En julio de 2016, Verizon y Yahoo anunciaban el acuerdo de compra de la segunda por la primera. Dos meses más tarde, en septiembre, la firma dirigida entonces por Marissa Mayer revelaba que había sufrido en 2014 una brecha de seguridad en la que habían quedado expuestas 500 millones de cuentas de usuario. En diciembre reconocían que meses antes otros mil millones de credenciales se habían visto comprometidos en un incidente similar.
Estas revelaciones llevaban a una renegociación del pacto, a finales de febrero de 2017, que finalmente reducía su montante en 350M de dólares, hasta los 4.480M. En estas semanas, entre otras acciones, Verizon realizó estudios de marca para comprobar hasta qué punto la reputación de Yahoo había quedado perjudicada, según revelaba una persona involucrada a la agencia Reuters. Que su imagen se mantuviese y la fidelidad de los usuarios fueron dos factores decisivos para seguir adelante, además del carácter estratégico de la compra.
El caso estaba lejos de cerrarse. Ese mismo octubre se conocía que el alcance real de la brecha de 2013 era de 3.000 millones de cuentas. “La revelación es el último capítulo de una larga saga que ha destruido la reputación de un antiguo icono de Silicon Valley y continúa generando problemas para su nuevo propietario”, se leía en The Wall Street Journal. A día de hoy, Yahoo todavía intenta cerrar el asunto: la última propuesta de la compañía para dar por finalizado el asunto ante los tribunales pasa por pagar 117,5 millones de dólares.
Los problemas de imagen asociados a los incidentes online
Este caso da la medida de las repercusiones que puede llegar a tener un incidente de ciberseguridad. Cierto que el escenario ha cambiado desde entonces. En Europa, por ejemplo, el GDPR obliga desde mayo de 2018 a las empresas a revelar las posibles infracciones en las 72 horas siguientes a conocerlas, siempre que no haya alguna causa relevante que lo impida. Pero la protección ante incidentes online se mantiene como un tema central, algo a lo que, tarde o temprano, todas las organizaciones deberán enfrentarse. El informe CEO Outlook 2018 de KPMG cifra en un 49% los CEO a nivel mundial que piensan que los ciberataques son inevitables. “La pregunta no es sí o no, sino cuándo”.
Estos riesgos pueden tener distintas ramificaciones, que van desde temas regulatorios u operacionales a problemas de imagen. De hecho, el 55% de los 1.300 participantes en la encuesta reconocen que una estrategia sólida en ciberseguridad es clave para mantener la confianza de los ‘stakeholders’. Las cifras de mercado respaldan la importancia clave de la protección de los sistemas y los datos de una organización: se prevé que en 2019 se gasten 124.000M de dólares en servicios de seguridad de la información, según datos de la firma de análisis Gartner.
A lo largo del 2018, el INCIBE-CERT ha atendido 111.519 incidentes, de los que 723 se correspondían con el ámbito de los operadores estratégicos y críticos, de acuerdo al Informe anual de seguridad nacional publicado por el Gabinete de la Presidencia del Gobierno. Más complicado es valorar económicamente un ciberataque. Por ejemplo, el último estudio sobre el tema de Accenture, elaborado por Ponemon Institute, sitúa en 8,16M de euros el coste medio por empresa en España. Esta cuantía incluye varios gastos, más allá de la propia recuperación de la infraestructura, como los derivados de la pérdida de clientes. Desde la Ametic tasan en 77.000 dólares el coste medio de un ciberataque para una empresa, aunque habría que sumar otras variables, como el precio de contratar profesionales en protección online o “el tiempo que tarda una empresa en volver a ser segura en internet”, como explicaba la directora general de la organización, Teresa Gómez Condado, en una presentación el pasado mes de octubre.
Más allá del coste financiero
Para un negocio, las pérdidas económicas asociadas a un ciberataque son solo uno de los aspectos a los que debe hacer frente. Los daños a la reputación de la empresa y las pérdidas derivadas de esta caída en desgracia pueden lastrar a la compañía de múltiples maneras y durante periodos dilatados en el tiempo, como se comprueba con el caso de Yahoo. De ahí que una buena cobertura gane como activo corporativo. Para Siddharth Deshpande, director de investigación de Gartner, “los líderes de seguridad se esfuerzan por ayudar a sus organizaciones a usar de manera segura las plataformas tecnológicas para ser más competitivos e impulsar el crecimiento de la empresa”. Las declaraciones de Deshpande ponen el foco en un aspecto esencial de la ciberseguridad hoy en día. La clave no es, únicamente, detener posibles ataques o reparar los daños, sino hacer de la protección online un valor más dentro de la estrategia de negocio.
También en este sentido hablaba Teresa Gómez Condado al aludir a la ciberseguridad como “una oportunidad de posicionamiento” y “una ventaja competitiva”. “Estoy convencido de que la seguridad es una ventaja competitiva respecto a tu competencia en el momento en el que el cliente es consciente de que estás haciendo un esfuerzo por salvaguardar y proteger sus datos”, aseguraba David Moreno, antiguo responsable de seguridad del Grupo Cortefiel y actual director de tecnología, en una entrevista a CSO España. Garantizar el máximo de protección frente a riesgos online se está consolidando como una vía efectiva para ganarse la preferencia de clientes y usuarios, cada vez más conscientes de estas vulnerabilidades: según el informe 2018 Global Investor Survey de la consultora PwC, las ciberamenazas son la mayor preocupación para los inversores.
Los nuevos servicios de las firmas tecnológicas en protección online asumen esta perspectiva de la ciberseguridad como activo estratégico. Las ofertas se abren para integrar propuestas que cubren desde los nuevos requisitos normativos hasta la creciente conectividad o la introducción de nuevas tecnologías como el IoT. La actual transformación digital obliga a contar con una protección ágil y en constante evolución. Ante los rápidos cambios tecnológicos y la adaptación constante de las amenazas online, hacer de la seguridad la marca de la empresa puede ser el enfoque que diferencie una compañía más de una marca líder.
