Cómo protegerte ante ciberataques

El 80% de las pequeñas y medianas empresas españolas (pymes) creen que su negocio no es objetivo de ataques cibernéticos. Piensan que, por su tamaño, no van a llamar la atención de los ciberdelincuentes porque tienen su mirada puesta en las grandes compañías, de acuerdo con el informe de Google La ciberseguridad en 2022 y el efecto pospandemia en las pymes españolas. Sin embargo, son las más afectadas, especialmente las de menor tamaño. Un tercio (32%) de ellas sufrió uno o varios ataques en 2022, de acuerdo con el estudio Cyber security for SMBs: Navigating Complexity and Building Resilience, de la empresa de software empresarial Sage.

Francisco Vidal, director de Economía de la Confederación Española de la Pequeña y Mediana Empresa (Cepyme), señala que los ciberdelincuentes atacan a las pymes porque les sale rentable: “Lanzan muchos ataques de botín escaso, pero también de poco coste”. Ante esto, las pymes se enfrentan al reto de reforzar la seguridad de sus entornos en línea a partir de sus limitados recursos. Algo esencial para no comprometer su estabilidad, pues, después de un ciberataque, el 60% de las pymes europeas se ven abocadas a cerrar en menos de seis meses, de acuerdo con Telefónica Cyber Security Tech. Para empezar, ha de ser un pilar de la compañía, como las finanzas o el marketing, destaca Francisco José García, profesor de Ciberseguridad en la Universidad Europea de Valencia.

¿De qué manera entonces pueden las pymes potenciar su ciberseguridad? Varios expertos describen las principales amenazas y las estrategias de prevención para reducir las posibilidades de que ocurra un ciberataque, ya que, como afirma Pablo Gracia, experto en ciberseguridad del Departamento de Empresas y Profesionales del Instituto Nacional de Ciberseguridad (Incibe), el riesgo cero no existe.

Principales ciberataques a las pymes

La amenaza más común es el phishing, un método por el que se cuela en el sistema un virus informático para robar datos personales y espiar. Para ello, los ciberdelincuentes se hacen pasar por una entidad o persona y envían un enlace a las víctimas a través de correo electrónico o mensaje de texto, que redirigen al usuario a páginas web falsificadas a imagen de las oficiales de un organismo o empresa.

Gracia señala que los delincuentes pueden enviar estos enlaces de manera indiscriminada o apuntar a algún sector o empresa en particular, variante conocida como spear phishing, que se diferencia por su elevada personalización. Su efectividad reside en que la víctima está familiarizada con la organización o, incluso, con la persona a la que se suplanta. Joan Puig, director de Seguridad de la Información en Banco Sabadell, que participará en el webinar Ciberseguridad 360: Estrategias para proteger tu negocio, organizado a través de Banco Sabadell, explica que un ataque común de este tipo consiste en interceptar las comunicaciones o suplantar la identidad de un proveedor para enviar facturas alteradas o solicitar pagos a números de cuenta controlados por el ciberdelincuente.

El malware es otra de las amenazas más habituales. Se trata de un programa malicioso que entra en el sistema, por ejemplo, mediante la descarga de un archivo, para robar información. Este método se vale del phishing como anzuelo. Los ciberdelincuentes suplantan la identidad de una empresa o incluso se hacen pasar por un jefe y utilizan su correo si han conseguido con anterioridad su contraseña. En este caso se solicita a la víctima que descargue un archivo. Al hacerlo se ejecuta el virus que infecta el equipo. A veces no es inmediato, sino que permanece oculto, porque así, cuando la empresa hace una copia de seguridad, se integrará en ella, haciendo más difícil eliminarlo.

Uno de los tipos de malware más dañinos es el ransomware, destaca Puig, pues secuestra el sistema y restringe el acceso a archivos y datos hasta que se pague un rescate. Esto deja a la empresa inoperativa, generando gastos, lo que puede resultar letal para una pyme. “Si se pasa semanas sin ingresos y con una tesorería ajustada, como suele ser habitual, la supervivencia se ve comprometida”, avisa Vidal.

¿Cómo prevenir un ataque cibernético?

Los expertos aseguran que se pueden tomar precauciones para reducir las posibilidades de un ciberataque. Se da por supuesto que una empresa debe contar con un programa antivirus, que identifique y elimine amenazas, o un sistema EDR (acrónimo de endpoint detection response), un software que combina el antivirus con herramientas de monitorización de la red que, gracias a la aplicación de inteligencia artificial (IA), crean patrones de detección automatizados y respuestas autónomas ante las amenazas. Pero, ¿qué más se puede hacer?

Actualizar los sistemas antivirus. Mantener los programas en su última versión disponible contribuye a generar un entorno digital más seguro, ya que incorporan la protección ante las amenazas más recientes. Parece una obviedad, pero muchas empresas poseen equipos con sistemas que no están a la última, destaca Gracia.

Reforzar las contraseñas. Mantener las credenciales que los programas llevan por defecto es un error común. Por ejemplo, la contraseña del router. Cambiarla fortalece los sistemas. Conviene que no se use la misma para todo. “Una contraseña para cada servicio o sistema”, puntualiza el experto de Incibe, que recomienda el uso de gestores de contraseñas. Estos programas almacenan las claves de manera cifrada y protegida por una contraseña maestra, la única que hay que memorizar.

Otra manera de levantar otra barrera frente a los ciberdelincuentes es la autentificación en dos pasos, que consiste en utilizar una segunda vía para acceder al sistema. Por ejemplo, un código por sms o por correo electrónico que se introduce al entrar en el sistema.

Copia de seguridad. Una de las medidas más eficaces y económicas es la copia de seguridad (backup), señala García, de la Universidad Europea, que consiste en guardar cada poco tiempo un duplicado de la información que genera la compañía y de sus bases de datos para salvarla de sucesos como la pérdida o el secuestro. En la mayoría de las empresas, destaca Gracia, las copias se hacen cada pocos segundos. En una empresa pequeña, añade Vidal, poco tecnologizada, con hacerlo una o dos veces a la semana o al mes puede ser suficiente.

Restringir el acceso. Cada trabajador ha de tener acceso a la parte del sistema que necesita para realizar sus labores. Algo que se asume como normal en una gran empresa no siempre se entiende en una más pequeña, donde todo se hace desde un mismo entorno. No es necesario que en una gestoría el responsable del departamento de legal tenga acceso a las nóminas. El Incibe denomina esta forma de trabajar modelo zero trust (confianza cero, en castellano).

Fomentar la formación. Identificar las amenazas resulta fundamental para reducir la posibilidad de un ataque informático. Sobre todo, sabiendo que el 95% de las incidencias se deben a errores humanos, de acuerdo con el informe IBM X-Force Threat Intelligence Index, de 2018.

En el caso del phishing, Puig, de Banco Sabadell, destaca la importancia de hacer comprobaciones adicionales cuando se sospecha de alguna comunicación. Por ejemplo, en el caso de un pago a proveedores, llamar por teléfono al contacto del proveedor.

¿Cómo actuar ante un ataque?

Cuando, pese a las precauciones, se produce un ataque, lo primero que se debe hacer es identificar el problema y aislarlo. Desconectar de la red los dispositivos afectados contribuirá a reducir la propagación del ataque. El Incibe dispone de una línea de ayuda gratuita y confidencial tanto para ciudadanos como para empresas a través del teléfono, el correo electrónico y el WhatsApp en el 017.

En caso de un secuestro a través de ramsomware, el empresario se encontrará ante el dilema de si merece la pena pagar el rescate. Gracia recomienda no hacerlo por varias razones. Primero, porque alimentará el negocio de la ciberdelincuencia; segundo, porque no garantiza la recuperación de los datos o del sistema, y tercero, porque hace a la empresa más vulnerable a futuros secuestros.