realizan estimaciones del ciber-riesgo global de acuerdo con diferentes metodologías, obteniendo resultados que oscilan entre el 1,1% y el 32,4% del PIB global.
Estas enormes diferencias obedecen a dos razones principales, que se encuentran estrechamente relacionadas: la primera, la definición del propio concepto de ciberinseguridad y de los costes debe incluir y, la segunda, qué metodología de cálculo o estimación debe o puede emplearse. Como indican Falco et al. (2019), la ambigüedad en la definición es problemática y dificulta poder establecer estándares de seguridad o riesgo en una industria o incluso dentro de la misma organización.
Por ejemplo, el coste de la ciberdelincuencia que estima Cybersecurity Ventures (2023) en su informe anual sobre el cibercrimen incluye el daño y destrucción de datos, fondos sustraídos, pérdidas de productividad, robos de propiedad intelectual, de datos personales y financieros, malversación, fraude, interrupción de las actividades post-ataque, costes de investigación forense, restauración y eliminación de datos y sistemas comprometidos, daño reputacional, costes legales y las potenciales multas impuestas por organismos regulatorios. Como se puede apreciar, aunque también tratando la ciberdelincuencia, este enfoque difiere de manera significativa con el centrado en el coste de oportunidad (Home Office, 2018).
Según Strupczewski, aún no se ha adoptado una definición ampliamente aceptada sobre el ciber riesgo, probablemente debido a la naturaleza interdisciplinaria de este concepto y a su evolución
Según Strupczewski (2021), aún no se ha adoptado una definición ampliamente aceptada sobre el ciber riesgo, probablemente debido a la naturaleza interdisciplinaria de este concepto y a su evolución. Tras el análisis de 20 definiciones de ciber riesgo, este autor concluye proponiendo la siguiente definición que considera integral: «El ciber riesgo es un riesgo operativo asociado con la realización de actividades en el ciberespacio, que amenaza los activos de información, los recursos de tecnologías de la información y los activos tecnológicos, pudiendo causar daño material a los activos tangibles e intangibles de una organización, como la interrupción del negocio o daño a la reputación».
Como se puede apreciar, la definición anterior también incluye amenazas físicas a los recursos de tecnologías de la información de la organización y no sólo las procedentes del ciberespacio, así como las producidas por negligencia o accidente y no sólo las ocasionadas de manera intencionada por organizaciones criminales, como sería el caso de la ciberdelincuencia. No obstante, dado el ciber riesgo potencial que puede correr una persona, organización, sector o país, existen varias opciones para gestionarlo.
La primera opción sería evitarlo, lo que supondría adoptar medidas de desconexión. No obstante, hoy en se asume que la conectividad es beneficiosa, por lo que evitar el ciber riesgo debería ofrecer unas ventajas que superasen los inconvenientes de la desconexión (Falco et al., 2019). La segunda opción sería transferir este riesgo a aseguradoras, mercados de capitales, o terceras partes mediante contratos de indemnización o acuerdos de exención de responsabilidad, por ejemplo. Como indican Falco et al. (2019), los instrumentos de transferencia de ciber riesgos están aún en una etapa preliminar de su desarrollo.
El ciber riesgo que no se evita o transfiere sólo puede prevenirse, mitigarse o asumirse. La ciberseguridad consiste en el despliegue de salvaguardas y procesos de gestión con el fin de reducir el valor potencial de los posibles impactos de ciberincidentes a un nivel considerado asumible o aceptable por el individuo, organización, sector o país. Por oposición con el concepto de ciberseguridad planteado, la ciberinseguridad sería una medida del valor de impacto residual o, dicho de otro modo, el ciber riesgo que se asume, de manera consciente o inconsciente.
En muchas ocasiones, se asumen ciber riesgos por considerar la ciberseguridad como un bien público, lo que puede llevar a invertir por debajo de lo necesario en este campo y hacer necesarias políticas públicas que definan estándares mínimos para reducir el ciber riesgo en determinados sectores (Falco et al., 2019). Esto es lo que sucede, por ejemplo, con la conocida como Directiva NIS2 (y su antecesora NIS), la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 (LA LEY 26820/2022) relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 (LA LEY 20019/2018) y por la que se deroga la Directiva (UE) 2016/1148 (LA LEY 11863/2016) (Directiva SRI 2).
Las organizaciones y sectores incluidos en la Directiva NIS2 deberían incrementar su ciberseguridad, reduciendo su ciberinseguridad, lo que dificulta una valoración de la ciberinseguridad común para todos los sectores económicos o incluso para todos los países, puesto que cada uno de ellos muestra una configuración propia de su tejido industrial. De este modo, cualquier iniciativa para realizar estimaciones sobre el coste de la ciberinseguridad debe tener en cuenta la idiosincrasia nacional y productiva.
2. La situación en España
El Global Cybersecurity Index (ITU, 2021) otorga a España una puntuación de 98,52 (sobre un máximo de 100), lo que la sitúa en cuarta posición en este índice, igualada con Corea del Sur y Singapur. Lidera la clasificación EE.UU., con 100 puntos, seguido por Reino Unido y Arabia Saudí, que obtienen 99,54 puntos, y en tercer lugar aparece Estonia, con 99,48 puntos. Este índice analiza 194 países a partir de 82 elementos, que se agrupan en los siguientes cinco pilares: medidas legales, técnicas, organizativas, de desarrollo de capacidades y de cooperación.
En concreto, España obtiene la máxima puntuación en tres de las medidas del Global Cybersecurity Index, en concreto en las legales, cooperativas y de desarrollo de capacidades. No obstante, nuestro país carece, por el momento, de una aproximación económica al impacto de la ciberinseguridad. Y es en esta situación donde el Observatorio de la Ciberseguridad de ISMS ha decidido llevar a cabo un estudio, considerablemente ambicioso y complejo, con el que valorar el ciberriesgo que asumen los distintos sectores económicos españoles.
El Observatorio de la Ciberseguridad de ISMS Forum se ha consolidado como una importante plataforma para la generación de indicadores y análisis sobre ciberseguridad en España, con el objetivo de mejorar la concienciación y formación en este ámbito, así como la capacidad de las empresas y organizaciones para gestionar los riesgos cibernéticos. El estudio sobre el Indicador del Nivel de Madurez en Ciberseguridad, que en 2023 alcanzó su cuarta edición, se ha convertido en una referencia fundamental en el ámbito nacional para comprender la evolución interanual de los riesgos cibernéticos y su relación con terceros factores y fenómenos.
El Indicador del Nivel de Madurez en Ciberseguridad se elabora mediante una metodología sólida y transparente. En concreto, se construye a partir del estándar creado por el Instituto Nacional de Estándares y Tecnología (NIST) en 2013, que es utilizado globalmente. Mediante una encuesta a CISOs y responsables de seguridad de la información, mide las capacidades de Identificación, Protección, Detección, Respuesta y Recuperación ante las amenazas cibernéticas de las empresas españolas, ofreciendo datos de referencia obligada para distintos sectores de actividad económica.
3. El primer estudio sobre el coste de la ciberinseguridad en España
Siguiendo con los objetivos propios del Observatorio de la Ciberseguridad de ISMS de promover el conocimiento e investigación en este ámbito, generando métricas y referencias nacionales, surge el primer Estudio sobre el Coste de la Ciberinseguridad en España. Se pretende que este nuevo indicador transmita, no sólo a los profesionales del sector, sino a instituciones, reguladores, actores económicos y a la sociedad en general, la magnitud que suponen actualmente los riesgos vinculados al ciberespacio.
Siguiendo el ejemplo del Indicador del Nivel de Madurez en Ciberseguridad, el Estudio sobre el Coste de la Ciberinseguridad en España aspira a aprovechar el talento y experiencia de la comunidad de CISOs y responsables de seguridad de la información de nuestro país. Así, se busca ofrecer un indicador fundamentado en datos de la máxima calidad, generados por expertos de primer nivel bajo los criterios de independencia y transparencia que guían las actividades del Observatorio de la Ciberseguridad.
A partir de una revisión de estudios dedicados a la estimación del impacto económico de los ciberriesgos, se ha seguido la siguiente metodología:
- 1. Seleccionar los sectores económicos clave a considerar. En concreto, los sectores contemplados han sido los siguientes: Energía y recursos naturales, Manufacturero, Financiero y asegurador, Comercio al por mayor y al por menor, Tecnologías de la información y comunicación, Servicios empresariales y Otros. Para cada sector se ha creado un grupo de expertos específico, encargado de valorar los riesgos residuales de ciberinseguridad que afronta su industria en varias categorías de amenazas.
- 2. Identificar los ciberriesgos a considerar en el estudio. En este punto, se ha contado con la colaboración de la Red Nacional de SOC, desarrollada por el Centro Criptológico Nacional, que ha recomendado utilizar la tipología de riesgos de la Guía de Seguridad de las TIC CCN-STIC 817 sobre la Gestión de Ciberincidentes del Esquema Nacional de Seguridad (CCN, 2020). Así, se han contemplado Contenido Abusivo, Contenido Dañino, Obtención de Información, Intento de Intrusión, Intrusión, Disponibilidad, Compromiso de la información, Fraude, Vulnerable y Otros.
- 3. Establecer el impacto económico de la ciberinseguridad. Aquí es donde los expertos, mediante la aplicación del método Delphi, realizan una valoración en términos económicos (interrupciones en la cadena de suministro, disminución de la productividad, pérdidas financieras por pago de rescates, incremento de primas de seguros, sanciones, compensaciones a afectados, pérdida de propiedad intelectual…) la probabilidad de ocurrencia de distintos niveles de impacto para los ciberriesgos indicados anteriormente.
Como señala Landeta (2006), el método Delphi es recomendable en investigaciones que implican situaciones complejas o inciertas, donde no hay una respuesta clara o donde se necesita contemplar varias perspectivas u opiniones. Este tipo de contextos incluyen la planificación estratégica, los pronósticos económicos, o la evaluación de riesgos, entre otros. El método Delphi es una técnica especialmente popular en las ciencias sociales para realizar pronósticos a partir de las opiniones de expertos, que otros autores han empleado para proporcionar información con la que desarrollar modelos cuantitativos económicos o estadísticos (Landeta, 2006).
- 4. Elaboración del informe final del estudio del Indicador de Ciberinseguridad de ISMS Forum. Aunque esta fase aún no se ha alcanzado, su objetivo será determinar el coste de la ciberinseguridad para cada uno de los sectores de actividad identificados y también a nivel nacional, estableciendo su impacto económico en términos del PIB español. Los resultados preliminares tras la primera ronda de consultas a expertos muestran unas valoraciones que oscilan entre los 1.041 millones de euros, en su rango inferior, y los 110.035 millones superior. Esto supone una valoración del coste de la ciberinseguridad entre el 0,08% y el 8,98% del PIB español. No obstante, estos resultados se irán refinando mediante sucesivas rondas de aplicación del método Delphi, con el fin de llegar a valores de consenso, reducir la dispersión en el rango de las respuestas e incrementar la validez y fiabilidad del estudio.
4. Bibliografía
CNN (abril, 2020). «Esquema Nacional de Seguridad. Gestión de ciberincidentes».
ND (2020). «Global Cybersecurity Index 2020. Measuring commitment to cybersecurity».
Detica (2011) The Cost of Cybercrime. London: Cabinet Office. Available at: <https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/60943/the-cost-of-cyber-crime-full-report.pdf>
Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 (LA LEY 26820/2022)
Dreyer, P., Jones, T., Klima, K., Oberholtzer, J., Strong, A., Welburn, J. W., & Winkelman, Z. (2018). Estimating the global cost of cyber risk. Research Reports RR-2299-WFHF, Rand Corporation.
Falco, G., Eling, M., Jablanski, D., Weber, M., Miller, V., Gordon, L. A., ... & Lin, H. (2019). Cyber risk research impeded by disciplinary barriers. Science, 366(6469), 1066-1069.
Gavėnaitė-Sirvydienė, J., & Miečinskienė, A. (2021). Forecasting costs of cyber attacks using estimation the Global Cost of Cyber Risk Calculator V 1.2. Contemporary Issues in Business, Management and Economics Engineering, 278-286.
GrantThornton (2022), «The Cost of cybercrime 2022».
McGuirre, M. (octubre, 2013). Home Office. «Cyber Crime: A review of the evidence. Research report».
Home Office (enero, 2018). «Understanding the costs of cyber crime. A report of key findings from the Costs of Cyber Crime Working Group».
Dirección General de Coordinación y Estudios & Secretaría de Estado de Seguridad (2022). Ministerio del Interior. «Informe sobre la Cibercriminalidad en España».
Langan, T. (2022). Federeal Bureau of Investigation. «Internet Crime Report 2022».
McGuire, M., & Dowling, S. (2013). Cyber crime: A review of the evidence. Summary of key findings and implications. Home Office Research report, 75, 1-35.
Strupczewski, G. (2021). Defining cyber risk. Safety science, 135, 105143.