Ciberseguridad y mercado bursátil: efecto de los ciberataques en empresas cotizadas

[ES] En el contexto de la creciente digitalización de la economía global, la ciberseguridad se ha consolidado como un factor crítico para la estabilidad corporativa. La adopción de nuevas tecnologías como la inteligencia artificial, ha supuesto tanto un aumento tanto en la frecuencia como en la sofisticación de las amenazas. Además, los ciberataques amenazan a sectores críticos como son el financiero, energético, telecomunicaciones, industrial y el sanitario. En consecuencia, las empresas se ven directamente expuestas a estas amenazas, no solo comprometiendo su operativa, sino también su valoración en el mercado. El objetivo principal de esta investigación es cuantificar el impacto financiero de los incidentes de ciberseguridad en las empresas cotizadas. Específicamente, se analiza la reacción del mercado de valores ante anuncios de ciberataques, evaluando sus efectos sobre cuatro indicadores clave: el precio de la acción, la rentabilidad, el volumen de negociación y la volatilidad. Para tal fin, la metodología se fundamenta en un estudio de eventos aplicado a una muestra de ciberataques anunciados públicamente por empresas cotizadas durante los últimos años. Se calculan los retornos anormales (AR) mediante la diferencia entre la rentabilidad observada post-evento y la rentabilidad esperada, estimada a través del modelo de valoración de activos de capital (CAPM). Asimismo, se analiza la evolución de la volatilidad implícita y realizada de los títulos mediante la aplicación de modelos GARCH. Para aislar el efecto atribuible exclusivamente al ciberataque, se realiza un análisis comparativo con un grupo de control, compuesto por empresas del mismo sector no afectadas por incidentes similares en el mismo periodo. Este trabajo busca aportar evidencia empírica sobre la materialización de los ciberataques como un factor de riesgo financiero relevante en el mercado. Los resultados pretenden ofrecer una valoración cuantitativa de su impacto, sirviendo como información de valor para inversores.

[EN] In the context of the growing digitalization of the global economy, cybersecurity has established itself as a critical factor for corporate stability. The adoption of new techonologies such as AI, have led to an increase in both the frequency and sohpistication of threats. Furthermore, cyberattacks threaten critical sectors such as finance, energy, telecommunications, industry, and healthcare. Consequently, companies listed on major stock indices, are directly exposed to these threats, which compromise not only their opeations but also their market valuation. The main objective of this research is to quantify the financial impact of cybersecurity incidents on listed companies. Specifically, it analyzes the stock market s reaction to ciberattack announcements, evaluating their effects on four key indicators: stock price, return, trading volume, and volatility. To this end, the methodology is based on an event study applied to a sample of publicly announced ciberattacks by listed companies over the last five years. Abnormal returns (AR) are calculated as the difference between post-event return and expected return, estimated using the Capital Asset Pricing Model (CAPM). Additionally, the evolution of the securities implied and realized volatility is analized using GARCH models. To isolate the effect solely attributable to the cyberattack, a comparative analysis is conducted with a control group, composed of companies from the same sector not affected by similar indcidents during the same period of time. This project aims to provide empiirical evidence on the materialization of cyberattacks as a relevant financial risk in the market. The results aim tyo provide a quantitative assessment of their impact, serving as valuable information for investors.

[CA] Aquest estudi quantifica l’impacte financer dels ciberatacs en empreses cotitzades i demostra una destrucció de valor mitjana del -6.84% en els 10 dies posteriors a l’anunci de l’incident. Mitjançant un estudi d’esdeveniments sobre 26 casos en els principals índexs borsaris i la validació amb un grup de control, s’aïlla l’efecte causal de l’atac. Els resultats revelen un impacte negatiu estadísticament significatiu, amb la caiguda més pronunci- ada el cinqué dia post-esdeveniment. A més, es constata un augment del risc percebut, amb un increment significatiu de la volatilitat en el 35% de la mostra. L’anàlisi diferencial mostra que el mercat penalitza amb més severitat els atacs que interrompen l’operativa, mentre que les filtracions de dades generen un augment més gran de la incertesa (vo- latilitat). Aquestes troballes aporten evidència empírica rigorosa que els ciberatacs es tradueixen en un risc financer tangible, reforçant la necessitat de tractar la ciberseguretat com una inversió de capital (CAPEX) estratègica i no com una simple despesa operativa.