El costo real de un ciberataque para una PYME chilena
Costos directos, indirectos y reputacionales de un ciberataque. Caso hipotético de ransomware en empresa de 20 personas con estimación de pérdidas reales.
“Somos muy pequeños para que nos ataquen.”
Es la frase que escuchamos más seguido de dueños de PYMEs cuando hablamos de ciberseguridad. Y es también el mito que más daño hace.
La realidad es que el tamaño de una empresa no determina si es un objetivo de ciberataques — determina cuánto puede aguantar uno. Las PYMEs son objetivos atractivos precisamente porque tienen menos defensas que las grandes empresas, mientras manejan datos de clientes y cuentas bancarias igual de reales.
En este artículo vamos a revisar de manera honesta cuánto cuesta un ciberataque a una empresa mediana o pequeña en Chile: no para asustar, sino para ayudarte a tomar decisiones informadas sobre cuánto invertir en prevenirlos.
El mito de “somos muy pequeños”
Los atacantes modernos no seleccionan manualmente a sus víctimas. Los ataques de ransomware, phishing y credential stuffing se lanzan con herramientas automatizadas que escanean Internet buscando sistemas vulnerables. Si tu servidor tiene una vulnerabilidad conocida y está conectado a Internet, va a aparecer en esos escaneos — independientemente de si tienes 5 o 5.000 empleados.
Más aún: algunos atacantes prefieren a las PYMEs. Son más fáciles de comprometer, tienen menos recursos para defenderse durante un ataque, y estadísticamente tienen menos probabilidades de denunciar el incidente (por vergüenza o desconocimiento). Un rescate de CLP 3 millones es más probable de ser pagado por una PYME desesperada que el mismo monto por una gran corporación que tiene equipo legal y protocolo de respuesta.
Según Verizon Data Breach Investigations Report, más del 43% de los ataques tienen como objetivo a pequeñas empresas.
Los tipos de costos de un ciberataque
Un ciberataque no genera un solo costo. Genera una cascada de costos que se distribuyen en el tiempo y que raramente los dueños de empresa tienen en su radar al momento del incidente.
Costos directos (los que se pagan de inmediato)
Rescate: Si el ataque es ransomware y decides pagar, el monto puede ir desde CLP 1 millón para una empresa pequeña hasta decenas de millones para empresas medianas. El pago no garantiza recuperar todos los datos.
Recuperación técnica: Contratar a especialistas en respuesta a incidentes para contener el ataque, analizar el alcance y recuperar sistemas. En Chile, las tarifas de respuesta a incidentes van desde UF 10 hasta UF 100 o más dependiendo de la complejidad y el tiempo involucrado.
Reemplazo de equipos: En algunos casos de compromiso severo, hay que reemplazar hardware que no se puede desinfectar con certeza.
Servicios legales y de privacidad: Si el ataque involucra datos personales de clientes, necesitas asesoría legal para cumplir con las obligaciones de notificación bajo la Ley 21.663 y la normativa de datos personales vigente.
Costos indirectos (los que se acumulan mientras el negocio está parado)
Tiempo de inactividad: Este es el más subestimado. Una empresa de 20 personas que factura CLP 50 millones mensuales tiene un costo de inactividad de aproximadamente CLP 2,5 millones por día hábil. Un ransomware que deja a la empresa sin operar durante 10 días representa CLP 25 millones solo en facturación perdida.
El tiempo promedio de recuperación de un incidente de ransomware sin backups adecuados es de 16 a 21 días. Con backups buenos, puede reducirse a 1-3 días.
Pérdida de contratos: Clientes que no reciben servicio durante el período de inactividad pueden cancelar contratos o no renovar.
Costo de empleados sin poder trabajar: Los sueldos se siguen pagando aunque el negocio esté detenido.
Investigación forense: Para empresas en sectores regulados, puede ser obligatorio contratar una investigación forense para determinar el alcance exacto del incidente.
Costos reputacionales (los más difíciles de cuantificar)
Pérdida de confianza de clientes: Si el ataque involucró datos de clientes, muchos no van a continuar confiándole su información a tu empresa. Según estudios de IBM, el 55% de los consumidores que se ven afectados por una brecha de datos evitan volver a hacer negocios con esa empresa.
Daño a la marca: Noticias sobre ciberataques —aunque no sean técnicamente culpa de la empresa— generan percepción negativa. En mercados pequeños donde la reputación se construye lentamente, este daño puede ser persistente.
Desventaja competitiva: Mientras tu empresa se recupera, los competidores siguen operando.
Caso hipotético: “Constructora Valdés Ltda.”
Para hacer esto concreto, veamos un escenario hipotético basado en patrones reales de incidentes que afectan a PYMEs chilenas.
La empresa: Constructora Valdés Ltda., empresa de construcción con 20 empleados. Facturación mensual de CLP 40 millones. Tienen 3 computadores en oficina, el resto del equipo usa laptops propias conectadas a un servidor de archivos compartido. No tienen un departamento de TI formal — cuando algo falla, llaman a un técnico externo.
El incidente: Un lunes por la mañana, la secretaria abre un correo que parece ser de un proveedor de materiales adjuntando una “cotización revisada”. El archivo Excel contiene una macro maliciosa. En tres horas, el ransomware cifra el servidor de archivos y 2 de los 3 computadores de oficina. Aparece el mensaje: pagar USD 8.000 en Bitcoin para recuperar los archivos.
Los archivos cifrados incluyen: proyectos en curso, contratos con clientes, planos, cotizaciones, y la contabilidad de los últimos 3 años.
El backup: La empresa hacía backup semanal en un disco duro externo conectado permanentemente al servidor. Ese disco también fue cifrado.
Estimación de costos del incidente
| Categoría | Detalle | Costo estimado (CLP) |
|---|---|---|
| Rescate | USD 8.000 al tipo de cambio | $7.200.000 |
| Respuesta a incidentes | Empresa especializada, 3 días | $2.500.000 |
| Recuperación de datos | Empresa de recuperación, resultados parciales | $800.000 |
| Nuevos equipos | 1 servidor + reconfiguración | $1.500.000 |
| Asesoría legal | Notificación bajo Ley 21.663 | $500.000 |
| Tiempo de inactividad | 12 días × CLP 2M/día | $24.000.000 |
| Pérdida de contratos | 2 clientes no renovaron por demoras | $8.000.000 |
| Sueldos durante inactividad | 20 personas × 12 días | $4.800.000 |
| Total estimado | $49.300.000 |
Eso es casi CLP 50 millones. Para una empresa que factura CLP 40 millones al mes, representa más de un mes completo de facturación bruta — y eso sin contar los costos reputacionales que se arrastran por meses.
¿Decidieron pagar el rescate? Sí. ¿Recuperaron todos los archivos? No — cerca del 70% de los archivos del servidor se pudo descifrar. Los contratos de 2 proyectos en curso quedaron incompletos y tuvieron que reconstruirlos desde comunicaciones de correo.
Este escenario es más común de lo que crees
Los detalles son hipotéticos, pero el patrón — macro maliciosa en correo, backup conectado cifrado también, tiempo de inactividad prolongado — representa exactamente el tipo de incidente que el CSIRT de Gobierno atiende con mayor frecuencia en PYMEs chilenas.
Por qué existe el seguro de ciberseguridad
El seguro de ciberseguridad —o “cyber insurance”— es una póliza que cubre parte de los costos de un ciberataque. En Chile está disponible a través de las principales aseguradoras y brokers de seguros corporativos.
Lo que típicamente cubre:
- Costos de respuesta a incidentes
- Rescate (en algunas pólizas)
- Interrupción de negocio
- Responsabilidad ante terceros (clientes cuyos datos fueron afectados)
- Asesoría legal y de comunicaciones
Lo que no cubre:
- Mejoras de infraestructura posteriores al incidente
- Daños reputacionales a largo plazo
- Costos de incidentes que ocurrieron antes de contratar la póliza
El costo anual de una póliza básica de ciberseguridad para una PYME chilena puede partir desde UF 20-50 anuales dependiendo del tamaño y sector. Para que sea válida, la mayoría de las aseguradoras exigen ciertos controles mínimos: backup funcional, MFA en correo, sistemas actualizados.
El ROI de invertir en seguridad preventiva
Comparemos los números de Constructora Valdés con lo que hubiera costado prevenir el incidente:
| Medida preventiva | Costo anual estimado | Qué hubiera evitado |
|---|---|---|
| Capacitación en phishing (4 sesiones/año) | CLP 300.000 | La infección inicial por macro |
| Backup en la nube con versiones (ej. Backblaze B2) | CLP 120.000 | La pérdida de datos y el rescate |
| Antivirus corporativo con protección de macro | CLP 240.000 | La ejecución del ransomware |
| Total inversión preventiva | CLP 660.000/año | Potencial pérdida de CLP 49.300.000 |
La relación es de 1:74. Por cada peso invertido en estas tres medidas preventivas básicas, se habrían evitado 74 pesos de pérdida.
No existe ninguna inversión en el negocio —marketing, maquinaria, personal— que tenga un retorno potencial tan alto como la seguridad informática cuando se mide contra el riesgo.
¿Cuánto debería invertir una PYME en ciberseguridad?
No existe una respuesta única, pero hay referencias útiles:
- Mínimo: 1-2% del presupuesto de TI para empresas con bajo riesgo (pocos datos de terceros, baja dependencia digital)
- Recomendado: 5-10% del presupuesto de TI para empresas con datos de clientes, transacciones en línea o dependencia alta de sistemas digitales
- Sectores regulados (salud, financiero, infraestructura): los estándares son más altos y en algunos casos exigidos por normativa
Para una PYME que gasta CLP 2 millones mensuales en tecnología (software, hardware, soporte), el mínimo recomendado serían CLP 100.000-200.000 mensuales dedicados a seguridad. Eso cubre backup en la nube, antivirus corporativo y capacitación básica.
El punto de partida más importante
Antes de cualquier inversión sofisticada, verifica que tienes backup funcional y probado, que el MFA está activado en el correo corporativo, y que tu equipo sabe qué es un correo de phishing. Esas tres cosas cubren el 80% del riesgo al que está expuesta una PYME típica.
La pregunta correcta no es “¿cuánto nos costará invertir en seguridad?” sino “¿cuánto nos costará no haberlo hecho?” Los números de este artículo responden esa pregunta.