Blog

El verdadero costo de un ciberataque

Calcular el verdadero costo de un ciberataque es difícil. Ninguno es igual. Sin embargo, reportamos esto con el mayor detalle posible para representar con precisión el panorama completo de cuando esto le sucede a tu negocio.

Aug 12, 2024 • 10 min read

Simon Wijckmans Founder & CEO

Calcular el verdadero costo de un ciberataque es difícil. Ninguno es igual, y las empresas responden de manera diferente. Sin embargo, es importante reportar esto con el mayor detalle posible para representar con precisión el panorama completo de cuando esto le sucede a tu negocio.

Sufrir un ataque generalmente viene con consecuencias muy grandes. Tomar medidas preventivas debe ser una prioridad para cualquier empresa que realice negocios y tenga datos en línea.

Costos financieros

Probablemente la razón más obvia por la que una empresa está preocupada por los ciberataques son los costos financieros que conllevan. Veremos esto con el mayor detalle posible, comenzando con los costos directos.

Multas y honorarios legales

Los honorarios legales y las multas vienen a la mente primero. Regulaciones como GDPR, HIPAA, PCI DSS son las más frecuentemente violadas, con multas considerables como resultado.

En 2018, British Airways recibió una multa de £183 millones, posteriormente reducida a £20 millones. Lee la historia completa aquí. Y muy recientemente Kaiser Permanente violó las reglas de HIPAA, lo cual reportamos aquí. En ambos casos, los datos de usuarios fueron exfiltrados a través del lado del cliente, lo que podría haberse visto y prevenido.

Pero Meta actualmente lidera el grupo en cuanto a establecer la multa récord. En mayo de 2023, el DPC de Irlanda multó a Meta Ireland con €1.2 mil millones por violar el GDPR. La sanción se relaciona con transferencias de datos desde la UE/EEE hacia los EE. UU. sin salvaguardas de privacidad suficientes.

Titular sobre la multa de 1.200 millones de euros de la DPC a Meta Ireland por GDPR

Pérdida de ingresos

El tiempo de inactividad durante un ataque puede detener las operaciones comerciales, lo que lleva a pérdidas significativas de ingresos. El Informe de Costo de una Violación de Datos 2023 de IBM encontró que el costo promedio de una violación de datos es de $4.45 millones, siendo la pérdida de negocios la mayor parte de este costo.

Este número aumenta unos cientos de miles cada año, y es solo el promedio.

En el reciente ataque de Polyfill, Google dejó de servir anuncios a sitios web con el script malicioso en ellos. Esto presionó a los propietarios de sitios al quitarles sus ingresos por publicidad para obligarlos a eliminar los scripts.

Google ahora está enviando una advertencia sobre cargar JS de terceros desde dominios como polyfill.io bootcss.com bootcdn.net y staticfile.org que pueden hacer cosas desagradables a tus usuarios si tu sitio usa JS de estos dominios.

pic.twitter.com/EUVAgbFXJn

— Michal Špaček (@spazef0rze)

June 25, 2024

Independientemente de decir, esta fue una gran reacción de Google. Pero también dañó los ingresos por publicidad del sitio hasta que tomaron acción, lo cual es un costo que sufrieron.

Compensación a clientes

Cuando los clientes se ven afectados, a menudo demandan justamente por compensación. En 2019, Equifax acordó un acuerdo de casi $700 millones para investigaciones federales y estatales sobre una violación que afectó a aproximadamente 150 millones de personas, con $425 millones del acuerdo yendo directamente a los consumidores afectados.

Daño reputacional

La reputación es un activo invaluable, y un ciberataque daña severamente la confianza. La cobertura mediática negativa ejerce presión adicional sobre las empresas que atraviesan un ataque y sus consecuencias. Aunque Marriot registró ganancias en 2018, es justo asumir que recibieron algunas reservas menos después de su violación de datos de 2018 que afectó a 500 millones de huéspedes.

O recuerda cuando Yahoo reveló dos violaciones significativas y su precio de adquisición fue reducido en $350 millones.

A menudo solo consideramos el impacto inmediato, pero también hay uno a largo plazo. Calcular esos es casi imposible, pero el escándalo de Cambridge Analytica de 2018 sirve como un ejemplo perfecto.

Las consecuencias de este escándalo fueron masivas y llegaron a los canales de noticias mundiales durante semanas. Cambridge Analytica posteriormente anunció que cesaría todas las operaciones debido a que el daño reputacional fue tan severo que ahuyentó prácticamente a todos sus clientes y proveedores.

Cita de prensa sobre el cierre de Cambridge Analytica tras el daño reputacional

Interrupción operacional

El tiempo de inactividad es otro resultado inmediato de un ciberataque. El ataque de ransomware a Norsk Hydro en 2019 resultó en un costo estimado de interrupción operacional de $71 millones solo en la primera semana. En ese ejemplo, 35,000 empleados tuvieron archivos, servidores y PCs bloqueados. Los equipos de TI y seguridad deben cambiar el enfoque y responder a la violación, retrasando otros proyectos. A menudo se traen equipos externos para ayudar a solucionar el problema, lo que aumenta aún más los costos.

Pagar rescate

En ese mismo ejemplo de Norsk Hydro, los atacantes dejaron una nota diciendo:

"El precio final depende de qué tan rápido nos contactes." y solicitaron ser pagados en Bitcoin.

Nota de rescate dejada por los atacantes en los sistemas de Norsk Hydro

Norsk Hydro en cambio optó por restaurar sus datos a través de servidores de respaldo confiables.

Pero Travelex, una casa de cambio de divisas con sede en Londres, fue atacada por el grupo de ransomware 'Sodinokibi' en la víspera de Año Nuevo de 2019. Los atacantes cifraron los datos de Travelex y exigieron inicialmente $6 millones.

El archivo readme dejado en sus sistemas decía:

"Es solo negocios. Absolutamente no nos importas tú ni tus detalles, excepto obtener beneficios. Si no hacemos nuestro trabajo y responsabilidades, nadie cooperará con nosotros. No es de nuestro interés. Si no cooperas con nuestro servicio, para nosotros no importa. Pero perderás tu tiempo y tus datos, porque solo nosotros tenemos la clave privada. En la práctica, el tiempo es mucho más valioso que el dinero."

Después de negociaciones, pagaron un rescate de $2.3 millones para recuperar el acceso a sus archivos. Los atacantes dieron la clave para resolver el cifrado, y Travelex reanudó operaciones.

Actualizaciones de tecnología e infraestructura

Después de ser atacado por el grupo de ransomware 'LockBit' en enero de 2023, Royal Mail del Reino Unido enfrentó graves interrupciones operacionales. El ataque impactó particularmente su Centro de Distribución Mundial de Heathrow, que procesa casi todo el correo que entra y sale del Reino Unido, resultando en caos.

Para remediar el ataque y reforzar su seguridad, Royal Mail gastó aproximadamente £10 millones en los siguientes seis meses actualizando su infraestructura después del ataque. Esto fue reportado como un aumento anual del 5.6% en los costos de infraestructura para la empresa.

Artículo informando del aumento del 5,6% en los costes de infraestructura de Royal Mail tras el ataque

Costos ocultos adicionales

Además de los costos obvios mencionados anteriormente, la mayoría de los artículos que reportan sobre los costos totales después de un ataque de ciberseguridad casi siempre no incluyen lo siguiente:

Aumento de primas de seguros

Las primas de seguros cibernéticos pueden aumentar significativamente después de un ataque. Según el informe Cyber Insurance Seeing Influx of Newcomers as Risk Awareness Grows, el 77% de los encuestados experimentaron aumentos anuales de primas, impulsados en gran medida por un aumento en reclamos por violaciones de datos y otros incidentes cibernéticos.

Seguros que no pagan

Si bien no fue un ciberataque, el reciente desastre de Crowdstrike parece también causar problemas significativos de seguros. Fueron culpables de crear mucho daño, pero como no fue un ciberataque, las compañías de seguros dudan en pagar.

Si alguien se pregunta cuál es la posición del seguro cibernético sobre CrowdStrike: tengo amigos en 3 aseguradoras diferentes, y todos dicen que no cubrirán los reclamos ya que están fuera de la póliza.— Kevin Beaumont (@GossiTheDog)

July 22, 2024

Estos seguros no son infalibles, causando que las empresas se queden con la factura en casos como este. Una demanda casi definitivamente está pendiente para recuperar los costos y pérdidas sufridos contra Crowdstrike.

Pérdidas de ingresos a largo plazo

La deserción de clientes después de una violación puede llevar a una disminución de ingresos a largo plazo. En los EE. UU., PCI Pal reporta que el 83% de los consumidores afirman que dejarán de gastar con una empresa durante varios meses inmediatamente después de una violación de seguridad, y más de una quinta parte (21%) de los consumidores afirman que nunca regresarán a una empresa después de una violación.

Caída del precio de las acciones

Las empresas que cotizan en bolsa a menudo ven una caída en los precios de sus acciones después de una violación. En octubre de 2023, Okta reveló una violación de datos que, junto con la respuesta tardía de Okta, llevó a una caída notable en el precio de sus acciones. Después de la revelación, el precio de las acciones de Okta cayó casi un 12% cuando los inversionistas reaccionaron a las noticias y las posibles implicaciones a largo plazo de problemas de seguridad repetidos.

Y, para volver al ejemplo de Crowdstrike, las acciones de Crowdstrike cayeron drásticamente, borrando millones en valor sobre el papel.

Gráfico de la acción de CrowdStrike mostrando una fuerte caída tras la incidencia de 2024

Relaciones con proveedores y socios

Si bien los ejemplos reportados son raros, no es difícil imaginar que los socios y proveedores busquen nuevas oportunidades cuando una empresa es atacada.

Costos de oportunidad

Los costos de oportunidad ocurren cuando los equipos deben cambiar el enfoque para lidiar con la violación y ayudar a asegurar la empresa después del ataque. Esto toma tiempo de los empleados, y a menudo recursos adicionales que podrían obstaculizar la innovación y el progreso, además de simplemente aumentar los costos mensuales de herramientas agregadas.

Robo de propiedad intelectual

En 2011, el mayor cliente de AMSC, Sinovel Wind Group, obtuvo ilegalmente el código fuente de AMSC para software de turbinas eólicas. El Tribunal investigó este asunto y concluyó:

"En lugar de pagar a AMSC por más de $800 millones en productos y servicios que había acordado comprar, Sinovel en cambio tramó un plan para robar descaradamente la tecnología de turbinas eólicas patentada de AMSC, causando la pérdida de casi 700 empleos y más de $1 mil millones en capital accionario en AMSC,"

El verdadero costo de un ciberataque

Entonces, calcular el verdadero costo de un ciberataque es difícil, ya que cada incidente y respuesta varía. Pero es crucial entender el panorama completo más allá de las pérdidas financieras inmediatas. Las repercusiones de un ciberataque pueden ser devastadoras, afectando no solo las finanzas sino también la reputación, las operaciones y la viabilidad a largo plazo.

Para tener una idea de los costos reales, Accenture estima que el costo del cibercrimen a nivel mundial alcanzará los $10.5 billones en 2025. También ha observado un aumento del 200% en los niveles de interrupción en este espacio desde 2017 hasta 2022.

Creemos que es justo decir que se debe prestar atención a la ciberseguridad en los términos más amplios.

Las medidas preventivas deben ser una prioridad máxima para cualquier empresa. Por eso desarrollamos nuestro enfoque para detener ataques de scripts de terceros de día cero. Al comprender los impactos, esperamos que esto sirva como motivación adicional para adelantarse a cualquier problema potencial.

No seas la historia, puedes comenzar con cside gratis hoy.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Más allá del rescate o la remediación, la factura incluye multas regulatorias, reconstrucción de infraestructura, primas de seguro más altas, clientes perdidos, partners que se van, coste de oportunidad y un daño reputacional que puede tardar años en absorberse.

Sí. El gasto en infraestructura de Royal Mail subió un 5,6% el año posterior al ataque. La DPC multó a Meta Ireland con 1.200 millones de euros por GDPR. Cambridge Analytica cerró por completo tras el golpe reputacional. Norsk Hydro perdió 71 millones de dólares en la primera semana tras su ataque de ransomware.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.

Cómo Bloquear la Creación de Cuentas Falsas con IA

Los agentes de IA crean cuentas falsas con un comportamiento humano que vence al CAPTCHA. Aprende las señales del navegador que delatan los registros automatizados.

Cómo Bloquear CCBot (el Rastreador de IA de Common Crawl)

CCBot alimenta los conjuntos de datos de Common Crawl usados para entrenar GPT-3, BLOOM, LLaMA y muchos otros modelos de IA. Aprende cómo bloquearlo y qué consigue realmente bloquearlo.