La principal causa de ciberataques en pymes, entre otras, la encabeza el factor humano

La causa principal de los ciberataques sufridos por empresas suele estar en el componente humano, es decir, en la falta de educación digital de las personas. Anticipando este hecho, contar con protocolos de prevención, actuación y control de seguridad online es una inversión más que recomendable.





Según se especifica, la ingeniería social, esto es, errores humanos, están asociados ya con el 95% de los ciberataques. Aparte, el dato refleja que ha repuntado el volumen de ataques durante el último año y se ha multiplicado por 8. También se ha incrementado en más de un 40% la efectividad de estos ciberataques debido al confinamiento y al auge del teletrabajo. Entre otros, destacan:

1. Especial atención a la evolución de tecnologías IA

Los ciberdelincuentes aprovecharán el desarrollo de la IA y las tecnologías IoT para colarse en los sistemas corporativos. “Cada vez son más las empresas, y en especial, el número de empleados que utilizan infinidad de herramientas de este tipo para optimizar y acelerar la producción de los procesos y actividades en el trabajo. Especialmente, hay que tener cuidado con lo que descargamos y/o utilizamos. Estamos viendo en redes sociales cantidad de posts sobre multitud de herramientas IA, aparentemente de fácil descarga y uso. Impera la desinformación y mientras creemos que estamos accediendo a un sitio web verificado, podemos descargar algún tipo de malware”.


2. Ataques a la cadena de suministro de las pymes

Los ciberdelincuentes ponen su foco sobre algún servicio para inhabilitarlo temporalmente. En concreto, suelen filtrarse a través de algún proveedor o cliente con el que se mantiene una relación frecuente. Así, los ciberdelincuentes descubren vulnerabilidades en los códigos fuente una vez han introducido el malware en los sistemas de la empresa en cuestión. “De esta manera pueden robar datos corporativos, de empleados y dañar los equipos”.

Este es uno de los principales motivos por el cual en 2023 muchos negocios llevarán a cabo con mayor frecuencia la evaluación y validación de la ciberseguridad a la hora de seleccionar proveedores y socios. “Las empresas que realmente tienen conciencia de la importancia de la seguridad cibernética demandarán una mayor cooperación y trabajo con empresas comprometidas con una educación en ciberseguridad y altos presupuestos destinados a las mismas”, puntualiza Hervé Lambert, Global Consumer Operations Manager de Panda Security.

3. Ataques distribuidos de denegación de servicio (DDoS)

Cuando van dirigidos a pymes y medianas empresas suelen ser la antesala de un ciberataque a gran escala. Este método que bloquea el funcionamiento de un sitio web o sistema de red durante un periodo específico de tiempo entorpece la actividad comercial y de cualquier tipo para la empresa. 

4. Ataques de ransomware

El ransomware es una forma de malware que bloquea los archivos o dispositivos del usuario para luego reclamar un pago online anónimo para restaurar el acceso. “Una de las prácticas más extendidas por los piratas informáticos debido a su alta rentabilidad económica”, comenta Lambert. “Además, no hay que olvidar que la RGPD considera un delito punible no albergar una protección adecuada de los datos confidenciales de los clientes. Aquí las empresas se enfrentan no solo a las pérdidas económicas y reputacionales ocasionadas por los ciberataques, sino también a multas de los reguladores”.

5. Phishing

Sin lugar a dudas, una de las técnicas de ingeniería social más antiguas, desarrolladas y favoritas de los ciberdelincuentes. Este último año han ocurrido varias oleadas masivas de mails dirigidos a pymes españolas con correos fraudulentos relacionados con el asunto de facturación empresarial. “Es increíble cómo a día de hoy todavía les puede seguir dando tan buenos resultados, teniendo en cuenta que podríamos evitar miles de estos ataques solo con una lectura más pausada de los SMS y correos electrónicos en el trabajo y en casa”, recuerda Lambert.



¿Cómo mitigar los riesgos y estar mas protegidos?


Lo principal es que las empresas tomen conciencia de que los ciberataques son un riesgo real para su negocio, algo que parecen no haber interiorizado, especialmente, las de menor tamaño. De hecho, según el reciente informe de Google 'La ciberseguridad en 2022 y el efecto postpandemia en las pymes españolas', “al decrecer la percepción de riesgo, también lo ha hecho ligeramente la implicación activa de las empresas en materia de ciberseguridad, reduciéndose este año el porcentaje de pymes con políticas o normativas específicas , del 36% al 31%”, afirma el estudio.

Para José Manuel Tallón, experto en pymes, no cabe duda de que “las empresas deben concienciarse ya mismo de la importancia de contar con un plan de ciberseguridad, ya no solo para protegerse de posibles ataques, sino también para reaccionar correctamente en caso de sufrir alguno”. Y es que las pymes son el objetivo de un alto porcentaje de los ciberataques registrados, por lo que el experto insiste en que “deben tener los equipos actualizados para no abrir las puertas a los ciberdelincuentes”. Además, es importante la sensibilización y la formación, ya que solo 3 de cada 10 declara que sus empleados sabrían cómo reaccionar en caso de ciberataque.

El plan de ciberseguridad, además, debería conllevar la contratación de un ciberseguro por parte de la empresa. Tal y como afirma Luis de Arcos Lamarca, experto en pymes, “el ciberseguro tiene 4 partes fundamentales: la principal es la prevención, con una serie de coberturas como sistemas antifraude, asistencia legal e informática. En segundo lugar, la asistencia post-siniestro: recuperación de datos, certificación forense... En tercer lugar, la responsabilidad civil y, por último y muy importante, la cobertura de daños propios, que puede ir desde la pérdida de beneficios, a la reposición de sistemas como consecuencia de un secuestro”. Es decir, un seguro que te acompaña antes, durante y después de este posible ataque.





Tanto para prevenir, como para combatir y minimizar riesgos tras sufrir un ciberataque es primordial que nuestras empresas cuenten con un plan de ciberseguridad, también en el caso de las pymes, convertidas en uno de los principales objetivos de este tipo de delitos.

Bases de datos de clientes, facturas, informes... son muchos los activos de las empresas que pueden convertirse en objeto de ciberataque. Activos con los que también cuentan las pequeñas y medianas empresas, y los profesionales autónomos, a los que se dirige un amplio porcentaje de los ataques online. Las pequeñas empresas siguen protegiendo en su mayoría su negocio con recursos básicos, como backups o antivirus, percibiendo además en un 80% un nivel aceptable de seguridad en su actividad.



¿Cuánto puede costarle a una pyme ser víctima de un ciberataque?


El coste medio de un ciberataque en España es de 35.000€. Los mecanismos y sistemas de prevención y actuación aún siguen siendo insuficientes y lentos: las pymes tardan en promedio 212 días en identificar un ataque y 75 días más en contenerlo.

En España, las pymes destinan un presupuesto medio de TI de 4,06 millones de dólares y el porcentaje invertido en ciberseguridad corresponde a un 23,01%, según el último informe de Ciberpreparación de Hiscox 2022. Además, solo un 33% de estas empresas de menor tamaño y startups dicen contar actualmente con una póliza de seguro cibernético independiente, frente al 31%, que están cubiertas de manera parcial y un 13%, que no tienen este tipo de pólizas, pero que planean comprarla al año siguiente.


No hay comentarios:

Publicar un comentario