Riesgos cibernéticos en la cadena de suministro

Son muy pocas las empresas británicas que realizan evaluaciones de  los riesgos de ciberseguridad que plantean sus proveedores directos y su cadena de suministro, según un informe encargado y publicado por el Gobierno. Casi una de cada siete empresas (14%) afirma realizar revisiones de los riesgos planteados por sus proveedores directos, cifra que se reduce al 7% en su cadena de suministro.

Sin embargo, la encuesta Cyber Security Breaches Survey 2025, que evalúa el panorama de  ciberseguridad para las empresas y de las organizaciones benéficas del Reino Unido, concluye que casi la mitad (45%) de las grandes empresas y el 32% de las medianas, llevan a cabo revisiones de la ciberseguridad de sus proveedores inmediatos, frente al 21% de las pequeñas empresas y el 11% de las microempresas.

Casi la mitad (45%) de las empresas británicas encuestadas afirman contar con seguros contra los riesgos de ciberseguridad, si bien el índice de adopción es mayor en el caso de las medianas empresas (65%) y de las pequeñas, donde el 62% cuenta con un seguro cibernético, frente al 49% del año pasado.

El informe revela al 43% de las empresas británicas -o 612.000- y al 30% de las organizaciones benéficas (61.000) como víctimas de una brecha o de un ciberataque en los últimos 12 meses, en el marco de una encuesta realizada en otoño e invierno de 2024, una cifra inferior a la de 2023, que fue de exactamente la mitad, es decir 718.000 empresas. El informe señala que esta reducción se debe a una menor detección de los ataques de suplantación de identidad por parte de las microempresas y de las pequeñas empresas, mientras que las violaciones y los ataques cibernéticos a empresas más grandes «siguen siendo muchas», afectando al 67% de las medianas empresas y al 74% de las grandes empresas, en línea con el 70% y el 75% de 2024.

El 20% de las empresas ha sido víctima de, al menos, un ciberdelito en el último año, lo que supone 283.000 de las empresas, en consonancia con las cifras del informe de 2024, del total que ha declarado haber sufrido una filtración o un ataque de ciberseguridad. El riesgo de ciberdelincuencia fue mayor para las grandes empresas y los delitos de ransomware se duplicaron hasta afectar al 1%, equivalente a 19.000 empresas, de todas las empresas en 2025.

El phishing fue el tipo más común y perturbador de violación o de ataque en general, representando el 85% de los delitos contra empresas y el 86% contra organizaciones benéficas. El informe señala que la suplantación de identidad mediante IA, como parte de los ataques de phishing, se ha generalizado.

El costo medio de la violación más perjudicial para las empresas ascendió a 1.600 libras esterlinas en los 12 meses previos, si bien esta cifra aumenta a 3.550 libras esterlinas si se excluyen a las empresas qcon declaraciones de costos nulos, lo que puede subestimar el impacto financiero total, advierte el informe.

El informe señala que la mayor parte de las empresas han implantado controles básicos, como la protección actualizada contra malware (77%), las políticas de contraseñas (73%), los cortafuegos de red (72%) y las copias de seguridad a través de un servicio en la nube (71%). Sin embargo, los índices de implantación de controles más avanzados son más bajos: el 40% de las empresas utiliza la autenticación bifactorial, el 31% las redes privadas virtuales y el 30% la supervisión de los usuarios.

Según el informe, las pequeñas empresas registraron una notable mejora en se ciberhigiene, con evaluaciones de riesgos de ciberseguridad en el 48% de las pequeñas empresas, frente al 41% en el informe de 2024 y en comparación con una media del 29% en todas las empresas de todos los tamaños, mientras que el 59% cuenta con una política formal de ciberseguridad, frente al 51%, y el 53% posee un plan de continuidad del negocio para el abordaje de la ciberseguridad, frente al 44% en 2024.

La mayor parte  (70%) de las grandes empresas cuentan con una estrategia formal de ciberseguridad, en comparación con el 57% de las medianas empresas. No obstante, el informe concluye que las grandes empresas llevan a cabo una mayor cantidad de  programas de formación y de sensibilización del personal sobre ciberseguridad, con un 76% en comparación con una media del 19% en todas las empresas de todos los tamaños.

Gran parte de las empresas (72%) afirma a ciberseguridad como una prioridad, si bien el informe destaca una tendencia a la baja en el compromiso de los consejos de administración: el 27% de las empresas nombrará a un miembro del consejo responsable de la ciberseguridad en 2025, frente al 38% en 2021.

Asimismo, el informe plantea preocupaciones sobre la dependencia de consultores externos de ciberseguridad y de proveedores de TI como fuente de información y de orientación sobre ciberseguridad, citada como la fuente más común para el 25% de las empresas, en comparación con la orientación de fuentes oficiales del Centro Nacional de Ciberseguridad del gobierno, citado por sólo el 1% de las empresas.

FUENTE: www.commercialriskonline.com