El cibercrimen representa una amenaza constante para las empresas del Reino Unido. Dado que muchas organizaciones dependen de una cadena de suministro digital y utilizan plataformas basadas en la nube para almacenar sus datos, las oportunidades para que los actores de amenazas exploten las vulnerabilidades están aumentando y las empresas luchan por mantenerse al día.
De hecho, el 100% de nuestra población mundial Informe sobre el estado de la seguridad de la información Los encuestados (más de 1,500 profesionales de seguridad de la información) dicen que su organización ha experimentado un incidente de ciberseguridad o seguridad de la información en los últimos 12 meses. Además de las posibles pérdidas financieras derivadas de estos incidentes, el 99% de los encuestados del Reino Unido recibieron multas regulatorias por una violación de datos o una violación de las normas de protección de datos.
Utilizando datos reportados a Action Fraud y de nuestro Informe sobre el estado de la seguridad de la información, Christie Rae analiza el impacto financiero del cibercrimen en las empresas del Reino Unido* y cómo las organizaciones pueden mejorar sus defensas de seguridad de la información.
Los cinco principales delitos cibernéticos que afectan a las empresas del Reino Unido
Action Fraud enumera varios delitos diferentes en la categoría de delitos cibernéticos. Estos son:
- NFIB50A – Virus informático/Malware/Spyware
- NFIB51A – Ataque de denegación de servicio
- NFIB51B – Ataque de denegación de servicio – Extorsión
- NFIB52A – Hacking – Servidor
- NFIB52B – Hackeo – Personal
- NFIB52C – Hacking – Redes sociales y correo electrónico
- NFIB52D – Hacking – PBX/Marcado directo
- NFIB52E – Hackeo – Extorsión.
A continuación se detallan los cinco principales delitos cibernéticos que afectan a las organizaciones del Reino Unido.
| Tipo de fraude (5 principales) | Volumen de informes | Perdidas financieras | Pérdida promedio por informe** |
| NFIB50A – Virus informático \ Malware \ Spyware | 274 | £908,196 | £3,315 |
| NFIB52C – Hacking – Redes sociales y correo electrónico | 1,944 | £783,704 | £403 |
| NFIB52E – Extorsión por piratería | 411 | £401,923 | £978 |
| NFIB52B – Hackeo – Personal | 199 | £98,565 | £495 |
| NFIB52A – Hacking – Servidor | 398 | £0 | £0 |
| Más de | 3,226 | £2,192,388 | £680 |
1. NFIB50A: virus informático/malware/spyware
Descripción del delito de la Oficina Nacional de Inteligencia contra el Fraude (NFIB)[ 1 ]: Los delitos deben registrarse en esta sección hasta el momento en que el delincuente realmente utilice el malware. Cuando el delincuente utiliza el malware, se dirige deliberadamente a esa computadora.
Cuando se utiliza malware para obtener detalles para cometer fraude u otros delitos de uso indebido de la computadora, entonces el fraude o los delitos de uso indebido de la computadora son el delito principal y deben registrarse. El malware se ha utilizado para permitir que se cometa otro delito y no se debe registrar ningún delito en esta sección si se informa al mismo tiempo.
Ejemplo: El Sr. A informa a Action Fraud que ha hecho clic en un enlace que ha descargado un programa. Ejecutó un programa antispyware y le dijeron que el programa es un programa de registro de claves y que se eliminó con éxito. Un delito de modificación no autorizada de material informático (clase NFIB50A). Una semana después, se pone en contacto con Action Fraud para informar que hoy se ha accedido ilegalmente a su cuenta bancaria en línea y le han robado £2000 al cambiar una orden permanente para pagar su hipoteca. Debe registrarse un delito adicional de fraude de mandato (NFIB5D).
Volumen total del informe: 274
Pérdida financiera total: £908,196
Pérdida promedio por informe: £3,315
Entre enero de 2023 y junio de 2024, las empresas del Reino Unido perdieron más de £900,000 274 debido a virus informáticos, malware o spyware en solo 3,300 informes, lo que significa que un solo incidente de malware les cuesta a las empresas más de £35 en promedio. El malware fue el incidente de ciberseguridad más reportado en nuestro Informe sobre el estado de la seguridad de la información, y más de un tercio (12 %) de las organizaciones experimentaron un incidente de malware en los últimos XNUMX meses.
2. NFIB52C – Hacking – Redes sociales y correo electrónico
Descripción del delito NFIB: Este delito incluye todas las formas de cuentas de correo electrónico individuales y todas las formas de redes sociales individuales, por ejemplo X y Facebook. Incluye cuentas personales así como cuentas individuales de empresas u organizaciones. Este fraude no debe considerarse limitado a las computadoras de escritorio o portátiles. Puede incluir cualquier dispositivo que utilice software operativo accesible en línea, por ejemplo, consolas de juegos y teléfonos inteligentes.
Volumen total del informe: 1,944
Pérdida financiera total: £783,704
Pérdida promedio por informe: £403
La piratería de redes sociales y correo electrónico costó a las empresas más de 780,000 libras esterlinas en los últimos 18 meses. Nuestro Informe sobre el estado de la seguridad de la información encontró que la ingeniería social fue el segundo incidente de ciberseguridad más común, experimentado por el 32% de los encuestados.
3. NFIB52E – Hackeo – Extorsión
Descripción del delito NFIB: Esto ocurre cuando existe una demanda injustificada con amenazas (chantaje) asociadas a cualquier piratería informática o amenaza de piratería informática. La extorsión puede estar en relación con cualquier clase NFIB bajo NFIB52 Computer Hacking.
Ejemplo: ABC Ltd informa que ha recibido una demanda de pago de £ 100,000 52; de lo contrario, se publicará una copia del código de su nuevo juego de computadora en la red mundial. Están muy preocupados porque la semana pasada recibieron una tarjeta de memoria con parte del código de su servidor copiado. Un delito de piratería informática (extorsión) (clase NFIBXNUMXE).
Volumen total del informe: 411
Pérdida financiera total: £401,923
Pérdida promedio por informe: £978
Nuestro informe encontró que en los últimos 12 meses, el 29% de las organizaciones (casi una de cada tres) ha experimentado un ataque de ransomware. Los casos de extorsión por piratería informática han causado pérdidas por más de £400,000 12 a las empresas del Reino Unido en los últimos 180,000 meses, de las cuales £2024 XNUMX se produjeron en XNUMX a pesar de un número considerablemente menor de informes.
4. NFIB52B – Hackeo – Personal
Descripción del delito NFIB: Acceso no autorizado a material informático con la intención de cometer o facilitar la comisión de otros delitos. Cuando las acciones del pirata informático sean sólo preparatorias y no se haya cometido ningún delito sustancial en virtud de ningún otro delito de fraude, entonces se debe registrar un delito en esta sección.
Volumen del informe: 199
Perdidas financieras: £98,565
Pérdida promedio por informe: £495
Las organizaciones han perdido casi £100,000 por piratería de dispositivos personales, como una computadora portátil o un teléfono móvil. Unas sólidas medidas de seguridad de los dispositivos de trabajo y la formación y concienciación de los empleados son clave para combatir este tipo de ataques. En nuestro Informe, el 35 % de las organizaciones dijeron que sus empleados habían utilizado dispositivos personales con fines laborales sin las medidas de seguridad adecuadas, lo que lo convierte en el principal error de ciberseguridad cometido por los empleados.
5. Hackeo NFIB52A – Servidor
Descripción del delito NFIB: Para que los delitos se registren en esta sección, los archivos o servicios modificados deben estar en el servidor y no en el disco duro local de una computadora.
Ejemplo: un empleado deja su computadora de escritorio conectada cuando sale de la oficina. Luego, un colega obtiene acceso a sus registros de empleo que se encuentran en el servidor y modifica algunos de los detalles registrados en su archivo utilizando la computadora conectada. Un delito de Hacking-Server (clase NFIB52A).
Volumen total del informe: 398
Perdidas financieras: £0
Pérdida promedio por informe: £0
Las organizaciones no sufrieron pérdidas financieras por delitos de piratería de servidores en los últimos 18 meses. Sin embargo, esto probablemente se deba a las reglas de registro de delitos de la NFIB, que establecen que “cuando el acceso no autorizado haya permitido directamente la comisión de otro delito de fraude, el delito principal será el otro delito de fraude”.
Pérdidas financieras totales de las empresas por delitos cibernéticos
Entre enero de 2023 y junio de 2024, las empresas informaron a Action Fraud de casi 3,500 delitos cibernéticos con pérdidas financieras de 2,234,788 libras esterlinas. 2,377 de los informes y £1,367,477 de pérdidas se realizaron en los últimos 12 meses.
En enero de 2023 se produjeron las mayores pérdidas financieras, con 179 informes, £580,734 3,244 de pérdidas financieras y £2023 de pérdida promedio estimada por informe. Junio de 191 registró las pérdidas financieras más bajas, con XNUMX informes pero ninguna pérdida financiera.
| Mes | Volumen de informes | Perdidas financieras | Pérdida promedio por informe |
| Jan-23 | 179 | £580,734 | £3,244 |
| Feb-23 | 194 | £196,743 | £1,014 |
| Mar-23 | 216 | £40,862 | £189 |
| Abr-23 | 176 | £30,067 | £170 |
| May-23 | 166 | £18,905 | £113 |
| Jun-23 | 191 | £0 | £0 |
| Jul-23 | 196 | £95,963 | £489 |
| Ago-23 | 208 | £160,237 | £770 |
| Sep-23 | 215 | £254,252 | £1,182 |
| Oct-23 | 214 | £2,956 | £13 |
| Nov-23 | 222 | £74,249 | £334 |
| Dec-23 | 177 | £114,920 | £649 |
| Jan-24 | 196 | £423,500 | £2,160 |
| Feb-24 | 200 | £89,000 | £445 |
| Mar-24 | 191 | £2,200 | £11 |
| Abr-24 | 179 | £24,000 | £134 |
| May-24 | 173 | £120,400 | £695 |
| Jun-24 | 206 | £5,800 | £28 |
| Más de | 3,499 | £2,234,788 | £638 |
La siguiente tabla muestra el número total de denuncias de delitos cibernéticos y pérdidas financieras reportadas por empresas e individuos entre enero de 2023 y junio de 2024. Solo el 5.7 % de los delitos cibernéticos denunciados fueron denunciados por empresas, pero representaron el 30 % de los pérdidas financieras totales.
| Total de delitos cibernéticos enero 2023-junio 2024 | ||
| Fecha | Volumen de informes | Perdidas financieras |
| Jan-23 | 2,176 | £670,752 |
| Feb-23 | 1,972 | £442,071 |
| Mar-23 | 2,517 | £659,304 |
| Abr-23 | 2,267 | £253,575 |
| May-23 | 2,965 | £547,045 |
| Jun-23 | 2,874 | £310,386 |
| Jul-23 | 3,952 | £718,226 |
| Ago-23 | 3,313 | £332,210 |
| Sep-23 | 3,224 | £500,528 |
| Oct-23 | 3,670 | £363,292 |
| Nov-23 | 3,957 | £264,566 |
| Dec-23 | 3,439 | £490,098 |
| Jan-24 | 4,028 | £890,500 |
| Feb-24 | 3,777 | £215,300 |
| Mar-24 | 4,101 | £242,700 |
| Abr-24 | 3,849 | £187,100 |
| May-24 | 4,461 | £257,600 |
| Jun-24 | 4,436 | £219,400 |
| Más de | 60,978 | £7,564,652 |
¿Cuánto pierde al año una empresa media en el Reino Unido?
Nuestro Informe sobre el estado de la seguridad de la información encontró que el 99% de las empresas del Reino Unido han recibido multas por una violación de datos o violación de las normas de protección de datos en los últimos 12 meses. Los encuestados revelaron el monto total de las multas que recibieron sus organizaciones:
| Monto de la multa | Recuento de encuestados |
| Hasta £ 50,000 | 36 |
| EUR 50,001- libras 100,000 | 101 |
| EUR 101,000- libras 250,000 | 177 |
| EUR 250,001- libras 500,000 | 133 |
| EUR 500,001- libras 1,000,000 | 51 |
| Más de £1,000,000, especifique | 0 |
| No hemos recibido ninguna multa por filtración de datos o violación de las normas de protección de datos en los últimos 12 meses | 4 |
La multa total promedio recibida por las empresas es de £366,475 2023***, mientras que la pérdida financiera promedio de un solo informe de delito cibernético realizado por organizaciones a Action Fraud en el mismo período (abril de 2024 a marzo de 538.37) fue de £367,013. Las organizaciones podrían haber perdido hasta XNUMX libras esterlinas en un solo incidente.
Prevención de ciberataques con ISO 27001
Los principales delitos cibernéticos denunciados por Action Fraud muestran que aprovechar el error humano es un objetivo clave para los actores de amenazas. En respuesta, las organizaciones se están centrando en la educación de los empleados sobre seguridad de la información. Casi la mitad (45%) de los encuestados en nuestro Informe sobre el estado de la seguridad de la información dicen que su organización ha adoptado un mayor enfoque en la educación y concientización de los empleados, y el 35% dice que las plataformas de gestión del aprendizaje han demostrado ser el método más eficaz.
La certificación de estándares de seguridad de la información como ISO 27001 ayuda a las empresas a adoptar un enfoque exhaustivo para reforzar sus defensas de seguridad y reducir el riesgo de incidentes cibernéticos. Para lograr la certificación ISO 27001, las empresas deben crear, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI) que cumpla con ISO 27001 y completar con éxito una auditoría externa.
Gestión de riesgos
La gestión continua de riesgos de seguridad de la información es un requisito de la cláusula 27001 de la norma ISO 6.1, acciones para abordar riesgos y oportunidades. Su organización debe identificar los riesgos asociados con cada activo de información dentro del alcance de su SGSI y seleccionar el tratamiento de riesgo adecuado para cada riesgo: tratar, transferir, tolerar o terminar.
El Anexo A de ISO 27001 describe los 93 controles que su organización debe considerar al emprender la gestión de riesgos, y se debe justificar la decisión de aplicar o no un control en su Declaración de Aplicabilidad (SoA). Este enfoque exhaustivo de gestión y tratamiento de riesgos permite a su organización identificar, tratar y mitigar los riesgos a lo largo de su ciclo de vida, reduciendo la probabilidad de un incidente y reduciendo el impacto en caso de que ocurra un incidente.
Mejora continua
La norma ISO 27001 promueve la mejora continua en la seguridad de la información, incluida la concienciación continua sobre la seguridad de la información en toda la organización. La concientización juega un papel clave en el cumplimiento de la norma ISO 27001; El Anexo A.6.3 concienciación, educación y capacitación sobre seguridad y privacidad de la información es uno de los 93 controles del estándar. El control garantiza el conocimiento de los empleados y el cumplimiento de sus responsabilidades en materia de seguridad de la información.
Adopte una postura contra el costoso ciberdelito
Las estadísticas de Action Fraud e ISMS.online's State of Information Security Report revelan que el cibercrimen presenta un desafío continuo y creciente para las empresas del Reino Unido. Los informes de delitos cibernéticos aumentan año tras año y las organizaciones que son víctimas de violaciones de datos o no cumplen con los requisitos reglamentarios se enfrentan a multas importantes.
Ahora es el momento de que las empresas impulsen sus esfuerzos en materia de seguridad de la información.
Mejorar la concienciación del personal y de las partes interesadas es vital para reducir el riesgo de incidentes causados por errores humanos. La creación de un SGSI robusto que se alinee con los requisitos de la norma ISO 27001 agregará capas adicionales de defensa. La certificación ISO 27001 mejora la resiliencia organizacional y proporciona una ventaja competitiva sobre las empresas que se centran menos en su postura de seguridad.
–
Fuentes de datos:
- Datos de ISMS.online sobre el estado de la seguridad de la información 2024, investigación realizada por la firma independiente de investigación de mercado Censuswide.
- Datos de fraude de acción de 2023 de la solicitud de libertad de información FOI2024/00990, Policía de la ciudad de Londres, recibida el 25/7/2024.
- Datos de Acción contra el Fraude 2024 del Panel de la Oficina Nacional de Inteligencia contra el Fraude, recopilados el 25/7/24.
*Estos datos no incluyen información de Police Scotland, que es responsable de recopilar y hacer cumplir las actividades fraudulentas que afectan a las víctimas escocesas. Los datos proporcionados por Action Fraud se refieren a actividades fraudulentas en Inglaterra, Gales, Irlanda del Norte y actividades fraudulentas reportadas directamente a Action Fraud por organizaciones e individuos escoceses.
**Pérdida promedio por informe calculada dividiendo la pérdida financiera por el volumen del informe
***Multa promedio calculada dividiendo la multa promedio por el recuento de encuestados
[ 1 ] https://assets.publishing.service.gov.uk/media/645b7b87479612000fc29318/nfib-fraud-april-2023.pdf
