Por qué tu empresa va a ser ciberatacada y cómo protegerla
[wpdreams_ajaxsearchlite]

Por qué tu empresa va a ser ciberatacada (si no lo ha sido ya) y cómo protegerla

Lectura: 7 min | 15 Oct 20

Autor: Carlos Otto

Si tienes una pyme, es bastante probable que alguna vez te hayan dicho que corres el riesgo de sufrir un ciberataque. Y es más probable aún que tú hayas pensado que no. Que por qué te iban a ciberatacar a ti, si tú no eres importante, si hay empresas con muchos más datos que la tuya, si tú eres irrelevante.

 

Sin embargo, en el mundo de la ciberseguridad hay dos frases recurrentes. La primera es que en el mundo hay dos tipos de empresas: las que han sido ciberatacadas y las que lo serán. La segunda, quizá más tremendista, dice que los dos tipos de empresas en realidad son las que han sido atacadas… y las que han sido atacadas pero no lo saben.

No queremos meterte miedo, pero sí, es muy probable que tu empresa vaya a sufrir un ciberataque o una brecha de información (si es que no las ha sufrido ya). Y te lo vamos a demostrar con los datos en la mano. ¿Por qué estamos tan seguros de ello? Por los siguientes motivos.

1.- Porque no te sientes amenazada…

Cuando dices que no crees que puedas ser atacada no eres una excepción, sino precisamente la regla. En abril de 2019, la consultora The Cocktail hizo una completa encuesta a 720 pymes españolas para conocer su percepción de los peligros de ciberseguridad que podían correr. Una de las preguntas era si se sentían amenazadas por el cibercrimen y los resultados hablan por sí solos: el 99,8% respondieron que no.

 

De hecho, el mismo estudio revela otra realidad que debería hacernos reflexionar: apenas el 38% de las pymes encargan su ciberseguridad a una empresa especializada. Y lo peor no es eso, sino que el 64% la autogestiona, el 20% la delega en un familiar o un amigo… y el 12% no se la encarga absolutamente a nadie.

2.- … pero eres el principal objetivo

Si la ciberseguridad de tu empresa no te importa demasiado es porque, como decíamos, no crees que vayas a ser un objetivo atractivo para los cibercriminales, que siempre preferirán ir a por las grandes compañías, ¿verdad? Pues no. Según el Instituto Nacional de Ciberseguridad (Incibe), las pymes reciben el 70% de los ataques de malware en España.

Quizá te sorprenda que una pyme resulte más atractiva que una gran empresa, pero tiene su lógica. En primer lugar, las grandes empresas se protegen más, con lo que será más difícil atacarlas a ellas que a las pymes. En segundo lugar, las pymes son inmensa mayoría en España: las cifras del Ministerio de Industria, Comercio y Turismo revelan que son el 99,9% del tejido empresarial español. Has leído bien: el 99,9%. De hecho, solo las pymes sin empleados y las micropymes ya representan el 95% del total.

 

3.- Porque estás en un país (muy) atacado

Por lo general, cuando nos hablan de ciberataques pensamos en gente aislada, ataviada con una capucha en una habitación oscura, escribiendo cosas ininteligibles hacia países remotos. Pero la realidad es mucho más cruda que todo eso: el cibercrimen no tiene ‘lobos solitarios’, sino que es una industria perfectamente montada.

Y esta industria, por cierto, tiene a España entre sus principales dianas. Así lo reflejan diversos estudios, sirvan dos como muestra: según el Imperva 2019 Cyberthreat Defense Report, somos el país más ciberatacado del mundo; según el CyberEdge 2020 Cyberthreat Defense Report, el segundo.

4.- Porque no estás preparada ni tienes dinero

¿Cuánto sabes de ciberseguridad? Seguramente muy poco. No es algo alarmante, nadie puede ser experto en una materia que no es la suya, pero lo malo es que esa es la tónica general en nuestro país. Según el Hiscox Cyber Readiness Report 2020, el 82% de las micropymes españolas se consideran novatas en estos asuntos (si te sirve de consuelo, las grandes empresas no lo hacen mucho mejor).

 

El mismo informe nos deja otro dato revelador: las micropymes (1-9 empleados) apenas dedican el 6,5% su presupuesto de IT a ciberseguridad, una cifra muy por debajo de las de otros grandes países europeos.

 

5.- Porque los empleados somos los más débiles de la cadena

Normalmente se suele decir que, a la hora de proteger la ciberseguridad, los empleados somos el eslabón más débil de la cadena. Y es cierto. Incluso en una gran empresa, da igual que se tenga el mejor software contra los ciberataques, que si un empleado pincha en un link que no debe, recibe un phishing (un email en el que un ciberdelincuente se hace pasar por su banco o su operador de internet para robarle contraseñas o dinero) o se baja un archivo infectado… ya tenemos el caos montado.

También hay estadísticas que demuestran esto. Un estudio de IBM, otro de Azure y otro de PwC revelan que la mayoría de los ciberataques que llegan a las empresas tienen su origen en el error humano de uno de sus empleados.

 

De hecho, lo cierto es que, si las empresas no están demasiado concienciadas de la importancia de la ciberseguridad, los empleados no lo hacemos mucho mejor.

 

Ahora bien, ¿de verdad esto es culpa de los empleados? ¿Hay que responsabilizarlos a ellos de un posible ciberataque, incluso aunque se haya originado al recibir un email fraudulento en el que han picado? En realidad no, porque a las empresas les queda aún mucho por hacer. Un informe de Kaspersky asegura que el 88% de las empresas españolas ha sufrido algún ciberataque por la actuación de sus empleados… pero solo el 38% les dan formación en ciberseguridad. De hecho, el 54% de las empresas ni siquiera tiene un plan de reacción ante un posible ciberataque.

Cómo proteger tu empresa de posibles ciberataques

Si todo esto te ha asustado, tranquilo, no se trata de perder los nervios ni de tener miedo, pero sí de ser precavido. Además, hay muchas cosas que puedes hacer para proteger la ciberseguridad de tu empresa sin necesidad de invertir dinero en caso de que no lo tengas. Son algunas de las siguientes.

1.- Comprueba si tus emails son vulnerables

Una parte muy significativa de las direcciones de correo electrónico de todo el mundo han sido vulneradas en una o más ocasiones. Y cuantos más años tenga tu dirección de correo, más probable es que lo haya sido. Cada vez que a un correo se le roba la contraseña, ambas cosas suelen aglutinarse en bases de datos que se ponen a la venta para todo tipo de cibercriminales.

Si quieres saber si alguien te robó la contraseña de tu correo, puedes entrar en Have I been Pwned?, donde puedes poner tu dirección de email y te dirá si alguna vez ha sido vulnerado y en cuántas bases de datos aparece. Si tu correo está en alguna lista, cambia la contraseña lo antes posible. Y no vale con cambiarle un número o una letra: cámbiala por completo para que nadie pueda volver a saberla.

 

2.- Revisa, cambia y actualiza tus contraseñas

Es el consejo que más te habrán dado, pero es que realmente es el más eficaz y barato de todos. Las contraseñas de tu correo electrónico son esenciales, así que ni pueden ser fáciles ni pueden durar dos años. Lo ideal es que las cambies cada 1-3 meses y que tengan una combinación de números, letras mayúsculas y minúsculas y símbolos.

Sabemos que puede ser un poco lioso e incluso tedioso estar cambiando las contraseñas cada dos por tres o hacer combinaciones estrambóticas de letras y números, pero puedes hacerlo de manera sencilla. Puedes utilizar un gestor de contraseñas, que te las creará desde cero y te las guardará de manera automática y segura.

 

3.- Mantén todo actualizado

Seguramente uses herramientas como Windows, Office, Photoshop, el software con el que gestionas tu web o tu correo electrónico, etc. Pues bien, siempre debes tenerlos actualizados a la última versión. Si usas una versión antigua estarás corriendo demasiados riesgos.

Puede que pienses que te decimos esto para que te gastes el dinero, pero no. Lo cierto es que la mayoría de ciberataques se producen por fallos de seguridad en sistemas operativos o programas de todo tipo: para que te hagas una idea, Windows saca un parche de seguridad cada mes para solventar las vulnerabilidades que van surgiendo en su sistema operativo. Por eso, es esencial que tengas todos tus programas, plataformas y sistemas operativos debidamente actualizados.

 

4.- Evita conexiones públicas

¿Recuerdas cuando íbamos a un bar, a un hotel o a un evento y nos alegrábamos de que tenían una Wifi abierta, pública y totalmente gratuita? Bueno, pues ya es hora de que se nos vaya esa alegría. Lo vamos a decir de manera clara y directa: conectarse a una Wifi pública es una pésima idea. No se trata de que un ciberdelincuente esté persiguiéndote a ti y solo a ti para robarte tus datos, sino de que quizá ha entrado en esa Wifi para hacerse con los datos de todos los que se conecten.

Si tienes un negocio de cara al público (un restaurante, un hotel, una sala de eventos…), aplaudimos tus ganas de darles Wifi gratis a tus clientes, pero, si lo haces, al menos que no sea la misma red a la que se conecta tu empresa. De este modo, tus archivos confidenciales no estarán en la misma red de tus clientes. Porque, créenos: romper la seguridad de una red informática es mucho más sencillo de lo que parece.

 

5.- Ayuda a tus empleados

Como te hemos contado antes, los empleados acabamos siendo los eslabones más débil de la ciberseguridad. Da igual que tu empresa tenga el mejor software de protección, basta con que un empleado pinche donde no debe o se descargue lo que no debe para que comience el caos.

No se trata de que tus empleados sean expertos en seguridad informática, porque bastante tienen con hacer su trabajo diario, pero sí de que cumplan unas normas básicas. De manera muy esencial, deberías pedirles tres cosas: en primer lugar, que no se registren con su correo de empresa en ninguna web que no tenga que ver con algo del trabajo; en segundo, que no naveguen por ciertas webs (sí, ya sabes, ciertas webs) cuando estén en el trabajo; y en tercer lugar, que tengan sentido común al abrir el correo: que no pinchen en ningún link posiblemente sospechoso ni se bajen cualquier documento.

 

6.- Clasifica la información

Seguramente en tu empresa guardéis mucha información, alguna de la cual será confidencial (datos de clientes y proveedores, información personal, facturas…) y otra quizá no tanto (diseños webs, archivos de Photoshop, documentos de texto con información no confidencial…). Lo primero que debes hacer es clasificar esta información y separarla: la confidencial tiene que estar especialmente reservada y no debe tener acceso a ella cualquier persona (cuantas menos, mejor).

 

7.- Cuéntales todo esto a clientes y proveedores

De poco van a servir todos estos consejos si un cliente o proveedor de tu empresa no custodia bien sus datos (que pueden incluir los tuyos) y es él quien sufre el ciberataque o la brecha de datos. Pásale este artículo a todo tu entorno empresarial cercano (clientes, proveedores, empresas colaboradoras, freelancers…) para que ellos hagan lo mismo. Recuerda que, cuando tu seguridad informática se rompe, también se rompe la de todas aquellas personas o empresas que aparecen en los documentos que te han robado.

 

8.- Ayuda externa y/o recursos públicos gratuitos

Lo ideal sería que contratases a una empresa externa para que gestione mínimamente tu ciberseguridad: que te instale un buen filtro antispam en el correo, que analice todos los accesos a tu red, que se encargue de custodiar la información confidencial, etc. Esto debería valer para estar mínimamente seguro.

Si económicamente no te lo puedes permitir, siempre puedes recurrir a recursos públicos. El Incibe tiene un completo catálogo de herramientas gratuitas a las que puedes recurrir, aparte de un decálogo de ciberseguridad para pymes. Así mismo, la Asociación Española de Protección de Datos (AEPD) tiene una guía para que las pymes cumplan el Régimen General de Protección de Datos y una herramienta para evaluar si tu empresa está cumpliendo la normativa o no.

Autor

Carlos Otto

Periodista de tecnología, economía, reportajes y emprendimiento en El Confidencial.

Suscríbete a nuestra Newsletter y recibe los artículos en tu email.

*Campo obligatorio
*Campo obligatorio
*Campo obligatorio