Atrás

Los ciberataques más frecuentes que ponen en peligro a la pyme española

A las pequeñas y medianas empresas españolas se les resiste la seguridad digital. Aunque el remedio no tiene porqué ser complejo ni costoso, los ciberataques son cada vez más habituales. Incidentes que al cabo del año suponen una gran cantidad de dinero, y que pueden poner en riesgo la supervivencia de muchas pymes.

Según informa el Instituto Nacional de Ciberseguridad, INCIBE, la sustracción de datos provocada por distintos ataques informáticos causa a las pymes daños por valores de entre 2.000 y 5.000 euros, que pueden alcanzar los 30.000 euros según algunas empresas especializadas en seguridad digital, por no hablar de los problemas reputacionales que acarrean a los negocios víctimas de estos incidentes. La crisis sanitaria también hizo que el trabajo en remoto fuera una solución para las compañías, pero puso el foco de los piratas informáticos.

El 2020 fue un año de récord. Solo durante los tres primeros meses ya se detectó un incremento del 40% de ciberataques a nivel global, en comparación con el mismo período del año anterior, según un análisis elaborado por IBM. Otros analistas estiman que se pasó de los 5.000 semanales a los 200.000 incidentes a nivel global

Pero fueron las empresas españolas las más atacadas durante 2020, tal y como señala la aseguradora Hiscox en la quinta edición de su Informe Ciberpreparación, que señala cómo ha crecido la proporción de empresas víctimas de incidentes informáticos de un 38% a un 43% respecto a 2019. También indica que, de las empresas que notificaron un ataque, el 53% experimentaron un incidente, mientras que un 42% sufrieron más de 3.

 

Incidentes habituales

Los datos son el tesoro de los delincuentes digitales, que utilizan después para venderlos o realizar nuevos ataques, y cada día, las pymes tienen que hacer frente a estos ataques. Entre los más frecuentes se sitúan:

Ramsonware. Es la clase de ataque más frecuente con diferencia ya que más de la mitad de las empresas españolas tuvieron un problema importante de este tipo durante 2019. Su objetivo es secuestrar la información de los equipos o incluso de los servidores web de las empresas. El ciberdelincuente toma el control de los equipos y pide un rescate para “liberarlos”.

Phishing. Es una estafa para obtener datos e información personal confidencial, como contraseñas o información bancaria. A través de trampas de ingeniería social, por ejemplo, un correo electrónico o un SMS (en este caso se llama smishing), el atacante engaña a su víctima haciéndose pasar por un remitente de confianza, una marca o persona cercana.

Malware. Es un software malicioso que pretende infectar los equipos instalando virus informáticos como los famosos gusanos y los troyanos. Los más conocidos son los spyware y adware, que espían y roban información sensible o muestran mensajes publicitarios sin el control del usuario.

Defacement. En este caso se mantiene la URL pero el aspecto del sitio cambia. Es muy utilizado para atacar la reputación del propietario del sitio web.

Ataque a DNS. El delincuente ataca al servidor de nombres de dominio con el fin de desviar el tráfico a las víctimas y que acaben en otros sitios falsos. El objetivo de esta suplantación es conseguir datos.

Aunque hay muchos más tipos de sucesos digitales, cabe destacar también la desinformación. Durante esta pandemia, y en especial los días de confinamiento, ha ayudado a propagar informaciones falsas a gran velocidad, que han podido desestabilizar empresas o situaciones.

 

Gestos sencillos para frenar a los ciberdelincuentes

Los delincuentes informáticos atacan a empresas de cualquier sector sin importar el tamaño de sus organizaciones. El problema es que las pymes son un blanco más fácil ya que sus políticas de seguridad están menos desarrolladas o en algunos casos ni siquiera existen. El motivo suele ser la falsa creencia de que un sistema de seguridad informático requiere de grandes nociones de informática, personal altamente especializado o grandes presupuestos.

En ocasiones explotar vulnerabilidades y atacar los sistemas de las pymes es más fácil de lo que parece porque los piratas aprovechan algo tan habitual como un software desactualizado, lo que supone una constante amenaza,

También existen algunos gestos sencillos que desde estas organizaciones pueden ir implementando como es la creación de una cultura de ciberseguridad. Y es que a veces los problemas no provienen de ataques de hackers. En ocasiones son las propias personas que integran las empresas las que pueden comprometer la seguridad de los datos de su compañía, así como mejorar la gestión de la seguridad informática. A pesar de contar con recursos más limitados que las grandes empresas, las pymes pueden identificar qué activos se deben proteger o ver qué equipos humanos necesitan mayor formación sobre seguridad.

Realizar un monitoreo constante sobre la red informática mediante un análisis de vulnerabilidades de la red será buena opción. Asimismo, todas estas acciones deben trasladarse al ámbito del hogar, ya que el teletrabajo ha hecho que la oficina llegue a casa. Así las personas que forman parte de las empresas deben tener en cuenta algunos aspectos como crear contraseñas fuertes, proteger el acceso a sus dispositivos móviles o desconfiar de cualquier correo en el que se soliciten sus datos.

Además, la búsqueda de asesoramiento por parte de una empresa experta externa siempre es una buena opción ya que pueden diseñar programas de seguridad a medida de cada pyme, y pagar solo por servicios o infraestructuras que necesitan.

En este sentido, Telefónica Tech ha lanzado recientemente un nuevo servicio de ciberseguridad, denominado ‘Tu Empresa Segura’, adaptado a las necesidades de las pymes, independientemente de su tamaño y actividad. La propuesta aúna por primera vez herramientas tecnológicas para combatir los ciberataques; soporte en remoto y asesoramiento a través del Centro de Seguridad Pyme, así como formación y concienciación sobre la importancia de la política de ciberseguridad para los empleados.

 

Smartphone accediendo a un servicio mediante usuario y contraseña