Cómo abordar el riesgo para la reputación en un ciberataque

En el mapa de riesgos reputacionales de una organización hay un tipo que necesita ser revisado con especial atención: aquellos cuya probabilidad de que ocurran es muy baja y, sin embargo, en el nivel de incidencia para la reputación ocupan el lugar más alto en caso de ocurrir, su impacto sería muy grave. Que sea […]

En el mapa de riesgos reputacionales de una organización hay un tipo que necesita ser revisado con especial atención: aquellos cuya probabilidad de que ocurran es muy baja y, sin embargo, en el nivel de incidencia para la reputación ocupan el lugar más alto en caso de ocurrir, su impacto sería muy grave. Que sea improbable con efecto de alta gravedad hace bajar en muchas ocasiones la guardia. Hace que la atención preventiva y de anticipación en su gestión operativa y en su comunicación se reduzca, e incluso, puede que se minusvalore dedicar recursos a plantear su abordaje.

Sin embargo, cada vez más lo improbable, lo imposible, lo incierto, lo más remoto que se pueda plantear, aquello que es más difícil que ocurra, ocurre. Ahí tenemos un ejemplo reciente: ¿Qué posibilidades hay en una empresa de que su CEO y la Directora de Recursos Humanos, ambos casados y con hijos, tengan una relación y se convierta en meme mundial de escándalo al viralizar ser pillados en un concierto porque la “kisscam” los enfoca, reaccionan escondiéndose, son grabados y subido a redes sociales? Este tipo de riesgo improbable pero con un grave impacto en la reputación corporativa es lo que le ha ocurrido a Astronomer ¿Tenían este riesgo mapeado dentro del área de posibles riesgos de complience corporativo?

Los posibles riesgos exógenos ligados a aspectos medioambientales son también cada vez más probables, ahí está la catástrofe de la DANA en España, o los riesgos vinculados a estructuras críticas, como el apagón total que dejó al país sin energía eléctrica. Dentro de los posibles riesgos tecnológicos los que están vinculados a la ciberseguridad están creciendo exponencialmente. Ha dejado se ser improbable sufrir un ciberataque y este tipo de amenazas suponen un daño reputacional inmediato.

Un ataque cibernético tipo ‘ransomware’ que deje inoperativos servicios básicos se está convirtiendo en algo cada vez más frecuente. Ningún sector, región o empresa, da igual su tamaño, está a salvo. En España este verano ha habido alerta por 2.057 ciberataques semanales en julio, según datos de Check Point Software. Entre los más recientes, por ejemplo, la empresa Hero sufrió un ciberataque en sus sistemas informáticos que afectó a la producción en su planta de Alcantarilla (Murcia); o el ciberataque a iiNet en Australia que ha expuesto datos de 280.000 clientes.

La digitalización, automatización y soluciones de datos integradas en múltiples operaciones son grandes avances, pero también hacen que aumenten los riesgos cibernéticos en las organizaciones y su nivel de sofisticación. La red Crisis Communications Network Europe (CCNE) ha identificado las crisis cibernéticas como la mayor amenaza potencial a la que se enfrentan actualmente las empresas. Así queda reflejado en el informe “CCNE Pulse Check 2025: Perspectivas de expertos en crisis de 18 países europeos”: los ciberataques están incluso antes que las perturbaciones económicas o la inestabilidad política.

El 90 % de las empresas no están preparadas para enfrentar ciberataques con IA según advierte Accenture en su informe Estado de la Resiliencia Cibernética 2025. Además, hay que tener presente que el coste medio de un ciberataque supera los 200.000€ según datos de ERNI España. Este impacto económico es especialmente grave para las pequeñas y medianas empresas, que carecen de equipos propios de ciberseguridad. Y a ello se debe añadir el coste del impacto en la reputación, en la pérdida de confianza, si no se sabe manejar adecuadamente este tipo de crisis.

¿Sabrías qué hacer si han hackeado tu organización y no puedes operar con normalidad y este hecho es conocido de manera pública? ¿Sabrías qué hacer si la brecha de seguridad que sufres afecta a datos de terceros y estos son filtrados? ¿Está preparado el Comité de Crisis de manera emocional para abordar este tipo de crisis que pone en juego la credibilidad de la empresa?

Seis claves para generar confianza

Una crisis no define a una organización. No. La define cómo es gestionada y cómo es liderada. La gestión y el liderazgo están estrechamente ligados con la comunicación. Difícilmente se puede liderar si no se sabe comunicar ya que en las crisis la credibilidad y la coherencia están en juego.

Es necesario que las organizaciones tengan un protocolo de respuesta ante las ciber crisis pero este no debe solo quedarse en la parte tecnológica de IT, Sistemas y Continuidad del Negocio y en el cumplimiento normativo en ciberseguridad, sino que debe de incluir la gestión de la reputación: cómo se va a manejar en su estrategia de comunicación.

La UE aprobó una actualización de la Directiva NIS (2016) que entró en vigor en octubre 2024 y amplía su alcance, endurece los requisitos y establece sanciones más severas por incumplimiento. Hay que garantizar la seguridad en toda la cadena de suministro. Con la nueva directiva NIS 2, las organizaciones deben estar preparadas para notificar cualquier incidente relevante en un plazo de 24 horas, y proporcionar información adicional en las siguientes 72 horas, así como un informe final en un máximo de un mes ante las autoridades.

En la gestión de comunicación de crisis se trabaja la estrategia, los mensajes y las relaciones con todos los grupos de interés. No es un tema solo del relato, la narrativa y mensajes clave a establecer. Es clave los vínculos que previamente se tienen con esos grupos de interés y la capacidad para llegar a generarlos en un tiempo récord con la crisis, que suele ser muy reducida cuando el problema estalla porque la comunicación hay que trabajarla antes.

Saber manejar estas relaciones con los grupos de interés (principalmente con los clientes, los proveedores, los empleados, el regulador y los medios) es esencial y tiene que ver mucho con las emociones que se pueden generar ante lo ocurrido ligadas a la percepción y sus propias expectativas, diferentes en cada grupo.

Estos seis aspectos son claves en la gestión de cualquier crisis, sobre todo en las producidas por ciberataque, y si los sabemos manejar protegeremos la imagen pública y la confianza:

1. Transparencia: saber contar lo necesario a cada grupo de interés.
2. Claridad: saber informar de manera concisa y que se entienda.
3. Coordinación: saber trabajar con eficacia entre todas las partes involucradas.
4. Consistencia: saber ser rápidos en estructurar la acción de respuesta.
5. Portavoces: saber comunicar con liderazgo tanto de manera externa como interna.
6. Experiencia: saber gestionar depende más de la práctica simulada que de tener protocolos.

Invertir en prevención es la apuesta más rentable

Realizar simulacros es una manera de estar preparados frente a este tipo de ciberriesgos reduciendo drásticamente la improvisación. Este tipo de entrenamientos capacitan a toda la organización en sus reflejos para la respuesta y las normativas NIS 2 y DORA recomiendan realizarlos. No se puede ser eficaz sin tener preparación anticipada.

Cuando en una empresa hay alta exposición digital, se cuenta con una gran dependencia de datos para operar o hay un elevado nivel de automatización de procesos, es necesario que se simulen situaciones de crisis por ciberriesgos: es la forma de entrenar a los equipos en la respuesta óptima en todos los niveles: del operativo y técnico, al legal y de comunicación. Es un error pensar que son crisis ligadas solo a la parte técnica, lo mismo que es un error pensar que es muy difícil que mi organización sufra una crisis de este tipo. Hay que ser diligente al resolver el problema para ganarse la confianza.

El desafío de gestionar una crisis de reputación por un ciberataque o por robo de datos es cada día un riesgo más probable y de alta gravedad. Frente a la desconfianza que genera este tipo de amenazas hay que actuar desde la comunicación: qué ha pasado, qué se está haciendo, cuál es el impacto son tres preguntas básicas que hay que atender. Las decisiones que se tomen en el Comité de Crisis y cómo se ejecuten tienen un impacto directo en las expectativas pragmáticas que tanto influyen en este tipo de crisis.

La responsabilidad y compromiso de las organizaciones pasa por cumplir con lo que marca la normativa en esta materia y no hay que olvidar que si hay afectación de datos se tiene 72 horas para comunicar lo ocurrido tanto Agencia de Protección de Datos como a los afectados. La reputación está en juego si no se actúa de forma solvente, rápida y eficaz. Un reto para el que hay que prepararse.