Tecnología e Innovación

Ciberseguridad en la pyme: el nuevo objetivo de los hackers

Sage

Hablamos con los expertos Deepak Daswani y Marlon Molina sobre la situación de la ciberseguridad en la pyme en España, sus amenazas y qué medidas pueden implementar las empresas para protegerse.

· Las pequeñas y medianas empresas son, cada vez más, el principal objetivo de los hackers.
· Los ciberataques buscan principalmente conseguir información confidencial, como datos bancarios.
· Las incidencias en pymes se deben sobre todo a errores humanos, por eso es esencial formar a los empleados.

Cuando hablamos de hacking y ciberdelincuencia, pensamos en grandes robos de información a empresas influyentes. Sin embargo, aunque las violaciones de seguridad en compañías de mayor tamaño tienen mayor cobertura en los medios, el principal objetivo de los ciberdelincuentes son las pymes.

Según el estudio “Panorama actual de la Ciberseguridad en España 2019”, encargado por Google y elaborado por The Cocktail Analysis, las pymes y los usuarios particulares fueron los principales objetivos de los ciberataques en 2018, con un total de 102.414 incidencias registrados en España.

Las grandes organizaciones, tanto privadas como gubernamentales, parecen los objetivos más claros para el robo de información, pero vulnerar su seguridad requiere de mayor esfuerzo, tecnología y planificación. Las grandes empresas cuentan con sistemas de seguridad más avanzados y personal especializado encargado de evitar todo tipo de incidencias. Por eso, los ciberdelincuentes prefieren centrarse en objetivos más sencillos como negocios familiares.

Radiografía de la ciberseguridad en la pyme

Las pymes son el objetivo más vulnerable a los ciberataques debido a la falta de medios y, en muchas ocasiones, de concienciación sobre los riesgos que conlleva.
Esto quiere decir que casi 3 millones de empresas en España apenas cuentan con medidas de protección frente a hackers, según datos de Google. De hecho, tan solo un 36% de las pymes encuestadas por The Cocktail Analysis afirmaban seguir protocolos básicos de seguridad.

El 30% de las webs de pymes no disponen del protocolo https. Fuente: The Cocktail Analysis.

La “Encuesta 2018-19 sobre seguridad» elaborada por la consultora EY recoge que el 77% de los directivos piensa que los sistemas de seguridad de su empresa son insuficientes y señalan la falta de recursos como la principal causa.

En el caso de las pymes, los ataques suelen tener como objetivo el robo de información de los clientes, datos financieros o documentos sujetos a la propiedad intelectual, así como ciberestafas a los empleados. El coste medio de los ataques suele rondar los 35.000 euros, recoge Google en su estudio.

¡Comparte! 9 de cada 10 empresas reconocen no tener el presupuesto necesario para protegerse contra los ciberataques.

En muchas ocasiones, basta con implementar medidas básicas para evitar estas vulneraciones. ¿Pero qué porcentaje de empresas aplica las principales medidas y acciones recomendadas en materia de ciberseguridad en la pyme?

Estos son los resultados de la encuesta encargada por Google:
• Sistema de verificación en 2 pasos: un 36% aplica esta medida en el correo electrónico.
• Protocolo https: el 71% lo implementa en su web y más del 80% en el e-commerce.
• Actualización de dispositivos: el 85% de las empresas lleva un control de actualización de los sistemas operativos.
• Cambio de contraseñas: el 58% cambia sus contraseñas por lo menos cada 3 meses.
• Certificado SSL (e-commerce): el 57% de las pymes lo emplea.

2 de cada 5 pymes atribuye un elevado nivel de importancia a la ciberseguridad. Fuente: “Panorama actual de la Ciberseguridad en España 2019”, Google.

Para comprender mejor el impacto de la ciberdelincuencia en las pymes de nuestro país, en Sage hemos realizado un Twitter Chat con dos expertos en la materia: Deepak Daswani, experto en ciberseguridad y hacking y Marlon Molina, director del Laboratorio de Ciberseguridad para los Parlamentos de las Américas de la OEA.

Twitter Chat: Seguridad en la Pyme

Comenzamos nuestro chat preguntando a los expertos sobre los principales retos que tiene la pequeña empresa en cuestión de seguridad.

Para Deepak Daswani, los desafíos son, en primer lugar, que las empresas conozcan las amenazas y riesgos a los que se exponen, garantizar un nivel de seguridad confiable para su infraestructura tecnológica, así como educar al personal en las buenas prácticas.

Por su parte, Marlon Molina señala la brecha económica (falta de recursos para dedicar a la ciberseguridad en la pyme), la concienciación de dueños y directivos y la formación de los empleados como los principales retos.

 Marlon Molina: “En Ciberseguridad no hay empresas grandes o pequeñas, no importa cuánto factura o cuántos empleados tienes… importan los datos”

¿Cuál es el tipo de ciberataque más común en las pequeñas empresas?
Según los expertos, los ataques más comunes son:
Phishing: es un método para conseguir información confidencial, como contraseñas o datos bancarios, de manera fraudulenta. Por ejemplo, a través de una página web falsa con un formulario con contacto.
Ransomware a causa de ingeniería social: consiste en engañar a los empleados o proveedores de una empresa para tomar el control del equipo infectado. A continuación, el ciberdelincuente cifra la información del usuario para finalmente pedir un “rescate” a cambio.
Defacement: afecta a la página web de la empresa. El hacker altera el aspecto del sitio añadiendo mensajes o imágenes dañinas para la marca.

¿Cómo se puede prevenir la suplantación de identidad?
Para Molina, evitar este tipo de situaciones es muy difícil, ya que cualquiera puede crear una cuenta en redes sociales usando los datos de otra persona, y añade que en España es difícil perseguir estas vulneraciones.

A pesar de ello, propone tres recomendaciones para prevenir la suplantación de identidad y actuar rápidamente ante cualquier incidencia de ciberseguridad en la pyme:
1. Monitoriza tus cuentas de redes sociales.
2. Refuerza y cambia las contraseñas periódicamente.
3. Conéctate solo desde sitios conocidos y seguros.

¿Qué puedo hacer para evitar un ataque de ransomware en mi pyme?
La mayoría de los ransomware entran con ingeniería social, es decir, por errores humanos. Por eso, Molina considera fundamental dedicar tiempo y recursos a formar a los empleados.

 Marlon Molina: “La seguridad absoluta no existe, así que es necesario tener un plan para recuperarse, un sistema de copias de seguridad, y uso de servicios en CloudComputing”.

¿Cómo puedo evaluar el nivel de riesgo que hay en mi empresa?
Deepak Daswani comenta que una de las mejores formas de evaluar los riesgos de ciberseguridad en la pyme es hacer una auditoría real de los sistemas tanto desde el exterior como el interior. “Otra buena medida es realizar desde la propia organización una campaña de phishing a los trabajadores para evaluar el nivel de resiliencia que se tiene ante este tipo de ataques”, añade.

Para concluir, los expertos resaltan que lo más importante es estar siempre alerta.

¡Comparte! “Cuando se trata de ciberseguridad, duda, evalúa, cuestiona y, si es necesario, pregunta”. Deepak Daswani.

Asimismo, destacan la importancia de contar con el asesoramiento de expertos, “pues la formación y el conocimiento especializado son clave para poder hacer frente a los riesgos”.

4 consejos para mejorar la ciberseguridad en la pyme

Ya hemos visto la importancia de la concienciación y formación de los empleados para prevenir ciberataques. Además de enseñar a identificar estas amenazas, es esencial establecer unos protocolos mínimos de seguridad.

A continuación, te proponemos cuatro consejos que te ayudarán a proteger los datos de tu empresa:

1. Mejora la seguridad de las contraseñas

A estas alturas, todo el mundo utiliza contraseñas para proteger el acceso a documentación importante, ¿pero son realmente eficaces? Establece una política de refuerzo de contraseñas para todos tus empleados y en todos los equipos.

Una contraseña segura debe tener:

• Al menos diez caracteres
• Mayúsculas
• Minúsculas
• Números
• Un carácter especial

Recuerda cambiar las contraseñas como mínimo cada tres meses.

2. Sistema de verificación en dos pasos

Además de reforzar las contraseñas, es recomendable implementar más un método de verificación. De este modo, si se detecta un acceso sospechoso, el empleado puede recuperar el control, por ejemplo, mediante un SMS que recibirá en el móvil. Actualmente, Google y otros proveedores de correo electrónico y plataformas digitales permiten activar un segundo método de autenticación.

3. Mantén el software al día

Invertir en tecnología es fundamental para prevenir ciberataques. Actualiza los sistemas operativos y los antivirus, así como todos los programas utilizados en tu empresa. Los desarrolladores suelen lanzar parches que resuelven errores de vulnerabilidad y, por tanto, contribuyen a la seguridad de tus datos.

4. Planifica la seguridad con tiempo
Nunca sabes cuándo puede ocurrir un ciberataque en tu empresa, por eso hay que contar siempre con un plan de acción preventivo. Piensa con anterioridad las necesidades de tu negocio y traza un plan de actuación. Por ejemplo, es buena idea invertir en un servidor de calidad como backup, así tendrás siempre una copia de seguridad ante cualquier robo o pérdida de información.

En definitiva, se está avanzando mucho en la concienciación respecto a estas amenazas, gracias en parte a la atención que recibe la ciberseguridad y el hacking en los medios y en la cultura popular. Muchas pymes ya son conscientes de los peligros del phishing o el ransomware, pero aún son pocas las que realmente toman medidas para combatirlos.

Esperamos que estos consejos te sirvan para proteger tu negocio frente a la ciberdelincuencia.