vie. Dic 13th, 2024

3er Estudio de ciberseguridad en México 2023

Noviembre 2023

El estudio de Ciberseguridad en México 2023, es una exploración meticulosa y actualizada realizada por la Asociación del Internet de México (AIMX ) y el Consejo de Datos y Tecnologías Emergentes (cdetech) que se enfoca en 4 dimensiones críticas relacionadas con la seguridad digital en nuestro país. Estas dimensiones son vitales para entender el panorama completo de la ciberseguridad y cómo afecta a diferentes sectores de la sociedad mexicana. A continuación, se enumeran las 4 dimensiones abordadas en este estudio:

1. Ciberseguridad de Personas Usuarias de Internet: En esta sección, se evalúa la conciencia y las prácticas de ciberseguridad entre los usuarios de internet en México. Se examinan los hábitos, las experiencias y los desafíos que enfrentan los individuos en el entorno digital, así como su nivel de preparación ante amenazas cibernéticas.

2.- Ciberseguridad de Familias Mexicanas: Esta dimensión se enfoca en cómo las madres, padres y personas al cuidado de niñas, niños y adolescentes (NNA) están gestionando y enfrentando los riesgos cibernéticos asociados con el uso de internet por parte de los NNA. Se abordan temas como el monitoreo en línea, la educación en ciberseguridad y las estrategias para garantizar un entorno digital seguro para los niños y adolescentes.

3. Ciberseguridad de Empresas en México: Esta dimensión analiza cómo las organizaciones empresariales en México están gestionando y enfrentando los desafíos de ciberseguridad. Se explora la adopción de tecnologías y estrategias de seguridad, así como el impacto de los incidentes cibernéticos en las operaciones y la reputación de las empresas.

4. Ciberseguridad del Ecosistema de Móviles en México: Esta nueva dimensión se centra en la seguridad digital dentro del ámbito de dispositivos móviles en México. Se examinarán las aplicaciones de diferentes categorías de seguridad digital, desde software antivirus hasta redes privadas virtuales (VPNs), evaluando su eficacia, la adopción por parte de los usuarios y el impacto en la protección de la información y la privacidad en el entorno móvil.

A través de estas dimensiones, el estudio proporciona un entendimiento profundo sobre la naturaleza multifacética de la ciberseguridad en México, ofreciendo insights valiosos para empresas, instituciones, profesionales del sector y la sociedad en general. Este análisis busca contribuir significativamente en la formulación de políticas y estrategias efectivas que promuevan un ciberespacio más seguro y resiliente en México.

MATRIA A.I actúa como un proveedor de datos confiable para que los responsables de formular políticas públicas y los empresarios puedan tomar decisiones informadas que beneficien a la sociedad y la economía mexicana.

Este paquete técnico garantiza la recopilación de datos con un margen de error reducido y un alto nivel de confianza, al tiempo que facilita la participación de los encuestados.

A través del Consejo de Datos y Tecnologías Emergentes (cdetech) se implementó el motor de inteligencia artificial MATRIA.AI y técnicas de recopilación de datos: La misión de MATRIA fue proporcionar a los tomadores de decisiones, tanto en el ámbito público como en el privado, las herramientas necesarias para evaluar de manera efectiva la ciberseguridad en México, a través de un estudio completo de 4 dimensiones y el monitoreo del ecosistema digital mexicano.

Técnica 1: SurveyConnect

Procedimiento: Envío de encuestas vía redes sociales, whatsapp y vía SMS, facilitando la participación de una amplia gama de usuarios y asegurando una mayor representatividad de la muestra.

Muestra: Se obtuvieron respuestas de 1,293 internautas.

Técnica 2: Trip- track

Procedimiento: Recolección y análisis de datos digitales de dispositivos móviles, GDPR Compliance.

Muestra: 536,879 dispositivos de Internautas en México.

 Consultar la ficha metodológica de cada dimensión 

Tamaño de la muestra

Consejo de datos y

Encuestados

Muestra 1 = 1,293 internautas ubicados en la República Mexicana.

Internautas en lo general: 712 Familias mexicanas: 324 Empresas en México:257

Aplicaciones

Muestra 2 =536,879 dispositivos a nivel nacional que corresponden a usuarios de Internet con aplicativos de ciberseguridad, analizados en el apartado “Ciberseguridad del Ecosistema de Móviles en México”.

tecnologías emergentes

Julio – Sep 2023

*GDPR COMPLIANCE

Ciberseguridad de Empresas en México

Introducción al Estudio de Ciberseguridad de Empresas en México 2023

En la actualidad, la ciberseguridad no es solo una preocupación, sino una necesidad imperativa para la continuidad de las operaciones empresariales en México. En un entorno digital cada vez más complejo y conectado, la seguridad de la información se ha convertido en un pilar crítico para la confianza y la sostenibilidad de las empresas de todos los tamaños. Este estudio del 2023 se sumerge en la realidad de la ciberseguridad en las empresas mexicanas, en un contexto donde, según estimaciones de IDC, México enfrenta un número de 85 mil millones de intentos de ataques anuales a la ciberseguridad.

Según el Censo Económico 2019 del INEGI* las micro, pequeñas y medianas empresas (mipymes) representan el 99.8% del total de unidades económicas y las grandes empresas representan el 0.2%, es esencial entender cómo estas entidades afrontan los desafíos de los ciberataques. Estos 4.8 millones de empresas forman el núcleo de la economía, y su resiliencia frente a los ciberataques es fundamental para la estabilidad económica nacional.

A través de un análisis detallado y contextualizado, abordamos las prácticas, herramientas y políticas que las empresas mexicanas están implementando para enfrentar desafíos como el phishing, ransomware, pérdida de datos y otros vectores de ataque cibernético. Además, examinaremos la incidencia de estos ataques y su impacto financiero y operativo, proporcionando una perspectiva clara sobre la relación costo-beneficio de la inversión en ciberseguridad.

Este estudio también tiene como objetivo evaluar la efectividad de las estrategias de prevención y respuesta, y cómo la adopción de tecnologías emergentes, como la nube, está transformando las tácticas de defensa. Con el aumento del trabajo remoto y la digitalización acelerada de los servicios empresariales, la necesidad de proteger los activos digitales se ha vuelto más crítica que nunca.

*https://www.inegi.org.mx/programas/ce/2019/

Categoría y localización

¿A qué categoría pertenece su empresa? ¿En qué país se encuentra basada su organización?

  • El 42% de las empresas encuestadas pertenece a la categoría de microempresa, mientras que el 22% pertenece a la pequeña empresa. Esto deja ver que este tipo de empresas siguen siendo parte importante del motor económico del país. El 23% son grandes empresas. Por último, sólo el 13% son medianas empresas con más de 50 empleados.
  • De las empresas encuestadas, el 94% basa su organización en México. Sólo el 3% lo hace en Estados Unidos, y el 3% restante se distribuye en muchos otros países. Estos porcentajes permitirán describir un escenario preciso de lo que sucede en México en cuestión de ciberseguridad en las empresas.

Concientización del tema de ciberseguridad y su relevancia

¿Qué tan preparada considera que está su organización en materia de ciberseguridad?

¿Con qué frecuencia lleva a cabo campañas de concientización en materia de seguridad de la información y ciberseguridad?

  • Con respecto a la percepción que se tiene del nivel de preparación en materia de ciberseguridad un 44% considera que está razonablemente preparado. Sólo un 4% considera que está extremadamente preparado, mientras que el 18% se siente muy preparada. Por último, un 25% se considera poco preparada y el 9% admite no estar preparada en absoluto.
  • Sobre la frecuencia con que se llevan a cabo campañas de concientización en materia de seguridad de la información y ciberseguridad, el 43% respondió que las realiza por lo menos cada 6 meses. El 10% reportó que al menos una vez por año, mientras que el 29% señaló que sólo lo hace cuando hay algún incidente. Por último, el 18% admitió nunca realizar ese tipo de campañas.

Capacitación en ciberseguridad

¿Cuándo fue la última vez que capacitó a su equipo técnico en temas de ciberseguridad?

¿Cuándo fue la última vez que capacitó al staff general de la organización en temas de ciberseguridad?

  • En un 46% se encuentran quienes capacitaron a su equipo técnico en términos de ciberseguridad en los últimos 6 meses. Un 28% lo hizo entre los 6 meses y un año. Por otro lado, un 8% lo hizo entre 1 a 3 años, mientras que el 8% hace más de tres años. Por último, un 10% señala nunca haber capacitado en temas de ciberseguridad.
  • Con respecto al staff general y su capacitación en temas de ciberseguridad los porcentajes son muy parecidos a la capacitación del equipo técnico, lo que hace suponer que las capacitaciones no se hacen de forma diferenciada o con un grado mayor de especialización.

Inversión y estándares


¿De cuánto es su gasto/inversión anual para proyectos de ciberseguridad?

  • Un 64% de las empresas encuestadas señala no tener un presupuesto destinado a proyectos de ciberseguridad. Dicho porcentaje resulta consistente con la cantidad de micro, pequeñas y medianas empresas que respondieron, ya que, por su dimensión, su presupuesto es menor. Enseguida, un 24% invirte entre 100 mil y 1 millón de pesos. Sólo el 6% gasta entre 1 y 10 millones de pesos. El 6% restante entre 10 y hasta 200 millones de pesos.

¿Tiene implementado algún estándar o marco de referencia para Ciberseguridad?

  • Con respecto a la implementación de algún estándar o marco de referencia para ciberseguridad en las empresas, el 59% menciona no tener ninguno. Un 33% implementó la norma ISO/IEC 27001. Mientra que el 8% restante se inclinó por el NIST (4%), PCI DSS (1%) y otros (3%).

Gestión, políticas y controles de ciberseguridad

¿Cuánta gente tiene dedicada a las actividades de seguridad de la información y ciberseguridad?

  • Sobre la cantidad de personas que tienen dedicadas a las actividades de seguridad de la información y ciberseguridad, el 35% de las empresas encuestadas respondió que tienen a una persona a cargo, aunque sin distinguir si específicamente para esa tarea. El 31% señala no tener personal dedicado a esa actividad, mientras que un 24% tiene entre 2 a 5 personas dedicadas al tema. Un 4% tienen entre 11 y 20 personas y sólo 6% cuenta con más de 20 personas.

Para la implementación de políticas, sistemas de gestión, proyectos y controles de ciberseguridad utiliza:

  • Con respecto a los recursos que se utilizan para la implementación de políticas, sistemas de gestión, proyectos y controles de ciberseguridad, el 54% de las empresas encuestadas señalaron que sólo utilizan recursos propios. El 36% utiliza una combinación de recursos propios junto con el apoyo de un consultor externo. Mientras que sólo un 3% utiliza un consultor externo. El 7% señaló que no sabe el origen de los recursos para dicha implementación.

Servicios en la nube

¿Su empresa utiliza servicios de nube? ¿Para qué tipo de cargas de trabajo su empresa utiliza servicios de nube?

  • En el rubro empresarial, a diferencia de los cibernautas, ya se entiende la nube como la manera más segura de proteger la información, ya que un 86% respondió que utiliza sus servicios, mientras que sólo un 14% no lo hace. Esto indica que, sin importar el tamaño de la empresa, la encuentran muy útil.
  • De acuerdo con las empresas encuestadas, los servicios de la nube se utilizan en primer lugar para aplicaciones, ofimática, correo electrónico entre otros (55%). En segundo lugar, con un 25%, aparece su uso en la infraestructura como telefonía, servidores y redes. Por último, un 19% utiliza la nube para plataformas que brindan componentes para construir aplicaciones corporativas.

Adopción de la nube por tamaño de la empresa

¿Su empresa utiliza servicios de nube? ¿Para qué tipo de cargas de trabajo su empresa utiliza servicios de

  • Un alto porcentaje de empresas, tanto Mipymes como medianas y grandes empresas, utilizan servicios en la nube, 84% y 89% respectivamente. Esto indica una fuerte adopción de la tecnología en la nube en el ámbito empresarial en México, abarcando una amplia gama de tamaños de empresas.
  • La mayoría de las Mipymes utiliza la nube principalmente para aplicaciones de ofimática y correo electrónico (64%).
  • Una proporción significativa de empresas medianas y grandes utiliza la nube para infraestructura (32%), mostrando una inversión más diversificada en servicios en la nube.
  • El uso de plataformas que brindan componentes para la construcción de aplicaciones corporativas es más alto para las medianas y gran empresa con un 26%

respecto a las las Mipymes (15%), lo que puede reflejar una mayor capacidad y recursos para desarrollar soluciones empresariales a medida.

  • La nube es una parte integral de la estrategia de TI para empresas de todos los tamaños en México, con un enfoque particular en aplicaciones de productividad y comunicación.

Seguridad en la nube

¿Quién es responsable de implementar las medidas de seguridad en los servicios de la nube?

  • Sobre la responsabilidad de la implementación de medidas de seguridad en los servicios de la nube, el 54% de las empresas encuestadas respondió que el proveedor y la organización comparten dicha responsabilidad. Un 39% señaló que sólo la organización, mientras que en un 7% lo hace solamente el proveedor.

¿De qué tipo de proveedores utiliza servicios en la nube?

  • Con respecto al origen de los proveedores de servicios de la nube que se utilizan, los resultados de la encuesta señalan que un 44% son extranjeros, un 16% son proveedores nacionales y un 40% utilizan ambos tipos.

Criterios de selección de servicios en la nube

Al momento de decidir el uso de una plataforma en la nube, ¿qué criterios son más relevantes para su organización?

  • De acuerdo con los resultados de la encuesta, los criterios que se consideran más relevantes dentro de una organización para decidir el uso de una plataforma en la nube son, en primer lugar, las herramientas de administración de identidad y acceso (74%).
  • Le siguen las herramientas de protección de datos (68%), las herramientas de protección aplicaciones y redes (57%), las certificaciones de seguridad del

proveedor (53%).

  • Las herramientas de monitoreo continuo, y las de detección y respuesta de incidentes que coinciden en un 47%. Por último, con un 36%, que el proveedor cumpla con la regulación.

¿Con qué frecuencia actualiza el sistema operativo y software de sus end- points?

  • Ante la pregunta de la frecuencia con que las empresas actualizan su sistema operativo y software de sus end-points los resultados de la encuesta señalan que un 61% de los sistemas están configurados para actualizarse automáticamente. Un 20% desconoce si se mantienen actualizados. Un 11% señala que lo actualiza por lo menos una vez al mes. Por último, el 8% es actualizado cuando el usuario lo realiza.

¿Tiene un software anti malware (antivirus) instalado en sus equipos?

  • Sobre si las empresas cuentan con un anti malware instalado en sus equipos, se encuentra una clara responsabilidad sobre el tema, ya que un 45% señala que lo tiene con una consola centralizada, mientras que un 40% lo tiene con licencias individuales por equipo. Sólo un 15% no tiene este tipo de software.

¿Con qué frecuencia actualiza su software antimalware (antivirus)? ¿Quién es responsable de instalar y mantener el software de seguridad en

sus equipos?

  • Con respecto a las medidas de seguridad y prevención, los resultados de la encuesta señalan que en el 92% de los casos el antivirus que manejan se actualiza solo, mientras el 6% no sabe si su antivirus está actualizado. Por último, un 2% afirma que nunca lo actualiza.
  • Sobre la responsabilidad de instalar y mantener el software de seguridad en los equipos de las empresas, en el 75% de los casos lo hace el personal de Tecnologías de la Información. El 13% de las veces lo hacen los empleados. Mientras que, por último, en un 12% de los casos no hay un responsable.

¿Qué medidas de seguridad implementan en su organización?

  • Con respecto a las medidas de seguridad que implementan las empresas, se encuentran, como los de mayor uso, el antivirus (69%), la actualización de sistemas operativos y programas (64%) y la autenticación de usuarios (63%).
  • Enseguida aparecen la concientización en temas de seguridad informática (56%), políticas (54%) y equipos de protección de intrusos

(49%).

  • Por último, con un uso menor aparecen los monitores activos de red (39%), la identificación de activos críticos y análisis de riesgos (34%), la segregación de funciones (33%) y los contratos con proveedores (31%). Sólo un 9% desconoce sus medidas de seguridad.

¿Con qué frecuencia realiza respaldos de su información? Los respaldos de sus equipos y/o servidores los realiza:

  • Casi el 90% de las empresas encuestadas realiza el respaldo de su información. De ellas, el 50% realiza el respaldo de su información una o dos veces por semana. El 19% lo hace una vez al mes y 19% a discreción del usuario de la información. Además, el 66% hace uso de los servicios de sincronización automática en servidores remotos (nube), mientras que el 33% lo hace manualmente.
  • Lo anterior parece indicar que las empresas son conscientes de la importancia que tiene el respaldo de la información en materia de seguridad y aprovechan los recursos automatizados que tienen a su disposición.

¿En dónde respalda su información? ¿Después de realizar respaldos realiza pruebas para verificar que puede operar con los datos del respaldo en la operación diaria?

  • La mitad de las empresas encuestadas respalda su información en la nube, el 25% utiliza unidades externas y sólo el 20% mantiene respaldos en servidores propios.
  • Solo el 62% de las empresas encuestadas lleva a cabo pruebas para verificar que pueden operar con los datos de sus respaldos en la operación diaria. Sin

embargo, un 38% no realice estas pruebas. Este dato es significativo ya que probar los respaldos es un componente crítico para asegurarse de que, en caso de un incidente como un ataque de ransomware o la corrupción de datos, la empresa pueda recuperarse rápidamente sin afectar significativamente sus operaciones. Por lo tanto, el 38% representa a un grupo de empresas que potencialmente están en un riesgo mayor de tiempo de inactividad y pérdidas operativas o financieras en caso de un incidente.

¿Cuenta con una política sobre longitud, complejidad y cambio periódico de contraseñas?

¿Con qué frecuencia pide el cambio de contraseñas?

  • El 55% de las empresas posee una política para el establecimiento de contraseñas seguras. De ellas, el 45% solicita la actualización de contraseñas en un plazo menor a tres meses y el 36% entre tres y seis meses.
  • El 45% restante no cuenta con una política de contraseñas seguras o no sabe si lo tiene, lo que mantiene en un relativo estado de vulnerabilidad en este

rubro a casi la mitad de las empresas encuestadas.

¿Sus colaboradores utilizan un gestor de contraseñas proporcionado por la organización?

¿Utilizan en su organización un segundo factor de autenticación (2FA) para autenticar usuarios y autorizar operaciones?

  • El 56% de los colaboradores en una organización utilizan un gestor de contraseñas proporcionado por la misma. Sin embargo, un 31% no lo utiliza y un 13% de los encuestados no está seguro de si utilizan o no esta herramienta. Aún queda un porcentaje significativo de empleados que podrían no estar aprovechando esta medida de seguridad o que desconocen su disponibilidad.
  • Respecto a la utilización del segundo factor de autenticación (2FA) para usuarios y autorización de operaciones, el 59% de las empresas encuestadas señala que utiliza alguna de las diferentes modalidades, el 41% señala no utilizar ninguna modalidad de autenticación, número que podría interpretarse como alto si se considera el acceso cada vez más generalizado que posee esta herramienta y la facilidad de su implementación como medida de seguridad.

¿Su empresa cuenta con una política de seguridad de la información claramente definida y comunicada a todos los empleados?

¿Su empresa cuenta con un proceso formal para gestionar y documentar incidentes de seguridad, como brechas de datos o intentos de intrusión?

¿Su empresa tiene un plan de respuesta a incidentes de seguridad cibernética que incluye procedimientos específicos para mitigar y recuperarse de incidentes?

  • Las empresas encuestadas se encuentran divididas de forma equitativa con respecto a contar con políticas, procesos formales y planes que les permitan conocer a sus empleados los protocolos a realizar en el caso de enfrentar un problema de seguridad o las acciones a tomar para mitigar los daños.
  • En el caso de las políticas de seguridad, la relación entre los que poseen y no poseen es de 54% – 46%; en el caso de los procesos para gestionar y

documentar incidentes la relación es de 44% – 43%; y en el caso de procedimientos para mitigar incidentes la relación es de 42% – 45%. Lo anterior resulta significativo considerando el nivel tan diversificado de riesgo que la web representa para las empresas y el nivel de daño que podrían sufrir.

¿Cuándo fue la última vez que realizó un análisis de riesgos informáticos? ¿Cuándo fue la última vez que realizó un análisis de vulnerabilidades?

  • El 33% de las empresas realiza análisis de riesgos informáticos cada seis meses o menos. Un 21% los realiza entre seis meses a un año, y un 14% entre uno a tres años. El 25% de las empresas indicó que nunca se ha realizado un análisis de riesgos informáticos. Esto sugiere que, mientras una mayoría realiza evaluaciones de riesgo con cierta regularidad, aún hay un porcentaje considerable de entidades que no priorizan este aspecto crítico de la ciberseguridad.
  • Casi el 70% de las empresas encuestadas afirma realizar un análisis de vulnerabilidades, aunque sólo el 38% lo ha realizado en un periodo

menor a 6 meses. Esta cifra está sólo 8 p.p. sobre la de las empresas que señalan nunca haber realizado análisis de vulnerabilidad.

En los últimos 18 meses ha detectado y detenido/contenido exitosamente algún incidente relacionado con:

En los últimos 18 meses tuvo algún incidente que haya afectado o interrumpido alguna de sus actividades organizacionales relacionado con:

  • De acuerdo con los datos, la suplantación de la identidad (phishing) se coloca como la amenaza que más han sufrido las empresas encuestadas, con un 40% en incidencia. El secuestro de datos (ransomware), el fraude financiero, otras modalidades de suplantación de identidad y la pérdida de información se mantienen en el rango del 20%, mientras que la fuga de información sensible sólo ha afectado al 13%. En todos estos casos, las empresas han detectado y detenido los ataques exitosamente.
  • El 58% de las empresas encuestadas no han sufrido incidentes de seguridad que detuviera sus actividades. De las que señalan haber sufrido alguna, reportan como mayor amenaza al phishing y suplantación de identidad (21%), la pérdida de información (12%), el fraude financiero (10%) y el ransomware y la fuga de información, cada una con menos del 10%.

¿Cuál fue el costo de recuperación de los incidentes que identificó? En los últimos 18 meses, hubo algún incidente informático o engaño a partir

de internet que afectara sus cuentas bancarias?

  • La mayoría perdió menos de $50 mil pesos (25%), seguidos por los que perdieron entre $50 y $100 mil (8%).
  • Aunque las pérdidas superiores, entre los $100 mil y más de 1 millón de pesos alcanzan de forma conjunta sólo el 10% de las empresas encuestadas, este porcentaje sigue siendo significativo considerando el número total de las empresas potencialmente afectadas con un nivel de pérdida tan grande.
  • El 19% de las empresas afirma haber sufrido un incidente que afectó sus cuentas bancarias en los últimos 18 meses. Este es un dato significativo ya que muestra que casi una de cada cinco empresas ha experimentado problemas de seguridad cibernética con consecuencias financieras directas; sigue siendo un número importante al proyectarlo al número total de empresas en México.

En los últimos 18 meses, hubo algún incidente de filtración o robo de datos?

¿En los incidentes que se presentaron, identificó la participación de personal interno, ya sean colaboradores, empleados o proveedores?

¿Cuánto tiempo le tomó recuperarse del incidente?

  • De acuerdo con los datos recabados, la mayoría de las empresas no ha experimentado incidentes de robo de datos (84%) y del 16% restante, sólo 20% pudo identificar entre sus colaboradores y proveedores a persona involucrados en el ataque.
  • El 48% de las empresas que reportan incidentes pudo recuperarse en menos de 24 horas. Un 16% se recuperó entre 1 y 3 días, y un porcentaje menor, del

5% al 6%, tuvo tiempos de recuperación de entre 3 días a 2 semanas. Cabe destacar que un 2% tardó más de dos semanas, y un 7% tomó un mes o más y un 16% reportó que no han logrado recuperarse, reflejando los desafíos que pueden tener los incidentes en las operaciones continuas de una empresa.

¿Tuvo incidentes de ransomware que le provocaron interrupción del negocio? ¿Tuvo incidentes de ransomware para los cuales pagó el rescate solicitado

por los atacantes?

  • Un 6% de las empresas experimentan interrupciones en sus operaciones a causa de incidentes de ransomware. Esto implica que, aunque la mayoría de las empresas no sufrieron interrupciones significativas por ransomware, existe un porcentaje que sí se enfrentó a este tipo de desafíos, resaltando la importancia de la prevención y la preparación en ciberseguridad.
  • En ningún caso registrado en la encuesta, las empresas pagaron por el rescate de sus datos.

Impacto de los incidentes de ciberseguridad en Mipymes

¿Cuál fue el costo de recuperación de los incidentes que identificó?

  • Un 29% de las Mipymes no sabe o prefiere no revelar el costo de los incidentes de ciberseguridad. Otro 26% no ha tenido incidentes.
  • El 29% ha tenido incidentes con costos de recuperación menores a $50,000 pesos, implicando que los incidentes han sido manejables o de menor gravedad.
  • Los costos más altos son menos comunes, con solo un 8% que reporta gastos entre $50,000 y $100,000 pesos, un 2% de las Mipymes tuvieron costos por más de 1 millón de pesos,lo que indica que incidentes graves son menos frecuentes pero no inexistentes.

En los últimos 18 meses, hubo algún incidente informático o engaño a partir de internet que afectara sus cuentas bancarias?

  • Sobre haber sido víctima de algún tipo de ciberataque que afectara las cuentas bancarias de las empresas Mipymes en los últimos 18 meses, los resultados de la encuesta muestran que un 19% sí lo ha padecido.
  • Teniendo en cuenta que las Mipymes constituyen el 99.8% de las unidades económicas en México, con un total de 4.8 millones de establecimientos, el impacto financiero de los incidentes cibernéticos toma una dimensión aún más significativa.

¿De cuánto es su gasto/inversión anual para proyectos de ciberseguridad?

Para la implementación de políticas, sistemas de gestión, proyectos y controles de ciberseguridad utiliza:

¿Tiene implementado algún estándar o marco de referencia para Ciberseguridad?

¿Cuánta gente tiene dedicada a las actividades de seguridad de la información y ciberseguridad?

  • Con respecto a la inversión anual para proyectos de ciberseguridad en las Mipymes, el 75% afirmó no tener destinado ningún presupuesto. El 25% restante invierte entre $100,000 y 1 millón de pesos.
  • Sobre la implementación de algún estándar o marco de referencia para ciberseguridad en las Mipymes, se encuentra que el 75% no cuenta con ninguno, un 21% cuenta con la norma ISO/IEC 27001 y el 4% restante lo hace con NIST.
  • En torno a la implementación de políticas, sistemas de gestión, proyectos y controles de ciberseguridad se encuentra que el 75% lo hace sólo con recursos propios y el 21% lo hace con una combinación de recursos propios y la ayuda de un consultor externo. Sólo el 4% no sabe cómo procede su empresa en este tema.
  • Por último, para las actividades de seguridad de la

información y ciberseguridad el 57% de las Mipymes encuestadas tienen dedicada a una persona, el 36% no tiene una persona dedicada al tema y sólo el 7% tiene de 2 a 5 personas involucradas.

En los últimos 18 meses ha detectado y detenido/contenido exitosamente algún incidente relacionado con:

En los últimos 18 meses, hubo algún incidente de filtración o robo de datos?

  • Las Mipymes que utilizan la nube han detectado y contenido ataques de phishing en un 29% de los casos, mientras que para aquellas que no utilizan la nube, el porcentaje es ligeramente mayor, con un 30%.
  • En cuanto a la suplantación de identidad, el 21% de las Mipymes que usan la nube han manejado exitosamente estos incidentes, en comparación con el 10% de las que no usan la nube.
  • Para el fraude y la pérdida financiera, la Mipymes que usan la nube reportan un 21% de éxito en la detección y contención de estos incidentes, respecto

al 10% de las que no usan la nube.

  • Significativamente, un 17% de las Mipymes que usan la nube han gestionado incidentes de ransomware con éxito. La ausencia de la detección y contenido de incidentes de ransomware por empresas que no usan la nube podría resaltar la eficacia de detectar incidentes en los servicios en la nube.
  • Las Mipymes que usan la nube han experimentado menos incidentes de filtración o robo de datos (14%) en comparación con las que no utilizan la nube (20%), lo que podría indicar que el uso de la nube puede estar asociado con una mejor protección de datos.

Impacto de los incidentes de ciberseguridad en empresas medianas y grandes*

¿Cuál fue el costo de recuperación de los incidentes que identificó?

En los últimos 18 meses, hubo algún incidente informático o engaño a partir de internet que afectara sus cuentas bancarias?

  • El 37% de las empresas medianas y grandes no sabe o prefiere no decir el costo de recuperación tras un incidente, lo que podría reflejar reticencia a compartir información. Un 23% afirma no haber tenido incidentes, lo que indica una buena gestión de la seguridad o la posibilidad de no haber detectado incidentes.
  • El 17% reporta haber tenido costos de recuperación de menos de $50,000 pesos, sugiriendo que los incidentes que han enfrentado han sido relativamente menores o bien gestionados. Un porcentaje menor de empresas reporta costos más elevados, con un 8% entre $50,000 y $100,000 pesos, y el 6% reporta costos de más de un millón de pesos, lo que indica que aunque menos frecuentes, existen incidentes con impactos financieros significativos.
  • Un 17% de las empresas medianas y grandes han experimentado incidentes informáticos o engaños que afectarán sus cuentas bancarias en los últimos 18 meses, lo que resalta la importancia de la protección financiera en el ámbito digital.

Recursos y estándares implementados de ciberseguridad en

medianas y grandes empresas*

  • De acuerdo con los datos, 36% de las empresas grandes y medianas invierten anualmente en ciberseguridad entre 100 mil y 1 millón de pesos. El 29% entre 1 y 10 millones de pesos y sólo el 14% invierte en ciberseguridad más de 200 millones de pesos.
  • El estándar de ciberseguridad dominante entre las empresas grandes y medianas es la norma ISO/IEC 27001, utilizada por el 51% de las empresas encuestadas.

¿De cuánto es su gasto/inversión anual para

proyectos de ciberseguridad?

¿Cuánta gente tiene dedicada a las actividades de seguridad de la información y ciberseguridad?

¿Tiene implementado algún estándar o

marco de referencia para Ciberseguridad?

Para la implementación de políticas, sistemas de gestión, proyectos y controles de ciberseguridad utiliza:

  • Las actividades relacionadas con la

ciberseguridad de la empresa involucra entre 1

y 5 personas en un 64%, de 11 a 20 personas en

un 14% y más de 20 a un 22%, lo que sugiere una inversión mínima en recurso humano para ciberseguridad en la mayoría de las empresas.

  • El apoyo de consultorías externas en la implementación de políticas, sistemas de gestión, proyectos y controles de ciberseguridad es utilizado en combinación con recursos propios por la mayoría de las empresas encuestadas (79%).

En los últimos 18 meses ha detectado y detenido/contenido exitosamente algún incidente relacionado con:

  • Las empresas que usan la nube han detectado y contenido exitosamente el 61% de los ataques de phishing.
  • Ninguna de las empresas que no utilizan la nube ha reportado incidentes de denegación de servicio, lo cual podría indicar que no están siendo atacadas o no pueden detectar los ataques; mientras un porcentaje más alto de empresas que no usan la nube reportan haber detectado y detenido ransomware en comparación con las que sí usan la nube (50% frente a 29%), esto no necesariamente indica que la nube sea menos segura. Puede ser que las empresas en la nube sean menos susceptibles a sufrir ataques de ransomware en primer lugar debido a las defensas integradas, y por ello reporten menos incidentes.
  • Ambas, empresas que usan y no usan la nube, tienen una tasa de éxito similar (29%) en la gestión de la pérdida de información.

¿Cuánto tiempo le tomó recuperarse del incidente?

En los últimos 18 meses, hubo algún incidente de filtración o robo de datos?

  • Una mayoría significativa de empresas medianas y grandes que usan la nube (56%) señala haberse recuperado de los incidentes en menos de 24 horas, lo que sugiere que los servicios en la nube pueden estar facilitando una rápida respuesta y recuperación.
  • Un 11% de las empresas que usan nube tardaron entre 1 y 3 días en recuperarse, otro 11% entre 3 días y una semana, y un 11% no se recuperaron completamente.
  • Para las empresas que no usan la nube, un 11% requirió entre 1 y 2 semanas para recuperarse del ataque, mientras que un 2% tardó entre 1

mes o más, y otro 2% no se recuperó completamente.

  • Las empresas que no utilizan la nube no sólo enfrentan una mayor incidencia de filtración o robo de datos (25%) sino que también experimentan tiempos de recuperación significativamente más largos, con un 85% tardando más de dos semanas para recuperarse, lo cual puede tener un impacto severo en sus operaciones y finanzas.

Reporte de incidentes de ciberseguridad a las autoridades

¿Ha reportado a las autoridades competentes incidentes de seguridad informática?

En caso de No, ¿por qué?

  • Menos del 20% de las empresas encuestadas denuncian ante las autoridades los incidentes de seguridad que han enfrentado. Casi el 60% no tiene conocimiento del marco legal en materia de ciberseguridad o no sabe ante qué autoridad levantar la denuncia. Quienes piensan que denunciar daña la reputación de la empresa representan sólo el 9%.
  • El bajo número de denuncias motivado, presumiblemente, por el desconocimiento tanto del marco normativo como de las autoridades competentes en materia de ciberseguridad, resulta relevante si se considera el riesgo que representa para las empresas realizar operaciones en el mundo virtual, del que son cada vez más dependientes.

Acciones que consideran que el gobierno debe llevar a cabo

Seleccione las acciones que considera que el gobierno debe llevar a cabo para mejorar la posición de ciberseguridad de las empresas.

  • De acuerdo con los encuestados, las acciones más relevantes que el gobierno debe emprender en materia de ciberseguridad empresarial son: la creación de un organismo de coordinación nacional en materia de ciberseguridad (64%), el fortalecimiento del marco normativo vigente (58%), generar programas de capacitación (56%) y el fomento de la colaboración privada y gubernamental para compartir información sobre amenazas (56%).
  • En segundo lugar, las empresas consideran necesario que el gobierno promueva la investigación en materia de ciberseguridad (35%), la certificación y el otorgamiento de incentivos fiscales a empresas con buenos estándares e inversión en materia de ciberseguridad (las dos con 34%), y en último lugar con un 29%, la generación de protocolos de respuesta y recuperación ante ciberataques.

Responsabilidad del sector público y

En una escala del 1 al 5, ¿qué nivel de responsabilidad considera que tiene el gobierno en mejorar la ciberseguridad de las empresas?

  • De acuerdo con los resultados de la encuesta, las empresas consideran en un 19% que el gobierno tiene máxima responsabilidad en los temas de ciberseguridad. Un 32% supone que es una alta responsabilidad, mientras que el 30% piensa que es moderada. Sólo un 8% atribuye un baja responsabilidad y un 11% ninguna.

En una escala del 1 al 5, ¿qué nivel de responsabilidad considera que tienen las empresas en mejorar su propia ciberseguridad?

  • Con respecto al nivel de responsabilidad que tiene la empresa en el tema de ciberseguridad, un 71% piensa que es máxima, un 18% que es alta, mientras que un 8% se atribuye una responsabilidad moderada. Sólo un 2% piensa que es poca y un 1% que no tiene responsabilidad alguna.

En una escala del 1 al 5, ¿qué nivel de responsabilidad considera que tienen las empresas de tecnología en mejorar la ciberseguridad de otras empresas?

  • Sobre la responsabilidad que tienen las empresas de tecnología en la mejora de la ciberseguridad, el 43% respondió que es máxima, mientras que un 38% que es alta. Enseguida, un 15% supone que la responsabilidad es moderada y sólo un 3% piensa que es poca. Por último, un 1% cree que las empresas de tecnología no tienen ninguna responsabilidad sobre el tema.

Conclusiones

Este estudio de ciberseguridad revela una dualidad entre la resiliencia y la vulnerabilidad. A pesar de los numerosos intentos de ataque, la mayoría de las

empresas han contenido con éxito las amenazas gracias a la implementación de estrategias de ciberseguridad básicas que han demostrado ser eficaces contra los ciberataques más comunes.

El software antimalware está presente en la mayoría de las empresas de las que el 45% emplea una consola centralizada para su gestión. Sin embargo, hay un 12% de empresas sin un responsable claro para la instalación y mantenimiento de software de seguridad, señalando un área de vulnerabilidad potencial. La protección de los datos mediante copias de seguridad es una práctica común en el 90% de las empresas que realiza el respaldo de su información. De ellas, el 50% lo hace semanalmente, lo que muestra un alto grado de conciencia sobre la importancia de salvar la información crítica.

En la gestión de incidentes, hay una división casi equitativa entre las empresas que tienen y las que carecen de políticas y procedimientos formales. A pesar de que el 80% realiza análisis de riesgos informáticos, solo un 33% los ha efectuado en el último semestre, lo que puede indicar una falta de actualización frente a amenazas emergentes.

Aunque en México la mayoría de las empresas usan los servicios de la nube (86%) también es importante considerar invertir en capacitación y educación sobre ciberseguridad para su personal y no depender únicamente de los mecanismos de seguridad heredados de la nube. Respecto a los incidentes, las empresas han experimentado costos de recuperación generalmente bajos: indicando cifras inferiores a $50,000 pesos. Sin embargo, el porcentaje no es despreciable si se considera el alcance económico total de estas pérdidas para el sector. El que los datos indiquen que casi una quinta parte de las empresas ha sufrido incidentes que afectan sus cuentas bancarias subraya la necesidad de una mayor atención a la seguridad financiera digital.

Las empresas también muestran una tendencia similar en cuanto a la ocurrencia y manejo de incidentes cibernéticos. Una proporción significativa no ha sufrido ataques o ha mantenido las pérdidas económicas en niveles manejables. Aunque las incidencias de alto costo son menos comunes, cuando ocurren, representan impactos financieros sustanciales.

Conclusiones

El uso de servicios en la nube se destaca como un factor diferencial en la capacidad de respuesta ante incidentes cibernéticos. Un porcentaje significativo

de empresas que no usan la nube reportan tiempos más largos para restablecer la normalidad operativa tras un incidente, lo que puede conllevar consecuencias operativas y financieras graves, un 85% de ellas puede tardar más de dos semanas para recuperarse. Esto refleja cómo los servicios en la nube pueden agilizar la recuperación a través de herramientas de respuesta a incidentes y respaldos automáticos que facilitan una restauración rápida.

Las herramientas y servicios de seguridad en la nube parecen ser efectivas para mitigar ciertos tipos de ataques cibernéticos, particularmente el phishing y posiblemente el ransomware. La adopción de la nube puede aumentar la visibilidad de las amenazas, lo que es crucial para una respuesta rápida y efectiva ante incidentes de seguridad. Sin embargo, la responsabilidad de la seguridad en la nube es compartida. Aunque los proveedores ofrecen una plataforma robusta, la gestión de los datos y la información sigue recayendo en los usuarios del servicio, por lo que las empresas deben invertir en capacitación, políticas de seguridad y prácticas de manejo de datos para proteger su información.

En el panorama más amplio, la inversión en ciberseguridad en México refleja un compromiso variable con el 36% de las empresas medianas y grandes destinando entre 100 mil y 1 millón de pesos anuales a iniciativas de ciberseguridad. Esta inversión se incrementa en empresas con mayores recursos, con un 29% invirtiendo entre 1 y 10 millones de pesos, y un porcentaje más reducido (14%) que supera los 200 millones de pesos. No obstante, en las Mipymes el 75% no tiene un rubro destinado a ciberseguridad, estas cifras podrían indicar que aún existe un margen considerable para que las empresas aumenten su inversión en ciberseguridad, especialmente teniendo en cuenta la creciente sofisticación y frecuencia de los ciberataques.

La adopción de estándares de ciberseguridad, como la norma ISO/IEC 27001, se está generalizando en el sector de las medianas y grandes empresas, alcanzando a un 51%, lo que subraya un esfuerzo por alinear las prácticas de seguridad con estándares reconocidos internacionalmente. El 75% de las Mipymes en México no han implementado ningún estándar o marco de referencia de ciberseguridad. Esto destaca un área significativa de oportunidad para mejorar la postura de seguridad cibernética en el sector de las Mipymes en México, fomentando la adopción de marcos de referencia reconocidos que pueden proporcionar directrices claras y efectivas para proteger sus operaciones digitales.

Conclusiones

El personal dedicado a la ciberseguridad sigue siendo limitado, con muchas empresas confiando en equipos pequeños o en apoyo externo para manejar

sus necesidades de seguridad. El 79% de las empresas encuestadas combina recursos propios con consultorías externas, lo que refleja una tendencia hacia el uso de servicios externos especializados como una solución práctica para acceder a la experiencia y las capacidades técnicas especializadas.

En términos de incidencia, el hecho de que una mayoría significativa de empresas no haya experimentado robos de datos es alentador y puede reflejar la eficacia de las medidas preventivas adoptadas. Sin embargo, del 16% de las empresas que sí reportaron robos de datos, un pequeño pero significativo porcentaje identificó a colaboradores o proveedores como responsables, lo que deja ver la necesidad de estrategias de seguridad internas robustas, así como la importancia de la seguridad perimetral y una adecuada implementación de las matrices de acceso a sus sistemas.

La capacidad de recuperación de las empresas ante incidentes de seguridad también revela un panorama mixto. Aunque la mayoría de las empresas pudo recuperarse en menos de 24 horas, un porcentaje aún considerable tardó semanas o incluso no se recuperó por completo, lo que sugiere que la planificación de la continuidad del negocio y las estrategias de recuperación ante desastres necesitan ser componentes integrales de la postura de ciberseguridad de una empresa.

El bajo número de denuncias de incidentes de ciberseguridad podría estar motivado por la falta de conocimiento del marco legal o por la percepción de que denunciar puede dañar la reputación de la empresa, lo que subraya la necesidad de una mayor claridad en el marco legal y un cambio en la cultura empresarial que fomenta la transparencia y la comunicación abierta sobre los desafíos de la ciberseguridad.

Finalmente, la responsabilidad percibida de las empresas, el gobierno y los proveedores de tecnología en la mejora de la ciberseguridad varía, pero hay un consenso claro de que la responsabilidad es compartida. Las empresas reconocen su papel crítico en la protección de sus propios sistemas, mientras que también se espera que el gobierno fortalezca el marco normativo y promueva la colaboración y la capacitación. Los proveedores de tecnología, por su parte, son vistos como actores clave en la oferta de soluciones seguras y efectivas.

Estos hallazgos refuerzan la necesidad de una estrategia integral de ciberseguridad que incluya inversión en tecnología, educación y capacitación, así como colaboración entre el sector público y privado para construir un entorno digital más seguro y resiliente en México.

A través de la plataforma del Consejo de Datos y Tecnologías Emergentes (cdetech) se implementaron dos técnicas de recopilación de información: SurveyConnect con un enfoque innovador y eficiente para la aplicación de encuestas a través de medios digitales y vía SMS; y Triptrack que permite la recolección y análisis de datos en ecosistemas digitales impulsados por MATRIA A.I . Este paquete técnico garantiza la recopilación de datos con un margen de error reducido y un alto nivel de confianza, al tiempo que facilita la participación de los encuestados.

Técnica 1: SurveyConnect

Procedimiento: Envío de encuestas vía redes sociales, whatsapp y vía SMS, facilitando la participación de una amplia gama de usuarios y asegurando una mayor representatividad de la muestra.

Muestra:1,293 internautas ubicados en la República Mexicana.

Internautas en lo general: 712 Familias mexicanas: 324 Empresas en México:257

Error muestral 5.1%, margen de confianza 95%

Marco muestral: + de 3 millones de usuarios virtualizados y contactables de MATRIA A.I pertenecientes a 32 estados de la república mexicana considerados por sexo, generación y NSE.

Periodo de levantamiento: Las encuestas se llevaron a cabo del 25 de

septiembre al 15 de Octubre de 2023, asegurando que la información recopilada sea actual y relevante.

Grupo objetivo: El estudio se centró internautas a nivel nacional mayores de 18 años. En padres de familia con hijos entre 3 y 18 años y encargados de ciberseguridad en empresas mexicanas.

Técnica 2: Trip- track

Procedimiento: Recolección y análisis de datos digitales de dispositivos móviles, GDPR Compliance.

Muestra: 536,879 dispositivos de Internautas en México. Marco muestral: + de 8 millones de dispositivos móviles pertenecientes a usuarios virtualizados de MATRIA A.I

pertenecientes a 32 estados de la república mexicana y que cuenten con al menos una aplicación médica instalada.

Periodo de levantamiento: Marzo – Agosto 2023

Grupo objetivo: Muestra representativa de usuarios con alguna aplicación en la categoría de seguridad.

Amazon Web Services (AWS)

Promotores y patrocinadores

Asociación de Internet MX

Es la nube más adoptada y completa en el mundo, que ofrece más de 200 servicios integrales de centros de datos a nivel global. Millones de clientes, incluso las empresas emergentes que crecen más rápido, las compañías más grandes y los organismos gubernamentales líderes, están usando AWS para reducir los costos, aumentar su agilidad e innovar de forma más rápida.

Normalización y Certificación NYCE

Organismo Nacional de Normalización (ONN) en la industria Electrónica, Telecomunicaciones y Tecnologías de Información lo que consolidó su liderazgo en la evaluación de la conformidad en materia de Normas Oficiales Mexicanas (NOM) y Normas Mexicanas (NMX) para diversas industrias.

Cyber.Lat Tranquilidad asegurada

Provee tranquilidad al administrar proactivamente la ciberseguridad de activos digitales más valiosos. Tienen

como enfoque prioritario la prevención. Además, se dedica a asistir a los grupos vulnerables en su transición hacia una Sociedad Digital.

Somos la asociación civil mexicana que tiene a los principales actores de la industria de internet como socios y aliados.

Proveemos información sobre distintas temáticas alrededor del mundo digital.

Somos el marco de referencia en temas claves para el desarrollo e implementación de proyectos normativos y de política pública que coadyuven en la productividad y la competitividad de México.

Consejo de datos y tecnologías emergentes:-Encargado de la elaboración del estudio.

El Consejo de Datos y Tecnologías Emergentes de México, una organización líder dedicada a asesorar y dirigir en el campo de las tecnologías avanzadas en nuestro país. Impulsados por nuestra plataforma estrella MATRIA A.I con más de 85 millones de gemelos virtuales en México y capas de datos públicos de diferentes sectores econónomicos, geocontextuales y medioambientales.

White Bx Project – Encargado de la revisión y validación del estudio.

Es una empresa de consultoría y proveeduría de servicios que busca fomentar el uso de la inteligencia artificial, en empresas y gobiernos, con un enfoque ético y de regulación altamente novedoso, basado en auditorías algorítmicas.

asociaciondeinternet.mx

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *