Como ya sabemos, actualmente las pequeñas y medianas empresas (PYMEs) están siendo cada vez más frecuentemente blanco de los ciberdelincuentes. A pesar de su tamaño inferior, las PYMEs poseen datos y activos igualmente valiosos para el criminal, lo que las convierten en presas también lucrativas. Sin embargo, habitualmente cuentan con medidas de protección y recursos significativamente inferiores a las grandes. Esto las convierte en objetivos más fáciles, donde la sencillez de atacar y obtener un retorno se dispara.
Por este motivo nos gustaría hacer un pequeño recordatorio de las amenazas específicas que enfrentan las PYMEs, y daros algunos consejos para que podáis defenderos frente a estos peligros.
Ataques de Phishing: El Asesino Silencioso
Todos conocemos el phishing. Todos hemos recibido mensajes fraudulentos, tanto en nuestra vida profesional, como en nuestra vida personal. Sin embargo, siguen siendo una de las amenazas más presentes actualmente en el mundo empresarial.
Las PYMEs no se libran de este riesgo, y la falta de formación y concienciación entre los empleados supone un grave riesgo para este tipo de amenazas. Los cibercriminales siguen haciéndose pasar por entidades legítimas, como bancos y otras empresas famosas, para engañar a empleados desprevenidos, y hacer que revelen información sensible o que hagan clic en enlaces que dirigen a sitios maliciosos. El phishing se presenta en forma de correo electrónico, SMS o mensajes en redes sociales.
Por cierto, ¿sabes que existe el concepto de Spear-Phishing? Es un tipo de phishing más avanzado y elaborado, en el que el ataque no se dirige contra todos los usuarios haciendo uso de mensajes genéricos, sino que se dirige contra uno o varios individuos muy específicos, tras haberlos investigado, y que, por tanto, suele ser mucho más peligroso.
Ransomware: Rehenes del siglo XXI
Hoy en día es casi imposible no haber escuchado sobre este tipo de ataques, que representan una amenaza muy significativa para cualquier negocio, en especial las PYME, y que puede tener consecuencias muy peligrosas para quien las sufre.
En este tipo de ataque los ciberdelincuentes consiguen entrar a la red de una empresa, y una vez que tienen acceso a su información, la cifran por completo, dejando todos los datos inaccesibles para el propio dueño. Acto seguido, exigen un rescate a cambio de la clave de descifrado.
Anteriormente, los criminales se ponían en contacto con la empresa y amenazaban con eliminar permanentemente los datos si no se realizaba el pago. Posteriormente, y para adaptarse a aquellas empresas que contaban con copias de seguridad externas, los cibercriminales comenzaron a amenazar con publicar la información directamente en Internet si no se realizaba el pago antes de una fecha concreta, exponiendo así a la compañía a riesgos reputacionales, regulatorios, y de competencia, ya que cualquiera podría acceder a la información interna de tus sistemas.
Amenazas Internas: Un caballo de Troya en tu red
Tradicionalmente las amenazas externas son las que más han acaparado la atención de los responsables de riesgo en las compañías. Al fin y al cabo, el que te ataca está fuera… ¿No?
La realidad es que las amenazas internas pueden ser incluso más dañinas. Internamente, podemos categorizar las amenazas en dos categorías:
- Amenazas no intencionadas, como las derivadas de negligencias o errores humanos. Por ejemplo, un empleado que pierde un dispositivo con información sensible corporativa, o que adjunta información sensible en un correo y se equivoca al introducir la dirección de email del destinatario.
- Amenazas intencionadas. Generadas por un interno malicioso, siendo el ejemplo más típico el empleado descontento, que sabotea internamente la compañía, roba información confidencial, etc. Puede llegar a ser extremadamente peligroso porque puede conocer perfectamente la compañía y sus debilidades.
También es importante reconocer las amenazas internas que pueden provocar terceras partes, por ejemplo, los empleados de un proveedor que trabajen dentro de la compañía, aunque no formen parte de ella.
Este es un riesgo para el que sigue faltando concienciación. Llevamos años avisando de este riesgo a los responsables de todo tipo de compañías, lo que nos ha llevado a desacuerdos con equipos técnicos y de gestión por igual. Lamentablemente, el tiempo nos ha acabado dando la razón, y el riesgo se ha materializado.
Brechas de Datos: Notificaciones a la AEPD
Un día te avisan de que alguien ha robado datos de la compañía, y ahora te toca analizar el incidente:
- ¿Cómo ha sucedido?
- ¿Qué datos se han visto afectados? ¿Eran datos confidenciales del negocio, o también había datos personales de clientes?
- ¿Tengo que notificar a alguien? ¿Cómo debo hacerlo? ¿A quién exactamente? ¿Cuánto tiempo tengo para hacerlo?
- ¿Cómo recupero la actividad de la compañía?
- ¿Cómo evitar que vuelva a suceder?
Estas y muchas otras preguntas son las que convierten a este escenario en otro de los peores para cualquier PYME. No olvidemos el impacto económico que va a generar recuperarse del incidente de seguridad, en las consecuencias para la reputación de la compañía y, por último, en las posibles sanciones que podrían aplicarse a tu negocio.
Protege Tu Negocio: El Camino hacia la Resiliencia
Aunque todas estas amenazas pueden asustar a muchas PYMES, afortunadamente existen medidas que se pueden tomar para evitar que estos escenarios se materialicen, o que, en caso de materializarse, no provoquen la caída del negocio. En cualquier de los casos, el primer requisito para proteger tu negocio es conocer estos riesgos y tenerlos siempre presentes.
Considera revisar frecuentemente las amenazas existentes, y mantenerte al día en los mecanismos efectivos para protegerte. En muchos casos, contar con un aliado de confianza para tu protección es una gran idea.