A lo largo del último año, las pequeñas y medianas empresas se han visto obligadas a reformular su modo de trabajo, implantando en muchas de ellas el teletrabajo e implementando soluciones digitales, con la progresiva digitalización de infraestructuras que ello conlleva. En esta nueva realidad entra en juego también otra pieza indispensable: la ciberseguridad. Los ciberataques dirigidos a las pymes (pequeñas y medianas empresas) han aumentado. Así lo destaca, por ejemplo, el informe de Ciberpreparación de Hiscox 2021.
En 2020, según este estudio, las pequeñas y medianas empresas fueron las más atacadas: un 53 % de las pymes sufrió algún tipo de ataque cibernético y un 43 % más de tres. Ello supuso un aumento del presupuesto dedicado a la ciberseguridad en un 63 %.
No hay duda de que las pymes son objetivos atractivos para los ciberdelincuentes, ya que aprovechan sus modestos presupuestos destinados a la seguridad digital para atacarlos y sacar tajada. El coste medio de un ciberataque a una empresa pequeña es de 75.000 euros, según explica Carlos Prieto, director de SSH TEAM consulting, empresa de seguridad informática. Asegura además que se tarda de media dos meses en descubrir y solventar fallas en el sistema. Con este panorama, parece fundamental tomarse muy en serio la seguridad digital.
Ahora bien, ¿cuáles son las amenazas más frecuentes a las que se ven enfrentadas las pymes? A continuación las describimos ya que, en numerosas ocasiones, la prevención es la mejor actitud que puede adoptar una empresa para su seguridad. Incluso mejor que un antivirus.
Ransomware, phishing y adware: cuando los datos son rehenes
El secuestro de servidores de pymes es un método bastante habitual dentro del mundo de la ciberdelincuencia. El ransomware consiste en eso: se instala un virus en el sistema y, a través de él, se procede a ‘secuestrarlo’ y a pedir un rescate para su liberación. El pago se suele pedir a través de criptomonedas.
Una de las vías más habituales para la infección de este tipo de malware es a través de phishing, un 65 % según el informe de Hiscox. El phishing consiste en la suplantación de personalidad: el ciberdelincuente envía un correo con un virus adjunto simulando ser, por ejemplo, la entidad bancaria con la que trabaja la empresa. Al hacer doble clic en el archivo compartido, el ejecutable secuestra los datos y procede a solicitar el rescate.
Además del phishing, la publicidad encubierta es otra vía habitual de entrada para la ejecución del ransomware. Por lo general, son anuncios que simulan ser de empresas fiables, copiando estética y diseño de logos, interfaz de sitio web real, etc., para hacer creer a la víctima que se trata de una operación confiable. El miedo también suele ser un arma efectiva y los ciberdelincuentes pueden hacerse pasar por policías u otras organizaciones oficiales de seguridad para amedrentar a las pymes y robar sus datos.
Cuidado con la nube
Uno de los principales inconvenientes del almacenamiento en la nube es que los datos de las pymes están continuamente conectados a internet. Es por ello vital que contraten servicios especializados en cloud computing que dispongan de un buen apartado en seguridad. Según el informe anual de McAffe, durante el cuatro trimestre de 2020 se detectaron 3,1 millones de ataques externos en cuentas en la nube
IA al servicio del ciberdelincuente
Los ciberdelincuentes ya utilizan tecnologías de inteligencia artificial para que sus ataques sean más efectivos. A través de estas tecnologías se pueden detectar, con mayor premura, fallas en la seguridad de las empresas. Europol, el Instituto Interregional de las Naciones Unidas para Investigaciones sobre la Delincuencia y la Justicia (Unicri) y la empresa de seguridad Trend Micro han elaborado un informe en el que estudian cómo los delincuentes están utilizando la inteligencia artificial para elaborar ataques.
Este tipo de ataques, sin duda, van mucho más allá del secuestro de documentos: tecnologías como el deepfake pueden hacer tambalear los cimientos de cualquier organización o empresa. Un ejemplo de ello fue el caso de una energética de Reino Unido que perdió más de 200.000 euros debido a un audio falso que emulaba la voz de uno de los ejecutivos de la compañía.
El Gobierno de España presentó este verano el Plan España Digital 2025 en el que se invertirá un total de 140.000.000 de euros para aumentar la ciberseguridad. Este plan se llevará a cabo gracias a dos organismos: el Centro Criptológico Nacional, cuyo foco está puesto en seguridad nacional y protección de Administraciones públicas y el Instituto Nacional de Ciberseguridad (INCIBE) que actuarán en la ciudadanía y las empresas.
Si eres víctima de ciberfraude, deberás recopilar toda la información al respecto que puedas y acudir a la Policia Nacional, la Guardia Civil, enviar un correo electrónico a INCIBE o la Agencia Española de Protección de datos si el fraude está relacionado con datos personales.