Alrededor del 70% de los ciberataques registrados se dirigen a pymes, según los datos del estudio ‘Panorama actual de la ciberseguridad en España: retos y oportunidades para el sector público y privado’ de Google.
La explicación es sencilla. Las grandes empresas invierten mucho dinero en ciberseguridad y suelen tener departamentos, protocolos y herramientas enfocados en la prevención y detección de este tipo de amenazas.
Por el contrario, las pymes y los autónomos disponen de muchos menos recursos y están menos preparadas, por lo que vulnerar su seguridad es mucho más sencillo.
Así pues, los ciberdelincuentes prefieren objetivos más accesibles, aunque puedan sacar menor beneficio. Es más rentable atacar a muchas pymes, sabiendo que van a tener un alto porcentaje de éxito, que invertir tiempo y recursos en tratar de derribar los muros levantados por las grandes empresas.
Además, los hackers se aprovechan de la falsa sensación de seguridad que pueden tener las pymes, que en algunos casos quizá se confían demasiado al pensar que no son un objetivo atractivo para este tipo de delincuentes.
Esto permite que los ciberdelincuentes cojan a su plantilla con la guardia baja e incurran en errores fatídicos, como descargar un archivo o pinchar en un enlace que introduzca algún tipo de malware o que nos conduzca a una página web falsa con el objetivo de robar nuestras contraseñas, por ejemplo.
De hecho, los expertos de Acens, compañía integrada en Telefónica Tech, señalan que 8 de cada 10 brechas de seguridad se producen por un error humano. Asimismo, un informe de Kaspersky desvela que el 15% de los ciberincidentes en las empresas españolas tienen su origen en la omisión de los protocolos de ciberseguridad por parte de los empleados, tal y como contábamos en EMPRENDEDORES.
Consecuencias fatales para las pymes
El estudio de Google citado anteriormente también ofrece un dato escalofriante: el 60% de las pymes europeas víctimas de ciberataques desaparecen en los seis meses siguientes al incidente.
En ocasiones, no son capaces de superar las pérdidas económicas, ya que el coste medio de sufrir un ataque está en torno a los 35.000 euros. En otros casos, no logran resarcirse de la pérdida de datos. Y también hay empresas que no consiguen recuperarse de la pérdida de imagen tras sufrir el ataque, especialmente si éste conlleva la filtración de datos delicados.
6 consejos para minimizar los riesgos
Ante este panorama, conviene estar preparados. Acens ofrece algunas recomendaciones para las pymes.
Formar a la plantilla
La compañía recuerda la importancia de ofrecer formación y explicaciones a todo el personal. “Sobre todo, en lo relativo al correo electrónico y medidas de precaución en su uso. Es aconsejable la realización de campañas phishing de simulación a los empleados, con el fin de que estén en alerta y sean capaces de reconocer con antelación un ciberataque”, remarca Manuel Prada, responsable de Seguridad IT de Acens.
Prestar atención a la autenticación
La seguridad en la autenticación del personal es una de las claves de la seguridad. Además de contar con un sistema doble de autenticación para el acceso de usuarios, Acens aconseja cuidar la generación de contraseñas seguras con más de 8 caracteres y que incluyan letras, números y signos. “La causa de la mayoría de las intrusiones no autorizadas en servidores sigue siendo la elección de una contraseña débil”, advierte.
Analizar las vulnerabilidades
Siempre es conveniente realizar análisis de vulnerabilidades del sistema de seguridad o pentesting. “Los datos alojados o los recursos asociados a un servicio habrán de estar protegidos por diferentes capas de seguridad lógica. En todas ellas hay que realizar los ajustes oportunos para evitar accesos no autorizados. Para ello, es conveniente tener un análisis de vulnerabilidades del sistema de seguridad”, explica Prada.
Elegir un buen proveedor cloud
Cada vez son más las pymes que están mudando sus cargas de trabajo a plataformas en la nube. “Contratar servicios en la nube es fácil y fiable, por eso es importante que la pyme seleccione a un proveedor cloud seguro, al que se debería exigir que responda a criterios específicos de seguridad como qué garantías de confidencialidad y protección de datos ofrece; qué tipo de medidas de seguridad física implementa en data centers; qué garantías ofrece de disponibilidad, acceso a los datos, capacidad del sistema de soportar datos y recuperarse ante incidentes; etc.”, anota el experto de Acens.
No olvidar las actualizaciones
De nada sirve tener las mejores herramientas si después desatendemos las actualizaciones y los parches de seguridad. “Un error muy común es instalar aplicaciones web y no realizar un seguimiento de las actualizaciones de seguridad. En el contexto actual, tanto empresas como proveedores de servicios deben tener soluciones de ciberseguridad y planes de resiliencia”, comenta Prada.
Hacer copia de seguridad
Estamos viendo con mucha frecuencia las consecuencias que tiene la pérdida de información tras sufrir un ataque ransomware, por ejemplo. “Es crítico estar preparados para mitigar los posibles daños ante una pérdida de datos. Para ello, es conveniente disponer de un backup de la información automático y fiable en la nube, que posibilite un plan de contingencia rápido en caso de fallo de los servidores de la empresa”, anota este especialista.
