La pregunta con la que abrimos es fácilmente contestable, sí porque un único incidente de seguridad puede poner en jaque la continuidad de una organización. La pérdida de propiedad intelectual o datos sensibles de clientes genera un efecto dominó que abarca desde pérdidas millonarias hasta daños reputacionales irreparables. Según el Informe Cost of a Data Breach 2025 de IBM, el coste medio de una brecha asciende a 3,86 millones de euros, una cifra que puede dispararse en función del tipo de datos comprometidos. Por este motivo, desde ESET, subrayamos la urgencia de incorporar el cifrado de datos como elemento central en la estrategia de protección empresarial.
“El cifrado no es un complemento, es un requisito indispensable”, afirma Josep Albors, director de investigación y concienciación de ESET España. “Nuestro informe más reciente a nivel global, sitúa a España como el segundo país con más ciberamenazas detectadas, solo por detrás de Japón y por encima de grandes potencias como Estados Unidos. Esto nos debería de poner en alerta, más aún si tenemos en cuenta que las amenazas están evolucionando constantemente, impulsadas en parte por la IA y con la mira puesta en el futuro que nos depara la computación cuántica. Por ello, es crucial proteger la información crítica e ir un paso por delante de los atacantes de cara al futuro próximo”.
¿Por qué cifrar los datos?
El cifrado transforma la información en un formato ilegible para los atacantes, protegiendo así la información mientras se almacena o durante su envío. Su importancia es aún mayor si se tienen en cuenta los factores que, a día de hoy, multiplican los riesgos:
· Trabajo remoto e híbrido: en España, según el Instituto Nacional de Estadística, más de 3,32 millones de personas, un 15% de los trabajadores, ya realiza su labor en remoto, ya sea de forma habitual u ocasional, lo que incrementa los riesgos asociados al uso de dispositivos menos protegidos fuera del entorno corporativo.
· Incremento en la generación de datos: en 2025 se prevé la generación de 181 zettabytes de información. El auge de la IA y los modelos de lenguaje (LLMs) acelera aún más este crecimiento, exponiendo enormes volúmenes de datos sensibles a robos o fugas accidentales.
· Pérdida o robo de dispositivos: en entornos híbridos, los portátiles, móviles y tablets corporativas son más vulnerables a robos o pérdidas. Si los datos no están cifrados, el acceso no autorizado puede suponer un serio problema.
· Amenazas de terceros: la frecuencia y el alcance de las brechas de datos también son alarmantes. En el caso de España, los datos de la Agencia Española de Protección de Datos (AEPD) reflejan una evolución especialmente significativa, registrándose en 2024 más de 2.900 notificaciones de brechas de datos personales, frente a 2.005 en 2023 y 1.751 en 2022, lo que supone más de un 67% en dos años.
· Credenciales comprometidas: según Verizon, el abuso de contraseñas robadas representó el 22% de los accesos iniciales en brechas, seguido del phishing (16%). En 2024, otro informe de Flashpoint, apunta a que el 75% de los 3.200 millones de credenciales comprometidas fueron robadas con malware del tipo infostealer.
· Ransomware y extorsión: presente en el 44% de las brechas en 2024 (un aumento del 37% anual, según Verizon). Aunque el cifrado no impide que los atacantes bloqueen el acceso, sí garantiza que los datos extraídos resulten inservibles.
· Comunicaciones inseguras: a pesar del auge de las apps con cifrado de extremo a extremo, la mayoría de las empresas siguen basando sus comunicaciones en el correo electrónico, que sigue siendo vulnerable si no se cifra de manera adecuada.
· Amenazas internas: el 18% de las brechas a nivel global y el 29% en EMEA involucraron a actores internos, ya sea por descuido o intencionalidad maliciosa.
“Si miramos a la repercusión directa, el primer impacto de no contar con un cifrado sólido es económico. Los costes asociados a la detección, respuesta y notificación de una brecha pueden ser enormes, con sanciones regulatorias derivadas del incumplimiento de normativas como DORA, NIS2 o GDPR, entre otras, que ya exigen cifrado en distintos niveles. Pero las consecuencias no acaban ahí, ya que el daño reputacional es igual de importante”, señala Albors. “Como consecuencia de este mayor nivel de exposición, incluso el mercado asegurador penaliza la falta de medidas sólidas, pudiendo denegar la cobertura o encarecer de forma significativa las primas de ciberseguros. En definitiva, no cifrar los datos expone a las organizaciones a un riesgo total: financiero, legal y de confianza”.
¿Qué tipo de cifrado elegir?
Existen diferentes soluciones adaptadas a las necesidades de cada empresa. Entre ellas, ESET destaca:
- Cifrado de disco completo (FDE): protege discos, particiones y unidades completas en portátiles, ordenadores y servidores. Debe contar con algoritmos sólidos como AES-256, soporte multiplataforma, gestión centralizada y mínima intervención del usuario.
- Cifrado de archivos y carpetas, discos virtuales y archivos comprimidos: ideal para datos sensibles que deban compartirse o almacenarse en entornos no cifrados.
- Protección de medios extraíbles: evita fugas de información en dispositivos USB y similares.
- Cifrado de correo electrónico y adjuntos: garantiza que solo el destinatario legítimo pueda acceder al contenido de las comunicaciones.
Sin embargo, aunque esencial, el cifrado debe integrarse dentro de una estrategia de defensa en profundidad, que contemple la seguridad en todos los dispositivos, la autenticación multifactor (MFA), la gestión de vulnerabilidades y parches, la protección de servidores y aplicaciones en la nube, la formación en concienciación para empleados, así como soluciones avanzadas de detección y respuesta (EDR/XDR) y servicios de MDR para aquellas organizaciones que carecen de recursos internos y requieren monitorización continua y caza de amenazas respaldada por equipos de investigación especializados.
“Debemos estar preparados para las amenazas del futuro, no centrarnos únicamente en las del presente. La evolución de la computación cuántica plantea un escenario en el que los atacantes podrían descifrar, dentro de unos años, la información que hoy están recopilando y almacenando, una práctica conocida como 'harvest now, decrypt later'. Esto obliga a las organizaciones a anticiparse y comenzar a planificar una transición hacia estándares de cifrados resistentes a la era cuántica. Desde ESET insistimos en que la preparación mediante una estrategia integral es clave”, concluye Albors.