Cómo mantener a tu pyme a salvo de ciberataques

La ciberdelincuencia se ha convertido en una de las principales mafias organizadas a nivel mundial, y probablemente la que tengamos más cerca sin apenas darnos cuenta. Según estimaciones del Instituto Nacional de Ciberseguridad (INCIBE), las actividades ilícitas a través de Internet pueden alcanzar un impacto económico de 1 billón de euros al año en el mundo, una cifra equivalente a nuestro Producto Interior Bruto.

Hace dos años, la noticia de que las redes internas de Telefónica habían sido hackeadas ocupó las portadas de todos los medios. A pesar de sorprender cómo una gran empresa tecnológica de primer nivel como ésta, con todos sus recursos y sus posibilidades, podía ser objeto de un ataque de estas características, uno es capaz de imaginar la cantidad de material “atractivo” que encontrarían en ella los ciberdelincuentes. Nada que ver con lo que podría ofrecerles una pequeña empresa sin importancia, lo que induciría a pensar que ésta nunca sería víctima de un ciberdelito.

Sin embargo, lo que más atrae a “los malos” es una empresa con un bajo nivel de protección, en cuyos sistemas entrarán como «Pedro por su casa». Y una vez dentro, con un esfuerzo mínimo, ya determinarán si hay algo de valor que puedan llevarse o, en el mejor de los casos, siempre podrán utilizar sus ordenadores para cometer desde ellos otras incursiones delictivas de mayor alcance, pudiendo no llegar a detectarse el ataque hasta incluso pasados varios meses.

A través de campañas masivas, los ciberdelincuentes rastrean las redes de ordenadores barriendo las direcciones de IP de forma automatizada y aleatoria, para detectar aquellos con más vulnerabilidades. Normalmente, los pequeños negocios son los que se encuentran más expuestos, al contar con menos herramientas de protección —el operador estadounidense Verizon sostiene que el 58 % de las brechas de datos provienen de empresas pequeñas—. Y lo primero que en muchos casos resulta altamente vulnerable es su conexión WiFi.

Hoy día, cualquier pyme, por pequeña que sea, tiene contratada una red inalámbrica a la que conecta sus ordenadores y smartphones, y muchas veces ni siquiera cambia la clave de acceso que viene de fábrica en el router, por lo que es fácilmente accesible para un hacker. Además, esa clave es con frecuencia compartida con visitantes, clientes o colaboradores, de manera que les está dando vía libre para acceder a sus sistemas y, al mismo tiempo, a toda la información sensible de su negocio, sin saber realmente si alguien puede hacer un mal uso de ese privilegio.

Por ello, securizar nuestra red WiFi es una de las primeras medidas que deberíamos tener en cuenta a la hora de proteger nuestro negocio frente a los ciberdelincuentes. Pero hay otras muchas.

Consejos de ciberseguridad

Las empresas manejan gran cantidad de información propia y ajena, con muchos datos sensibles que debemos proteger. Por ello, si queremos pertrecharnos adecuadamente y ponérselo más difícil a “los malos” para minimizar las probabilidades de ataque, así como los daños en caso de producirse, es imprescindible contar con un Sistema de Gestión de Seguridad de la Información (SGSI), una serie de políticas, procedimientos y tareas orientadas a la gestión del riesgo y a cumplir la normativa de protección de datos personales.

Por otro lado, este sistema no puede implantarse si no se trabaja en una campaña de concienciación interna sobre los riesgos a los que la empresa está expuesta. Es importante implantar una “cultura de seguridad”, y ofrecer a todos los empleados una mínima formación en ciberseguridad que les permita conocer las implicaciones reales que pueden derivarse de su propio uso de los sistemas de la compañía.

Finalmente, junto a los procedimientos de gestión de la seguridad y la concienciación del personal, el tercer aspecto clave es la adopción de las medidas y las herramientas técnicas necesarias para proteger nuestro entorno digital, que desde TECTECO hemos identificado en este decálogo:

1. Aunque la ingeniería de los códigos maliciosos es cada vez más compleja, contar con un antivirus sigue siendo indispensable, así como con un cortafuegos a nivel de red.
2. Los equipos deben tener usuarios y contraseñas individuales, y cada usuario debe tener los permisos estrictamente necesarios para realizar su labor.
3. Las contraseñas deben ser robustas (más de 8 caracteres, con números, letras mayúsculas, minúsculas y símbolos) y renovarse periódicamente.
4. No se debe instalar nunca software pirata o de fuentes no fiables.
5. Todos los equipos y dispositivos deben tener permanentemente instaladas las actualizaciones de seguridad del fabricante que resuelven sus vulnerabilidades.
6. Si tenemos discos con información confidencial su contenido debe estar cifrado.
7. Programar copias automáticas de seguridad que se almacenen en un soporte diferente al que contiene los datos originales.
8. Proporcionar la máxima seguridad al router, cambiando su configuración de fábrica y sus contraseñas y utilizando el sistema de autenticación más robusto que permita el dispositivo.
9. Es recomendable dividir la red de la empresa en subredes más con control de acceso, en función de los tipos de dispositivos y los usuarios que las utilicen, y crear una subred específica para invitados, de manera que los equipos no corporativos no puedan acceder vía WiFi a la red de la organización.
10. Ofrecer a los empleados una VPN privada para acceder a la red de la empresa cuando están fuera, y nunca conectarse a redes WiFi públicas sin utilizar VPN.

Alfonso Arbaiza

Director general de TECTECO