Un exitoso ataque dirigido específicamente contra una gran compañía puede provocar daños de hasta USD$2,4 millones. Esto sostiene un estudio de B2B International junto a Kaspersky Lab, que se realizó esta primavera de 2013. Los ataques dirigidos son uno de los tipos más peligrosos de amenazas cibernéticas, ya que en su preparación y lanzamiento participan cibercriminales profesionales. Estos cuentan con significativos recursos financieros y amplia experiencia en TI. Asimismo, el objetivo final de estos ataques es por lo general información secreta o confidencial de una compañía específica. La filtración de esta información puede generar pérdidas importantes.
¿Cuán grandes pueden ser estas pérdidas? Según la información recopilada por los analistas de B2B International, estos incidentes le pueden llegar a costarle a una compañía hasta USD$2,4 millones (promedio), de los cuales aproximadamente USD$2,17 millones surgen directamente del incidente en sí en forma de pérdidas derivadas de filtraciones críticas de datos, interrupción de la operativa empresarial y gastos por servicios especializados de reparación (abogados, profesionales de seguridad de TI, etc.). Las empresas enfrentan un costo adicional de USD$224,000 (aproximadamente) por las medidas que deben implementar para impedir que esos incidentes vuelvan a repetirse,como actualizar el software y el hardware, y contratar y capacitar su personal.
Las pérdidas provocadas por ataques dirigidos a pequeñas y medianas empresas (PYMES) son notablemente más bajas, de alrededor de USD$92,000 por incidente, aunque considerando el tamaño de estas compañías (que tienen un promedio de entre 100 y 200 empleados), el golpe es de todas maneras muy fuerte. De esos US$92,000, aproximadamente USD$72,000 van directamente a la reparación del incidente, mientras que los otros USD$20,000 se destinan a prevenir que ocurran incidentes similares en el futuro.
Otros tipos de ataques costosos
Si bien los ataques dirigidos generan costos financieros más altos, no son el único tipo de ataque. En realidad, estos ni siquiera constituyen la amenaza más común que enfrentan las compañías actualmente. Alrededor del 9% de los encuestados dijeron que sus compañías habían sufrido un ataque selectivo en los últimos 12 meses. Un porcentaje mucho mayor de empresas (24%) informó que sus infraestructuras de red habían sido hackeadas. En las grandes compañías, estos tipos de ataques pueden causar daños de USD$1,67 millones (US$73,000 en el caso de las PYMES), y son considerados el segundo tipo más costoso de ataque. El 19% de las compañías sufrieron filtraciones intencionales de información corporativa, y las pérdidas financieras resultantes ascendieron a un promedio de US$984,000 (US$51,000 para las PYMES). Los ataques dirigidos a las vulnerabilidades comunes de software afectaron al 39% de las empresas. Las grandes compañías tuvieron que pagar un promedio de USD$661,000 por los daños provocados por este tipo de ataques, mientras que el costo de los daños para las PYMES fue de USD$61,000.