Ninguna empresa, de ningún tamaño, está del todo segura en Internet. En el momento en el que un ordenador se abre al océano de la Red es un posible objetivo para los ciberdelincuentes, que ya no son aquellos hackers “amables” que accedían a una red corporativa simplemente para gastar una broma y demostrar que pueden entrar cuando ellos quieran donde ellos quieran. Ahora son mafias organizadas y profesionalizadas que utilizan diferentes metodologías para robar información de la que obtener después un beneficio económico.
La forma de operar de estas mafias es, en muchos casos, “disparar a todo lo que se mueve”, es decir, tantear todas las direcciones IP para detectar en cuáles de ellas es más fácil entrar, pues de este modo el esfuerzo del ataque es mínimo y su rentabilidad es mayor. Una vez dentro, si no existe información de valor para robar, sí pueden utilizar ese ordenador para controlarlo de forma remota y realizar a través de él otras actividades delictivas más estratégicas, comprometiendo en ellas la dirección IP de su propietario sin que, probablemente, este se dé cuenta.
De esto se deducen dos cosas. Una, que las pymes son un blanco fácil para los ciberdelincuentes, pues sus sistemas de seguridad son más vulnerables y su personal de sistemas está menos preparado que los de las grandes compañías. Y dos, que es posible que muchas de ellas hayan sido víctimas de un ataque sin tener consciencia de ello (de hecho, incluso las grandes empresas llegan a tardar una media de seis meses en detectar que sus redes han sido hackeadas).
Según un informe de Kaspersky Lab y el Ponemon Institute, el 43 % de los ciberataques dirigidos a empresas europeas tiene como objetivo pequeñas y medianas empresas. El coste estimado de uno de estos ataques -en el que además de los derivados por la pérdida de datos críticos, la inactividad temporal del negocio o el daño reputacional se incluyen las posibles multas por incumplir las leyes de protección de datos- se sitúa en torno a los 35.000 euros.
Muchas pymes no llegan a rehacerse tras recibir un golpe así, y el citado informe asegura que el 60 % de las pequeñas y medianas empresas que sufrieron un ataque cibernético desaparecieron a los seis meses.
Desconocimiento
Pero, ¿por qué las pymes están tan expuestas a recibir un ataque cibernético? En primer lugar, muchas de ellas ni se plantean que puedan ser interesantes para un ciberdelincuente, piensan que al ser pequeñas no son atractivas para ellos (aunque cualquier empresa maneja datos personales y tarjetas bancarias de clientes que podrían ser muy apetecibles). Sin embargo, como se ha mencionado, no siempre el objetivo es el robo de datos; muchas veces lo que quieren es apropiarse de ordenadores inocentes desde los que cometer otros delitos de mayor alcance.
Por ello, normalmente las pymes no son conscientes de la situación de inseguridad que presentan, de los riesgos que están corriendo, a qué se están enfrentando y qué repercusiones puede tener para su negocio. Incluso en muchos casos llegan a tener la percepción de que sí están convenientemente protegidas porque consideran que tener un antivirus o un firewall ya les hace invulnerables, cuando en realidad estas medidas sólo protegen frente a una pequeña parte de las amenazas.
Es sintomático que, del total de las empresas analizadas por Kaspersky Labs, el 72 % creía que disponía de las medidas de seguridad adecuadas; sin embargo, el 42 % del total había sido objeto de una acción delictiva.
En este sentido, es vital que las pymes se conciencien de la importancia de disponer de los sistemas de protección necesarios para ponérselo difícil a los ciberdelincuentes. Y, para ello, es imprescindible establecer una cultura de seguridad dentro de la empresa, sensibilizar y formar a los empleados, pues en muchos casos son determinados malos hábitos que parecen sin importancia los que dejan totalmente expuestas las redes corporativas y sus datos críticos.
La segunda razón por la que las pequeñas y medianas empresas pueden ser un blanco fácil está relacionado con la falta de recursos. El estudio de Kaspersky Labs y el Ponemon Institute afirma que el 32 % de las pymes analizadas con menos de 50 empleados confía su ciberseguridad a empleados sin verdadera experiencia en este campo. Muchas carecen de un técnico especializado o un proveedor externo que gestione la instalación de un sistema de seguridad y mantenga la red informática permanentemente actualizada frente a nuevas vulnerabilidades que van surgiendo y son subsanadas por los fabricantes.
Recomendaciones en el ámbito de la ciberseguridad
En definitiva, las pymes que deseen garantizar su supervivencia deberán apostar fuerte por la ciberseguridad y, además, hacérselo saber a sus clientes, pues más pronto que tarde los usuarios empezarán a elegir empresas que les inspiren la confianza de que, con ellas, sus datos estarán a salvo.
Existen una serie de medidas clave para mantener protegidos los sistemas corporativos. En primer lugar, cada dispositivo conectado a la red debe disponer de antivirus, acceso de usuario mediante clave, tener actualizado el software y realizar copias de seguridad automáticas que se almacenen fuera de propio servidor (y por supuesto, nunca instalar software de fuentes desconocidas).
Asimismo, la red debe contar con un firewall, con sub-redes con acceso por tipos de usuarios; con un acceso específico para invitados que evite su entrada en la red corporativa; y utilizar una VPN de pago al trabajar en remoto o para conectarse a WiFi de lugares públicos, entre otras medidas. Algo tan sencillo como cambiar la configuración de fábrica del router WiFi es clave para prevenir accesos indeseados, y muchas pequeñas empresas ni siquiera lo han hecho.
La ciberseguridad no es cosa de broma. Tú puedes ser el próximo blanco y mañana puede ser demasiado tarde: “los malos” no esperan. Fórmate, infórmate y empieza hoy a proteger tu pyme.
Alfonso Arbaiza, director general de TECTECO
