Haciendo números: El arte de calcular los costes del cibercrimen

¿Cuánto cuesta el cibercrimen? ¿Cuáles son los costos promedio asociados con un solo ataque? ¿Y cuál es el costo anual acumulado del cibercrimen?

No hace falta leer mucho sobre estadísticas de ciberdelincuencia para obtener una amplia gama de respuestas a esas preguntas. Por lo tanto, es natural preguntarse cómo se calculan esos números. Y estoy seguro de que no te sorprenderá saber que realmente no existe una forma estandarizada de hacerlo.

Lo que hay, sin embargo, —y espero no estar revelando secretos de la industria aquí— es un incentivo para que los proveedores de ciberseguridad utilicen las estimaciones más altas que puedan encontrar o generar en sus comunicaciones. Decir “un ataque de ransomware podría costarle a su empresa decenas de miles de dólares” no tiene el mismo impacto en ventas que “¡el costo promedio de un ataque de ransomware el año pasado fue de cinco millones de dólares!”

Por lo tanto, es sensato tomar estas estimaciones de rápido crecimiento con cautela y con un pensamiento crítico, especialmente cuando vienen en forma de predicciones sobre costos futuros.

¿Qué cuenta como coste del ciberdelito?

Claramente, es importante lanzar una amplia red al estimar los costos del cibercrimen. Como se informó en Cybercrime Magazine:

«Los costes del ciberdelito incluyen daños y destrucción de datos, dinero robado, pérdida de productividad, robo de propiedad intelectual, robo de datos personales y financieros, malversación, fraude, interrupción post-ataque del curso normal de los negocios, investigación forense, restauración y eliminación de datos y sistemas hackeados, daño reputacional, costes legales y, potencialmente, multas regulatorias, además de otros factores», dijo Steve Morgan, fundador de Cybersecurity Ventures.

Esa es una lista bastante larga, y el hecho de que termine con "más otros factores" me deja, al menos, un poco escéptico respecto a los números que surgen.

En el mismo artículo de mayo de 2025, se predice que el costo global del ciberdelito para ese año ascenderá a $10.5 billones, un aumento dramático desde su estimación de 2020 de $1 billón. Pero mirando hacia 2031, la revista predice que esa cifra aumentará a solo $12.2 billones, basándose en un aumento constante del 2.5% por año. Esa suposición se basa en la idea de que la economía del ciberdelito se está volviendo tan grande y tan rentable que su tasa de crecimiento, que en el pasado ha aumentado constantemente, se estabilizará pronto si no lo ha hecho ya.

Costes directos vs. indirectos

ITPro informó en el mismo mes de mayo de 2025 sobre un estudio que encontró que los costos del cibercrimen en el Reino Unido ascendieron a “64 mil millones de libras al año en pagos de rescate, horas extra de personal, pérdida de negocios y otros costos asociados.”

El estudio distinguió entre costos directos e indirectos. Los costos directos se identificaron como tiempo adicional del personal dedicado a lidiar con ataques, junto con "pagos de rescate, fondos robados o perdidos, costos legales y regulatorios, interrupción de operaciones, y el costo de incorporar experiencia de terceros junto con primas de seguros de ciberseguridad más altas." Esto ascendió, según el cálculo del estudio, a £37.3 mil millones.

Los costes indirectos, sin embargo, también resultaron ser muy significativos, alcanzando los £26.7 mil millones. Y se informó que la categoría más grande de coste indirecto fue el aumento de los presupuestos de ciberseguridad tras los ataques. "Otros costes indirectos incluyeron la pérdida de clientes, el coste de redirigir recursos a la respuesta ante incidentes, y una pérdida de ventaja competitiva debido al robo de propiedad intelectual corporativa."

Cuestionando

Otro informe de mayo de 2025, este producido por el Atlantic Council, equivale a un intento muy detallado de explicar, definir y abordar dos problemas significativos con las métricas de ciberseguridad en general, que según los autores resultan en que no hay forma de comprender útilmente la efectividad de las políticas gubernamentales y otras para abordar el cibercrimen.

«Este informe identifica dos problemas centrales que frenan el progreso: primero, el estado desconocido del sistema, lo que significa que los responsables de políticas no pueden describir empíricamente cuán seguro o inseguro es actualmente el panorama digital; y segundo, la eficacia de las políticas no medida, lo que impide a los responsables de políticas comparar qué intervenciones son más efectivas para mejorar la seguridad y reducir el daño. El resultado es un entorno de formulación de políticas que depende en gran medida de la intuición, anécdotas, datos incompletos y medidas de proxy, todo insostenible para un dominio con riesgos tan sistémicos y crecientes y tanta inversión en seguridad.»

"Contando los costos: Un marco de métricas de ciberseguridad para la política", The Atlantic Council

Este extenso informe presenta un argumento muy convincente de que las métricas actualmente en uso no están a la altura de la tarea, y propone cambios significativos a alto nivel en la forma en que se conceptualizan dichas métricas. El efecto neto para este lector es, nuevamente, inspirar un escepticismo considerable sobre las estimaciones de costos en torno a la ciberseguridad.

¿Qué hacer con todo esto?

Entonces, ¿cuál es la conclusión? En primer lugar, independientemente de las cifras reales, no hay duda de que el cibercrimen impone costos masivos a la economía mundial, y que esos costos están en aumento.

Para los gobiernos y organizaciones intergubernamentales, eso por sí solo no es muy útil para desarrollar políticas y medir su efectividad. Pero para empresas individuales, la conclusión es bastante simple: realizar inversiones inteligentes y dirigidas en ciberseguridad y ciberseguro es fundamental en la medida en que realmente reduce la exposición de esa organización al riesgo de ataques costosos.

¿Necesita cifras precisas, ya sea para costos individuales promedio o costos globales, para realizar esas inversiones correctamente? No creo que lo necesite. Lo que sí necesita es una evaluación precisa de sus propias vulnerabilidades, basada en ataques de tendencia y superficies de ataque en expansión. Y necesita un socio de ciberseguridad que pueda ayudarle a realizar esa evaluación y ofrecerle soluciones y estrategias que se enfoquen en sus áreas específicas de mayor riesgo.

Y eso es exactamente lo que hace Barracuda, todos los días, con organizaciones de todos los tamaños, en todo el mundo.