Guillem Alsina Gonzàlez
Tener mucho dinero y prestigio no implica disfrutar de una perfecta ciberseguridad corporativa y, si no, que se lo digan a las compañías listadas en el prestigioso índice Standard and Poor’s 500 (S&P 500), que lista a quinientas de las principales empresas que cotizan en las bolsas estadounidenses y, por lo tanto, la mayoría de las cuales tiene un impacto a nivel mundial.
Un reciente análisis realizado por el Cybernews Business Digital Index evaluó la poítica de ciberseguridad de 485 de estas empresas, concluyendo que solo un 6% de las organizaciones obtuvo una calificación A (la máxima posible) en esta área, mientras que un 89% alcanzó solamente los niveles D y F, lo que apunta a estándares de ciberseguridad insuficientes.
Estos resultados proceden de fuentes diversas, incluyendo motores de búsqueda de IoT, bases de datos de reputación de direcciones IP y nombres de dominio, así como de escáneres personalizados. El estudio subraya que la mayoría de las compañías analizadas no ha mejorado de manera significativa sus medidas de protección a lo largo del tiempo.
La industria de Manufactura encabeza el listado con 138 compañías, y se estima que el 53% obtuvo una calificación F y el 40% un nivel D. El informe señala que las categorías de Bienes Raíces y Desarrollo también presentan un número elevado de clasificaciones bajas, con un 40% de D y un 48% de F.
Diferencias notables por sectores
El sector de Finanzas y Seguros aparece con un 94% de empresas en los niveles D o peores, de las cuales un 22% se situó en el último escalón, el F. De manera similar, las compañías de Salud y Farmacéutica muestran que casi un 10% alcanzó la calificación A, mientras que un 52% se situó en el nivel D, y un 38% en el F.
La categoría de Bienes Raíces y Desarrollo presenta un 40% de valoraciones D y un 48% en F, mientras que en el Comercio Minorista y Mayorista el 48% fue catalogado en D y un 38,5% en F. En el caso de Energía y Recursos Naturales, casi un 86% de las empresas analizadas se encuentran en el nivel D o en los niveles más bajos.
Por otra parte, y como debería ser lógico, el sector Tecnología e Informática exhibe la mayor proporción de calificaciones A, con casi un 13%. Sin embargo, y aquí es donde llega lo chocante, habida cuenta que son empresas que deberían predicar con el ejemplo de pertenecer al medio tecnológico, el 42% de estas compañías se situó en el nivel D y el 39% recibió una F, acorde con los datos recabados.
Vulnerabilidades más comunes
De acuerdo con la investigación, los problemas más relevantes afectan a brechas de datos, configuración de SSL y la forma en que se gestionan los sistemas de alojamiento. Un 96% de las empresas evaluadas se vio afectado por incidentes de este tipo, con los sectores de Bienes Raíces y Desarrollo, Finanzas y Seguros, y Manufactura registrando las cifras más altas.
Los datos evidencian que casi el 98% de las organizaciones obtiene malas calificaciones en prácticas SSL, lo que revela estándares de cifrado frágiles. Además, el 88,5% se enfrenta a deficiencias en sus sistemas de alojamiento, siendo especialmente notable en el campo de la salud y la industria farmacéutica, donde más del 97% padece este inconveniente.
La Manufactura mantiene niveles elevados de riesgo en distintas áreas, como la gestión de vulnerabilidades en el software, el historial de brechas de datos, y los fallos en la configuración de SSL. Mientras tanto, Bienes Raíces y Desarrollo muestra menor incidencia en aspectos como vulnerabilidades críticas en software y seguridad de aplicaciones web.
Metodología del análisis
Para la elaboración de este informe, se tomaron en cuenta siete áreas clave: software patching, seguridad de aplicaciones web, protección de correo electrónico, reputación del sistema, configuración SSL, sistemas de alojamiento y registro de brechas de datos.
De las 500 empresas incluidas en la lista del S&P, pudieron analizarse 485, ya que 15 no contaban con datos suficientes para evaluar su política de ciberseguridad.
