En los últimos años, las pequeñas y medianas empresas (PyME) han adoptado tecnologías digitales para el trabajo remoto, la producción y las ventas, al igual que lo han hecho las grandes. Pero no siempre han prestado tanta atención a la ciberseguridad, aun cuando sus redes informáticas en crecimiento han generado nuevas vulnerabilidades para las ciberamenazas. Esto es un error, porque los ciberataques pueden causar daños graves, tanto financieros como a la reputación. Esto significa que hay que tomarse en serio la ciberseguridad para pequeñas empresas.
¿Qué es la ciberseguridad?
La ciberseguridad comprende un conjunto de procesos y estrategias destinados a proteger los sistemas críticos y la información confidencial de las empresas contra los ciberataques y las filtraciones de datos. Los ciberataques son cada vez más complejos, y el panorama de las amenazas evoluciona: los ciberdelincuentes usan IA e ingeniería social para crear nuevos métodos de ataque. Como resultado, las empresas se ven forzadas a mejorar sus esfuerzos de ciberseguridad para adaptarse.
¿Por qué las pequeñas empresas son vulnerables a los ciberataques?
Podría parecer que los ciberdelincuentes se concentran más en las grandes organizaciones, pero hay pruebas de que las pequeñas empresas son más vulnerables a los ciberataques. Esto se debe a que las pequeñas empresas carecen de los recursos que se implementan en las grandes empresas para protegerlas de las ciberamenazas. Gastan menos en ciberseguridad y es posible que usen software desactualizado y que ya no reciba soporte técnico. De esta manera, se convierten en un objetivo fácil para los ciberdelincuentes.
Además, en las pequeñas empresas, se suelen emplear personas que usan sus propios dispositivos para trabajar. Si bien esto representa un ahorro de tiempo y costes, también aumenta las posibilidades de sufrir un ataque de malware, ya que los dispositivos personales tienen mayor riesgo frente a las descargas maliciosas.
Entre las motivaciones de los ciberdelincuentes para dirigir sus ataques a pequeñas empresas, se han identificado las siguientes:
Dinero: la principal motivación es la obtención de ganancias económicas. Es cierto que algunos ciberataques están inspirados en un deseo de venganza o de generar caos, pero la mayoría se lanzan para generar ganancias. Por ello, el ransomware es un método de ataque tan popular. En la medida en que un método de ataque sea lucrativo, los piratas informáticos seguirán usándolo.
Potencia informática: en ocasiones, los piratas informáticos reclutan los ordenadores de una empresa en un ejército de bots para lanzarataques de denegación de servicio distribuido (DDoS). Los ataques de DDoS implican la generación artificial de cantidades masivas de tráfico web para interrumpir el servicio que presta una empresa. Los bots secuestrados ayudan a generar tráfico molesto.
Enlaces a otras entidades: las pequeñas empresas están conectadas digitalmente con otras empresas a través de sus operaciones, las cadenas de suministro y la información que comparten. Como suele ser más difícil infiltrarse en las grandes empresas, los piratas informáticos apuntan a las pequeñas empresas como una forma de atacar los sistemas de las grandes.
¿Qué tipos de ciberamenazas pueden afectar a las pequeñas empresas?
Antes de diagramar la estrategia de ciberseguridad de tu empresa, debes entender cómo funciona el panorama de amenazas. Estas son algunas de las ciberamenazas que afectan a las pequeñas empresas:
Ingeniería social:
Es un tipo de ciberdelito en el que se engaña o manipula a una persona para que divulgue información confidencial para fines fraudulentos. La ingeniería social puede adoptar distintas formas, por ejemplo:
- Phishing: un pirata informático envía un correo electrónico engañoso para que el destinatario entregue información privada, o para implementar software malicioso en un dispositivo o en la red de la víctima.
- Spear phishing: una variante del phishing dirigido a una persona en particular, en la que el atacante se hace pasar por una persona conocida de la víctima.
- Sitios web falsos: diseñados para engañar a los usuarios con ataques maliciosos o fraudulentos.
- Suplantación de identidad telefónica: se produce cuando los estafadores cambian su identificador de llamadas para ocultar su identidad.
- Smishing: una variante de phishing en la que se usan los teléfonos móviles para atacar la plataforma.
Ransomware:
es uno de los métodos más usado por los piratas informáticos para atacar empresas. Con el ransomware, se bloquean los ordenadores, se cifran los datos y se controla el sistema. Si los propietarios quieren recuperar el acceso a sus datos, deberán pagarle un rescate al pirata informático para que les envíen la clave de descifrado. En los informes, se menciona que el 71 % de los ataques de ransomware están dirigidos a pequeñas empresasy que la recompensa promedio que exigen está en el orden de los 116 000 USD. Las PyME seguramente pagarán el rescate porque no tienen copias de seguridad de sus datos y necesitan volver a operar lo antes posible.
Malware:
Malware es un término genérico con el que nos referimos al software malicioso diseñado para hacer daño a los dispositivos o la red de un usuario. Comprende una gran variedad de ciberamenazas, como troyanos y virus (en efecto, el ransomware es una forma de malware). Los ataques de malware son perjudiciales para las pequeñas empresas porque pueden paralizar los dispositivos, lo que requiere reparaciones o reemplazos costosos. También pueden abrir una "puerta trasera" para que los atacantes accedan a los datos, lo que pone en riesgo tanto a los clientes como a los empleados.
Botnets:
Un botnet es una red de ordenadores en peligro e infectados con malware, lo que permite a los atacantes combinar la potencia de procesamiento para ejecutar los ciberataques. Durante algún tiempo, fueron una amenaza para las grandes organizaciones, pero desde hace unos años, las pequeñas y medianas empresas también han sido víctimas.
Ataques de denegación de servicio distribuido:
El objetivo de estos ataques es inundar un sitio web con tráfico de numerosas fuentes diferentes para que deje de funcionar. Un ataque de DDoS exitoso puede hacer que se desconecte por completo un sitio web, y que los clientes ya no puedan acceder a él.
Inserción de SQL:
Si la empresa tiene una base de datos en SQL (lenguaje de consulta estructurado, en inglés), es potencialmente vulnerable a la inserción de SQL. Es un tipo de ataque en el que se inserta una parte de un código malicioso en una base de datos SQL. Dependiendo de la naturaleza del código malicioso, las consecuencias pueden ser muy graves. Por ejemplo, puede eliminar los datos, comprometer la información confidencial del usuario y, en casos extremos, apagar todo el sistema. Es una de las formas más habituales de ataque a un sitio web.
¿Por qué es esencial la ciberseguridad para las PyME?
Son diversos los motivos por los que se debe tomar en serio la ciberseguridad para pequeñas empresas y la seguridad para PyME, entre ellos:
La posibilidad de pérdidas financieras:
Un ciberincidente puede destruir las finanzas de las pequeñas empresas, en ocasiones, de forma definitiva. El coste de la recuperación, la pérdida de ingresos durante el período de inactividad y las sanciones financieras por el incumplimiento de la legislación pueden afectar los resultados de la empresa.
Daño a la reputación:
En función de la escala del ataque y de cómo se maneje, si el negocio sufre una filtración de datos que afecta la información del cliente, el impacto en la reputación de la empresa puede ser muy grave. Esto puede afectar tu capacidad para retener y atraer a nuevos clientes y empleados.
Poner a los empleados en riesgo:
Si los ciberdelincuentes roban información confidencial de los empleados, como archivos de RR. HH. confidenciales, fechas de nacimiento, información financiera, etc., estos estarán expuestos al riesgo de robo de identidad y otros ciberdelitos.
Capacidad para seguir operando:
Las empresas de todos los tamaños confían plenamente en los sistemas informáticos, en especial, desde la pandemia de la COVID-19. La confianza en los servicios en la nube, en teléfonos inteligentes, en el Internet de las cosas y en la inteligencia artificial significa que cualquier interrupción provocada por un ciberataque impide que una empresa opere con normalidad.
Cumplimiento normativo:
Las jurisdicciones de todos los países han elaborado más normas relacionadas con el Internet. Por ejemplo, en Europa, se aplica el Reglamento General de Protección de Datos (RGPD), y en California, la Ley de Privacidad del Consumidor de California. Este tipo de normas imponen obligaciones sobre las organizaciones que recopilan y almacenan datos, y sanciones por incumplimiento, lo que pone de relieve la necesidad de que las empresas de todos los tamaños se tomen en serio la privacidad de los datos. Puedes leer más sobre las leyes que rigen el Internet aquí.
El panorama de amenazas sigue evolucionando:
El volumen y la complejidad de las ciberamenazas está en aumento. Por día, se estima que más de 30 000 sitios web sufren ataques y que se crean más de 300 000 elementos nuevos de malware. Los ciberdelincuentes siempre están en la búsqueda de nuevas formas de aprovecharse de las empresas de todos los tamaños y atacarlas. Que tu empresa no haya sido víctima de un ataque hasta el momento, no significa que sea inmune.
¿Con qué frecuencia las pequeñas empresas son víctima de las ciberamenazas?
El riesgo de sufrir un ciberataque para las PyME (de por sí más elevado que el riesgo de las grandes empresas) ha aumentado en los últimos años. Por ejemplo, en 2020 y 2021, las filtraciones de datos en pequeñas empresas aumentaron un 152 % en comparación con los dos años anteriores, según RiskRecon, una unidad de MasterCard que evalúa el riesgo de ciberseguridad corporativa. Esta cifra duplicó el valor para las grandes empresas en el mismo período.
En un estudio realizado por IBM en 2021, se detectó que el 52 % de las pequeñas empresas habían experimentado un ciberataque el año anterior. A pesar de ello, muchas empresas no están preparadas. Como se reveló en una encuentra realizada por UpCity, un proveedor de servicios empresariales de Estados Unidos, solo el 50 % de las empresas tenían un plan de ciberseguridad para el 2022.
Cuando el contexto económico es duro, es natural que las empresas se enfoquen en las operaciones diarias y en su supervivencia inmediata. Pero dado el panorama de ciberamenazas, la ciberseguridad es un aspecto fundamental de la supervivencia empresarial a largo plazo.
¿Cómo puedes proteger a tu pequeña empresa de las ciberamenazas?
Para proteger a tu PyME de las ciberamenazas, tienes que desarrollar una estrategia de ciberseguridad. Una estrategia de ciberseguridad sólida debería contemplar los siguientes aspectos:
- Formación y concienciación de los empleados
- Seguridad en la red
- Seguridad de la infraestructura
- Seguridad para aplicaciones
- Seguridad de la información
- Seguridad de la nube
- Recuperación antes desastres o continuidad de las actividades ante un ataque grave
Resulta esencial promover una cultura de la seguridad en las empresas. Los empleados y los gerentes deben aprender las buenas prácticas de seguridad básica y seguirlas. Sin embargo, la vigilancia en sí no basta. Las PyME también deben invertir en herramientas de seguridad adecuadas para proteger sus actividades.
Protección de las redes de las pequeñas empresas
Los profesionales de la ciberseguridad hablan con frecuencia de la "seguridad de redes". Puede parecer algo que solo se aplica a las grandes empresas, pero cualquier negocio con más de un ordenador cuenta con una red. De hecho, si los empleados utilizan sus teléfonos inteligentes para trabajar, un ordenador de sobremesa más esos teléfonos ya constituyen una red empresarial.
Conocer la seguridad en Internet es el primer y principal nivel de protección. Se debe proteger el acceso a la red con contraseñas seguras, que se deben cambiar con regularidad.
Los usuarios que dispongan de acceso a la red deben aprender a ser cuidadosos con el correo electrónico. No se debe hacer clic en los enlaces de los correos electrónicos a no ser que se esté seguro de que procede de una fuente conocida y fiable. Sospecha de los correos electrónicos que parecen ser de compañeros, pero que no incluyen mensajes reales y personales. Ten cuidado también con los correos electrónicos de supuestos bancos u otras empresas y que te soliciten información de tus cuentas. Ambas situaciones son indicadoras de estafas de "phishing" que pretenden engañar a los destinatarios.
Invierte en protección eficaz
La aplicación de buenas prácticas básicas de seguridad reducirán las oportunidades de que los ciberdelincuentes puedan acceder a la red de tu empresa. Pero la seguridad de las pequeñas empresas también requiere las soluciones de seguridad para empresas adecuadas.
Las ofertas de protección gratuitas para pequeñas empresas no siempre son suficientes. Las herramientas de seguridad de tipo freeware son, fundamentalmente, medios de marketing. Pueden ser útiles para hacerse una idea de las posibles soluciones, a modo de prueba antes de comprarlas, pero son limitadas por naturaleza. No obstante, existen herramientas de seguridad para pequeñas empresas eficaces a un precio asequible.
Las soluciones empresariales eficaces deben contar con cinco características básicas:
- Deben incluir protección para ordenadores contra virus y malware.
- Deben ofrecer seguridad móvil porque el acceso móvil a la red es prácticamente universal.
- Deben ofrecer cifrado de archivos individuales, carpetas o discos de datos completos.
- Deben proteger los terminales: los distintos dispositivos y las ubicaciones que permiten acceder a la red.
- Por último, pero no por ello menos importante, una solución de seguridad para empresas eficaz debe incluir herramientas de gestión de sistemas, como la gestión de parches para actualizar la protección.
Con una protección eficaz y unas buenas prácticas de seguridad en Internet, las pequeñas empresas pueden protegerse contra los ciberdelincuentes. Puede que sigan intentando franquear las puertas de tu red, pero si no lo consiguen, buscarán otras víctimas más fáciles.
Otros artículos y enlaces relacionados con la seguridad para pequeñas empresas: