Los ciberriesgos, el principal enemigo para las pymes

Existe la falsa creencia generalizada de que los ciberdelitos afectan sobre todo a las grandes empresas, debido a que los criminales digitales piensan que es más fácil extorsionar a este tipo de organizaciones y obtener un rédito económico mayor. Sin embargo, los datos dicen exactamente lo contrario: es más habitual que estos ataques maliciosos se dirijan contra las páginas web de las compañías con menos recursos ya que, de este modo, es más sencillo que tengan éxito. Por ello, las pymes deben poner un foco especial en estar lo más protegidas posibles ante los ciberataques dado que, de no poner en marcha medidas preventivas, es probable que sufran el robo de información sensible y la amenaza de tener que pagar un rescate para evitar males mayores.

Un problema crónico en España

En España, de cada 20 empresas, algo más de 18 son pymes. Eso habla de las particularidades del tejido empresarial español, lo que, desde el punto de vista de la ciberseguridad, es altamente inquietante. De hecho, según un reciente informe elaborado por Hiscox, el coste de los ciberataques se duplicó en 2021 entre las empresas españolas, pasando de 54.388 euros en 2020 hasta los 105.655 euros en 2021 de media para cada una de ellas, lo cual tiene un gran impacto en la viabilidad económica del negocio. Esta cifra supone que las empresas españolas pierden más dinero por los ciberataques que la media mundial, que se sitúa en 78.409 euros.

La mayoría de estos ataques llegó a las empresas a través del email corporativo, seguido de cerca por los ataques a los servidores en la nube y a los servidores propios (38%). Los principales tipos de ataques fueron los de Denegación de Servicio, seguidos del fraude financiero y del ransomware. Para intentar hacer frente a la problemática que plantea la ciberseguridad, las empresas españolas aumentaron su presupuesto de TI en 2021, pasando de 13 millones de euros a 17,7 millones de media. Además, también se incrementó el porcentaje de ese dinero que dedican a ciberseguridad, del 22 al 24%. A pesar de estos datos, el 43% de las empresas españolas dejó de estar operativa después de un ataque de ransomware, el 56% en el caso de las pymes, por lo que tuvieron que pagar el rescate para volver a funcionar.

Además, se advirtió acerca del crecimiento de dos estafas entre las pymes españolas:

• El Man in the middle, en el que una empresa recibe un email en el que se indica un número de cuenta solicitando el pago de una factura próxima a vencer incorporando el número de cuenta.
• El fraude del Ceo, en el que un empleado recibe un correo electrónico en donde se suplanta al director general de la compañía y en el que se le solicita la realización de la transferencia.

Para evitar este tipo de ataques, la principal estrategia es la de la formación de la plantilla, ya que, precisamente, suelen ser el eslabón por el que se inician este tipo de ataques.

Mantener un nivel de ciberseguridad básico

De cara a incrementar los protocolos de ciberseguridad e intentar minimizar el daño en el caso de que se produzcan, Stratessys invita a las pymes a trabajar en cuatro parámetros clave:

• Mantener una plataforma tecnológica actualizada. Todos los productos tecnológicos contienen por defecto vulnerabilidades, por lo que hay que poner el foco en conseguir actualizaciones de seguridad que corrijan estas vulnerabilidades. Esto implica para una pyme disponer de un programa sólido de gestión continua de vulnerabilidades, que les permita descubrir y solventar los posibles agujeros de seguridad en su plataforma tecnológica.
• La concienciación de empleados. El desconocimiento y el mal uso de la tecnología por parte de los empleados supone uno de los mayores riesgos para la seguridad de las empresas, ya que la mayoría de los ciberataques, incluso algunos de los más elaborados, requieren de cierta interacción humana para tener éxito. Por ello, las empresas deben dedicar tiempo y recursos a concienciar y formar en buenas prácticas de seguridad a sus empleados.
• La gestión de terceros. No basta con que las empresas mantengan su tecnología al día y formen a sus empleados, sino que además deben exigir lo mismo a todo su ecosistema de personal externo con el que operan, incluyendo a los empleados en régimen de teletrabajo.
• Continuidad del negocio y resiliencia. En los momentos de crisis, cuando ya sólo queda actuar, no hay margen para la improvisación y los pasos a seguir por los equipos de sistemas, ciberseguridad, comunicación, recursos humanos y por los comités de crisis, tienen que estar claramente guiados por este tipo de planes.