El reciente estudio Impacto de los delitos financieros en México 2024 revela una paradoja inquietante: aunque 39% de las organizaciones sufrieron ciberataques durante el último año (16 puntos porcentuales más respecto a 2020), casi la mitad (45%) no logró medir el impacto económico de estos incidentes.¹ Esto nos conduce a una reflexión crítica: ¿cómo pueden las organizaciones protegerse efectivamente ante un problema cuyo impacto no pueden cuantificar?
Si bien algunas organizaciones reportan pérdidas que van desde los 100 mil pesos hasta más de 5 millones, estos montos representan solo una pequeña parte del verdadero costo del cibercrimen, el cual sigue siendo, en gran medida, invisible. Esto se debe, en parte, a que solo 24% de las empresas realizan auditorías después de los incidentes y apenas 21% incrementa la frecuencia de sus evaluaciones de seguridad posterior a un ataque. En definitiva, sin una investigación exhaustiva, el verdadero daño permanece oculto, pero su impacto sigue siendo igual de tangible.
A pesar de que las organizaciones luchan por cuantificar las pérdidas directas, otros costos menos evidentes se acumulan, tales como:
• Bajas en la productividad, particularmente mientras los equipos intentan responder y reparar el incidente, considerando que 55% no logra identificar el origen del ataque.
• Daños en la reputación corporativa, la cual puede tardar años en recuperarse.
• Erosión en la confianza de clientes y socios comerciales.
• Pérdida de oportunidades de negocio.
Este escenario crea un círculo poco virtuoso. Por una parte, solo 19% de las organizaciones cuentan con pólizas de seguro contra incidentes cibernéticos, lo que refleja la dificultad de justificar inversiones en ciberseguridad cuando el retorno es difícil de cuantificar. Mientras tanto, las respuestas más comunes ante un ciberataque, como brindar mayor capacitación (52%) o adquirir nuevas herramientas (34%), podrían resultar insuficientes ante un panorama donde el verdadero alcance del problema no es tan evidente.
Para resolver esta paradoja es necesario un cambio de enfoque en la forma en que medimos el impacto del cibercrimen. Es decir, no es suficiente usar métricas financieras tradicionales, sino que es fundamental incorporar indicadores que midan otros aspectos clave y permitan ampliar el panorama, como:
• Aumento en el costo de capital ante una mayor percepción del riesgo.
• Incrementos en los costos de seguros y garantías.
• Descuentos o concesiones otorgados a clientes para mantener la relación comercial después del incidente.
• Pérdida de oportunidades de negocio.
• Multas, sanciones o penalidades por parte de reguladores, clientes o proveedores ante incumplimientos derivados.
• Impactos en la reputación derivados de la publicidad negativa en medios de comunicación o redes sociales y los costos asociados para recuperar la confianza del público, socios de negocios y demás partes interesadas.
• Sobrecostos de nómina asociados a los colaboradores que gestionaron el incidente.
• Cuantificación del tiempo improductivo de otros colaboradores.
• Gastos no presupuestados en consultorías o investigaciones.
En conclusión, no se trata solo de estimar las pérdidas financieras, sino de evaluar la capacidad de las organizaciones para mantener la confianza, proteger su reputación y asegurar la continuidad operativa, particularmente en un entorno en el que 75% de las y los directores generales (CEO, por sus siglas en inglés) esperan que los ciberataques tengan un impacto significativo a corto plazo.²
El costo real del cibercrimen está en la suma de todos estos impactos invisibles que amenazan la viabilidad a largo plazo de las organizaciones. Solo cuando se reconozca y se mida esta dimensión más amplia del problema, se podrán desarrollar estrategias verdaderamente efectivas para combatirlo.
¹Impacto de los delitos financieros en México 2024. Enfoque holístico ante una problemática cambiante y evolutiva, KPMG México, 2024.
²Riesgos en México y Centroamérica 2024. Gestión dinámica para entornos cambiantes, KPMG México, 2024.