Crisis Communication in Corporate Cyberattacks An Analysis of Reputational Risk Management

Abstract

Este Trabajo Fin de Grado analiza la relación entre las estrategias de comunicación de crisis adoptadas durante ciberataques corporativos y la configuración de las trayectorias reputacionales, entendidas como los procesos de daño y posterior recuperación de la reputación. El estudio parte de la premisa de que las cibercrisis no deben interpretarse únicamente como incidentes tecnológicos, sino como fenómenos comunicativos en los que la construcción de significado por parte de los stakeholders resulta determinante.

A través de un diseño cualitativo comparativo, se examinan dos casos paradigmáticos: el ciberataque a Sony Pictures Entertainment (2014) y el ataque a MGM Resorts International (2023). El análisis se fundamenta en la integración de la Situational Crisis Communication Theory (SCCT), la Image Repair Theory y el concepto de reputación corporativa, permitiendo explorar la interacción entre atribución de responsabilidad, framing narrativo y evaluación de los stakeholders.

Los resultados evidencian que las trayectorias reputacionales no dependen únicamente de la naturaleza del ciberataque, sino de las decisiones comunicativas adoptadas por la organización. En particular, se observa que en el contexto de las cibercrisis contemporáneas la clasificación de las crisis es dinámica e inestable, pudiendo desplazarse de un clúster de víctima a uno prevenible a medida que emergen nuevos elementos, como el error humano, lo que intensifica la atribución de responsabilidad y el daño reputacional.

En conclusión, el trabajo pone de manifiesto las limitaciones de los modelos teóricos tradicionales y subraya la necesidad de enfoques más flexibles que integren la dimensión discursiva y contextual para comprender la gestión reputacional en entornos digitales altamente mediatizados.

This Final Degree Project examines the relationship between crisis communication strategies adopted during corporate cyberattacks and the configuration of reputational trajectories, understood as the processes of reputational damage and subsequent recovery. The study is grounded in the premise that cybercrises should not be understood solely as technical incidents, but as communicative phenomena in which stakeholder meaning-making processes play a central role.

Using a qualitative comparative case study design, the research analyzes two emblematic cases: the 2014 cyberattack on Sony Pictures Entertainment and the 2023 attack on MGM Resorts International. The analysis is theoretically grounded in the integration of Situational Crisis Communication Theory (SCCT), Image Repair Theory, and the concept of corporate reputation, enabling the examination of the interaction between responsibility attribution, narrative framing, and stakeholder evaluation.

The findings demonstrate that reputational trajectories are not determined solely by the nature of the cyberattack itself, but by the communicative decisions adopted by organizations. In particular, the study reveals that in contemporary cybercrises, crisis classification is dynamic and unstable, as events may shift from a victim cluster to a preventable one when new information emerges, such as human error, thereby increasing responsibility attribution and reputational threat.

In conclusion, the research highlights structural limitations in traditional crisis communication models and emphasizes the need for more flexible analytical approaches that incorporate discursive and contextual dimensions to better understand reputational risk management in highly mediatized digital environments.