Ciberseguridad: crecer en tiempos de recesión
La pandemia de la COVID-19 fue el combustible de la digitalización de la economía. La rápida adopción de la tecnología en la nube, la multiplicación de los dispositivos y el aumento de la generación de datos terminaron sobrecargando los sistemas existentes y dejaron al descubierto las deficiencias en las defensas de las empresas. A la vez, los ciberataques repuntaron extensamente en todo el mundo. Ambos factores ahora fuerzan a las empresas mundiales a aumentar la inversión en soluciones de seguridad. Se está acelerando el crecimiento de los proveedores dedicados exclusivamente a la ciberseguridad que atienden las demandas emergentes de las empresas, los consumidores y los gobiernos. Esto representa una oportunidad para los inversionistas que buscan exposición a temas de crecimiento en el entorno de los retos macroeconómicos actuales.
Conclusiones clave
- Los ciberataques son cada vez más frecuentes y sofisticados. La seguridad de las operaciones digitales sigue siendo una de las mayores inquietudes de las empresas mundiales.
- Los principales proveedores de soluciones de ciberseguridad están observando una aceleración del crecimiento a medida que aumentan las inversiones en seguridad. Los ganancias demuestran ser fuertes en términos de facturación, ingresos y márgenes.
- Esperamos que el creciente uso de la tecnología refuerce aún más este impulso. Es probable que la inversión en ciberseguridad siga superando al resto del mercado de tecnología de la información (TI) a corto y mediano plazo.
El panorama de los ataques empeora
Puede que la amenaza de la COVID-19 esté retrocediendo, pero no así el aumento de la actividad digital provocada por la pandemia. En primer lugar, el trabajo híbrido sigue siendo popular, y es probable que se convierta en una práctica habitual para muchas empresas. Aunque los empleados regresen en gran medida a las oficinas, esperan poder trabajar desde cualquier lugar. Esta dinámica extiende la superficie que las empresas deben defender, lo que exige invertir en soluciones especializadas.
En segundo lugar, el conflicto en Ucrania refleja las nuevas amenazas a las que se enfrentan las empresas. Las organizaciones de piratería informática, los activistas hackers y las organizaciones delictivas atacan las infraestructuras de los países con los que no están de acuerdo. Las empresas suelen quedar atrapadas en esta situación, lo que ha elevado la ciberseguridad de un reto de ingeniería a una preocupación ejecutiva. Incluso el Gobierno de los EE. UU. recomienda a las empresas implementar medidas de protección más estrictas1.
En tercer lugar, al parecer nos encontramos en medio de una amplia transformación digital en la que los datos y las aplicaciones de las empresas se están trasladando a la nube. Proteger este cambio de los recursos de datos es una prioridad de inversión.
En cuarto lugar, se está digitalizando la tecnología operativa para gestionar infraestructura clave, como los oleoductos, las presas, las redes eléctricas y los sistemas de control industrial para manejar las cadenas de suministro y las instalaciones de producción.
La seguridad de estos nodos plantea retos a los gobiernos de todo el mundo.
El panorama de las amenazas es cada vez más peligroso. En el primer semestre de 2022, los ataques de ransomware crecieron casi un 52 % interanual2. Los ataques de ransomware como servicio de organizaciones de piratería informática consolidadas y notoriamente populares, como Conti y LockBit, que causaron algunas de las peores interrupciones por ransomware durante la pandemia de la COVID, crecieron un 500 % interanual3. Las amenazas cifradas también siguen creciendo4. Otros ataques habituales son la denegación de servicio distribuido (Distributed Denial of Service, DDoS), el malware y los ataques simples, como la suplantación de identidad (phishing) y la ingeniería social. Una empresa estadounidense promedio puede perder USD 9,4 millones por una vulneración de datos5. El impacto a largo plazo de tales ataques puede ser mucho peor. Los recursos de datos, las credenciales y los secretos empresariales suelen cambiar de manos en la Internet oscura durante décadas después de un ataque6.
Las ganancias demuestran ser fuertes
Las empresas de ciberseguridad podrían aprovechar el afianzamiento de las buenas condiciones para acelerar su crecimiento. Los ingresos de las empresas de ciberseguridad aumentaron aproximadamente un 19 % interanual en el último trimestre informado sobre una base anualizada, lo que supone un incremento de 680 puntos básicos secuencialmente y de 1250 puntos básicos interanualmente7. En nuestra opinión, esta aceleración es el mejor indicio del aumento de la inversión empresarial.
Si se analizan más a fondo los aspectos fundamentales de estas compañías, los márgenes brutos de las empresas de ciberseguridad se mantuvieron sólidos, con un promedio superior al 70 %8. Los márgenes de ganancias antes de intereses e impuestos (Earnings Before Interest and Taxes, EBIT) del −0,5 % mostraron cierta contracción debido a los actuales contratiempos macroeconómicos9. Los márgenes de flujo de caja libre superaron el 20 %10.
La demanda de plataformas de suscripción es especialmente fuerte. Palo Alto Networks, proveedor de software de seguridad de redes, aumentó sus ventas un 27 % interanual en el segundo trimestre de 2022 y revisó al alza sus previsiones para el tercer trimestre de 202211. Las ventas de CrowdStrike, proveedor de software de seguridad de terminales, crecieron aproximadamente el 59 % y superaron las estimaciones del 3,6 %12. CrowdStrike también aumentó sus previsiones13. ZScaler, proveedor de software de supervisión de tráfico, aumentó sus ventas aproximadamente un 61 % interanual y revisó al alza sus previsiones14. Fortinet, Sentinel One y Checkpoint, líderes del sector, superaron las estimaciones del último trimestre informado15, 16, 17.
Muchas de estas empresas también lanzan marcos y enfoques innovadores en un intento por obtener una mayor participación. La arquitectura de confianza cero es un marco de seguridad integral que desconfía de manera predeterminada de todos los agentes de hardware y software, lo que impone la necesidad de verificar cada sistema final siempre que interactúa con una red más amplia18. Otro marco emergente llamado Secure Access Service Edge (SASE) combina las prácticas recomendadas de la seguridad tradicional de redes con marcos de seguridad nativos de la nube, lo que hace posible inicios de sesión remotos e interacciones entre terminales de una forma mucho más segura19.
Las fusiones y adquisiciones en ciberseguridad no se detienen
A medida que crezca el mercado, pensamos que los principales proveedores de soluciones posicionados como soluciones integrales podrán consolidar una mayor participación, aumentar los márgenes y crecer de forma más eficiente que los competidores. Siguen siendo elevadas las fusiones y adquisiciones, y las principales empresas de ciberseguridad buscan adquirir empresas emergentes más pequeñas y cubrir los vacíos en sus carteras de productos. Palo Alto Networks adquirió Apiiro por USD 600 millones en septiembre20. CrowdStrike adquirió Humio por USD 400 millones en noviembre de 202121.
Otros posibles compradores de empresas de ciberseguridad son los hiperescaladores y las grandes franquicias de servicios de la nube que buscan reforzar sus carteras existentes de software de infraestructura. Para estas empresas, el software de seguridad puede ser una forma de retener a los grandes clientes y mejorar los márgenes. Además, las empresas de capital de riesgo se están convirtiendo en protagonistas de las fusiones y adquisiciones en ciberseguridad. La estrategia es sencilla: comprar empresas cibernéticas más pequeñas de una categoría específica y agruparlas para formar una compañía que domine el mercado.
La mayoría de las adquisiciones recientes en ciberseguridad se realizaron con una prima superior a la del resto del mercado de tecnología. A junio de 2022, el múltiplo medio de los acuerdos anunciados era de más de 9 veces los ingresos, casi un 25 % más que el múltiplo promedio de las ventas de empresas de ciberseguridad22.
Se espera que los gobiernos aumenten la inversión en cibernética
Proteger el entorno operativo en línea de las empresas es una prioridad para los gobiernos de todo el mundo. Las empresas de todo el mundo perdieron casi USD 6 billones anuales a causa de la ciberdelincuencia, debido a pérdida de datos, multas, pérdida de productividad, rescates y ataques que provocaron su quiebra total23. El impacto de la ciberdelincuencia puede ser especialmente perjudicial para las pequeñas empresas.
En el presupuesto de los EE. UU. para el año fiscal 2023, aumentaron casi un 10 % interanual las inversiones en ciberseguridad24. El presupuesto incluía USD 11 000 millones para que el Departamento de Defensa implementara una arquitectura de confianza cero en todos los sistemas de sus proveedores25. Además, la Ley de Inversión en Infraestructuras y Empleo incluía unos miles de millones de dólares para proteger los recursos gubernamentales locales26. Creemos que el compromiso del Gobierno de los EE. UU. con la ciberseguridad puede ser un indicio de las inversiones en ciberseguridad que se avecinan a medida que otros gobiernos mejoran su defensa.
Conclusión: la ciberseguridad parece estar bien posicionada en esta recesión
La ciberseguridad debe evolucionar al mismo ritmo que la tecnología en general. A medida que aumenten los ataques y las empresas utilicen más productos tecnológicos, será primordial la importancia de la defensa cibernética. Incluso en un posible entorno recesivo en 2023, creemos que la inversión en seguridad será el último aspecto en el que se escatimará. Los directores de informática de todo el mundo señalan que la ciberseguridad es una prioridad en los presupuestos para 202327. Se estima que las inversiones mundiales en seguridad crecerán aproximadamente el 7 % hasta superar los USD 165 000 millones en 2022, tras registrar un crecimiento de cerca del 14 % en 2021 y de casi el 7 % en 202028, 29.
Se espera que se evidencien inversiones especialmente en seguridad en la nube, seguridad de terminales, seguridad de datos, gestión de identificación y acceso, y seguridad de infraestructura, áreas que se pusieron de relieve por las necesidades informáticas surgidas durante la pandemia. Casi el 50 % de todas las inversiones en ciberseguridad se destinan hoy a servicios personalizados, y las soluciones implementadas en la nube también pueden abordar este ámbito30.
En general, esperamos que las tasas de crecimiento de las inversiones sigan siendo elevadas durante los próximos 5 años, reforzadas por el apetito por más soluciones escalables en la nube. Mientras tanto, las acciones de ciberseguridad cotizan con una caída del 28 % en lo que va del año al 10 de noviembre de 202231. Dada esta tendencia de crecimiento y el retroceso, vemos un atractivo potencial alcista para el tema.