Crédito: Dominio público de Pixabay/CC0
En su última publicación anual, el grupo de seguros Hiscox encuestó a más de 2,000 gerentes de ciberseguridad en ocho países, incluida Francia. Dos tercios de las compañías en la encuesta informaron haber sido víctima de un ciberataque entre mediados de agosto de 2023 y septiembre de 2024, un aumento del 15% durante el período anterior. En términos de pérdidas financieras potenciales, Statista estimó que los ataques cibernéticos le costaron a Francia de hasta € 122 mil millones en 2024, en comparación con € 89 en 2023, un aumento del 37%.
Las principales formas de ataques cibernéticos sobre las empresas francesas, las recomendaciones sobre cómo las empresas pueden protegerse y las respuestas técnicas y legales que pueden adoptar están bien documentadas.
Sin embargo, se sabe mucho menos sobre las comunicaciones apropiadas y las respuestas de relaciones públicas a los ataques cibernéticos. Los problemas en juego son críticos. Cuando una empresa es el objetivo de un ataque cibernético, ¿debería aceptar sistemáticamente la responsabilidad o puede afirmar que es una víctima para proteger su reputación? Una respuesta incorrecta puede agravar la situación y socavar la confianza de los clientes e inversores.
Posicionamiento como víctima
Nuestra investigación reciente cuestiona la suposición de que aceptar la responsabilidad causal debe ser la norma después de un ataque cibernético: mostramos que posicionarse como víctima puede ser más efectivo para limitar el daño a la imagen: las afirmaciones proporcionadas de víctima se despliegan de manera inteligente.
Existe evidencia de que las empresas necesitan una estrategia para presentarse efectivamente como víctimas de ciberdelincuentes. Algunas empresas, como T-Mobile y Equifax, han pagado en el pasado una compensación a los consumidores mientras se niegan a aceptar cualquier responsabilidad, esencialmente presentándose como víctimas.
Del mismo modo, el gran operador de telecomunicaciones franceses se presentó como una víctima al comunicarse sobre el ataque cibernético a gran escala que afectó sus operaciones en octubre pasado, lo que puede haber tenido un impacto en su imagen. TalkTalk del Reino Unido inicialmente se enmarcó como víctima de un delito cibernético, pero luego fue criticado por sus inadecuadas medidas de seguridad.
Victimización y simpatía
Terce declarándose a sí mismo como la única entidad de la culpa o la única víctima de un ciberataque, que es lo que nos interesa aquí, puede ser arriesgado y contraproducente en una empresa, dañando su credibilidad en lugar de proteger su reputación.
Cuando las empresas se presentan como víctimas del delito cibernético, pueden obtener simpatía de las partes interesadas. Las personas tienden a ser más compasivas con las empresas que se representan a sí mismas como perjudicadas en lugar de aquellas que niegan la responsabilidad o la culpa. En esencia, esta estrategia enmarca la organización como un objetivo de fuerzas externas más allá de su control, en lugar de tan negligente o incompetente. Aprovecha una norma social fundamental: la tendencia instintiva de las personas a apoyar a aquellos que ven como víctimas.
Pero las afirmaciones de victimización deben alinearse con las expectativas públicas y el contexto específico de la violación. No deberían tratarse de la responsabilidad deluditable, sino de reconocer el daño de una manera que fomenta la comprensión y la confianza. Los siguientes enfoques y opciones pueden ayudar.
Las reacciones de las partes interesadas a menudo dependen de su comprensión de la situación. Si el ataque se percibe como un acto externo y malicioso, es crucial que una empresa adopte una postura consistente al enfatizar que ha sido una víctima. Pero si se prueba la negligencia interna, reclamar el estado de la víctima podría ser contraproducente. La rapidez de la respuesta de una empresa, el nivel de transparencia y la postura relativa tomada son parte de una buena estrategia.
Apoyo expreso para las partes interesadas
Adoptar una posición de victimización no significa negar toda responsabilidad o minimizar las consecuencias de un ataque. La compañía debe demostrar que se toma en serio la situación expresando empatía y compromiso con las partes interesadas afectadas. Debe prestar especial atención a los afectados dentro de la organización: un reclamo de victimización debe ser parte de una disculpa o un mensaje que exprese preocupación. Un mensaje efectivo debe ser sincero y orientado hacia soluciones concretas.
Encontramos que es más fácil para las empresas reclamar la víctima persuasivamente si se los perciben como virtuosos. Esta reputación puede deberse a un historial positivo en términos de responsabilidad social corporativa o porque son una institución sin fines de lucro (por ejemplo, una biblioteca, una universidad o un hospital). Las virtuosas víctimas generan simpatía y empatía, y esto también se refleja después de un ataque cibernético.
resaltar la noción y la sofisticación del ataque
Los resultados de nuestro estudio también muestran que la aceptación pública del estado de la víctima es más efectiva cuando se percibe que el ciberataque es el trabajo de actores maliciosos altamente competentes. También es importante que una empresa persuadira al público de que el ataque dañó a la empresa, mientras mantiene el enfoque principal de la respuesta en el público.
Es esencial distinguir entre afirmaciones legítimas de estado de víctima y comunicación que podrían percibirse como un intento de exonerarse. Un tono demasiado quejumbroso podría socavar la credibilidad de una empresa. El enfoque debe ser objetivo y constructivo, centrándose en las medidas tomadas para superar la crisis.
reacciones de prueba antes de comunicarse ampliamente
Las respuestas de las empresas a un ciberataque pueden variar según el contexto y el público. Es mejor evaluar diferentes enfoques antes de embarcarse en la comunicación a gran escala. Esto se puede hacer a través de pruebas internas, grupos focales o encuestas dirigidas. Las diferencias sutiles en la situación pueden causar cambios importantes en la forma en que el público percibe la violación y cuál podría ser la mejor respuesta.
Nuestro estudio arroja luz sobre un cambio en las expectativas públicas sobre la gestión de crisis: en la era del delito cibernético ubicuo, a menudo se comparten responsabilidades. La comunicación mal administrada después de un ataque cibernético puede conducir a una pérdida duradera de confianza y exponer a una empresa a mayores riesgos legales. Reclamar el estado de la víctima de manera efectiva, con un enfoque empático y transparente, puede ayudar a mitigar el impacto de la crisis y preservar la reputación de la organización.
Proporcionado por la conversación
Este artículo se vuelve a publicar de la conversación bajo una licencia Creative Commons. Lea el artículo original.
Cita: CyberAtacks: Cómo las empresas pueden comunicarse de manera efectiva después de ser golpeadas (2025, 29 de abril) recuperado el 29 de abril de 2025 de https://techxplore.com/news/2025-04-cyberattacks-companies-communicate.html
Este documento está sujeto a derechos de autor. Además de cualquier trato justo con el propósito de estudio o investigación privada, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona solo para fines de información.
