Muchas veces pensamos que un ciberdelincuente no tiene nada que robarnos porque lo que tenemos guardado en nuestro móvil o PC no tiene valor, y eso nos lleva a dejar de invertir en soluciones de protección, sobre todo, en el caso de las pequeñas empresas o de los autónomos, porque los recursos, además son escasos.
Pero nada más lejos de la realidad. Los ataques dirigidos a pequeñas y medianas empresas no han dejado de crecer en los últimos años, precisamente porque los criminales se han dado cuenta de que son las organizaciones más vulnerables y, además, porque el potencial de los datos que utilizan es muy alto. Además, un ciberataque puede aumentar la presión financiera sobre una Pyme, especialmente en el escenario macroeconómico actual. De hecho, algunos informes apuntan a que el 60 % de las pymes que han sufrido un ataque cibernético han tenido que cerrar en menos de medio año por no poder hacer frente a sus obligaciones.
Según un estudio realizado por ConnectWise, tres de cada cuatro Pymes sufrió al menos un ciberataque en 2021, un 55% más que en 2020. Y según otro estudio llevado a cabo por CrowdStrike, seis de cada diez Pymes consultadas admitieron ser conscientes de haber recibido algún tipo de amenaza, especialmente ransomware o ataques basados en identidades. Y también 6 de cada 10 medianas empresas (de más de 50 empleados) confirma que tiene miedo a sufrir un ciberataque en 2023.
Los ataques contra Pymes se presentan en formas muy diferentes. Verizon destaca en un informe sobre amenazas a la intrusión, a la ingeniería social y al mal uso de privilegios como los responsables del 98 % de los quebraderos de cabeza para las Pymes en materia de ciberseguridad.
¿Qué hacer con pocos recursos? ¿Algo básico o algo eficaz?
Las empresas pequeñas y medianas que empiezan a ser conscientes de los riesgos invierten en soluciones básicas que perciben como “suficientes”, como puede ser un “buen” antivirus. Pero la realidad es que hoy en día el mundo de la ciberdelincuencia es mucho más complejo de lo que un simple antivirus puede resolver. Los criminales han evolucionado sus estrategias para conseguir saltarse cualquier control de los que imponen los sistemas tradicionales para poder llevar a cabo sus fechorías. De hecho, muchos utilizan ya métodos de ingeniería que sirven para romper las barreras de cualquier entidad –con técnicas como pass-the-cookie, Golden SAML o autenticación multifactor- y son capaces de autenticarse en sistemas de defensa muy complejos.
Para este 2023, las técnicas seguirán evolucionando, por lo que aunque las Pymes hayan reducido sus recursos por la incertidumbre que se nos avecina, es fundamental que esos recursos sean lo más eficientes posible y hagan de la máxima “no hay mejor ofensa que una buena defensa” la clave de su estrategia. Es decir: antes de poner el foco en la detección, si la Pyme es capaz de prevenir correctamente, no sufrirá ningún ataque dañino. Y para ello es fundamental seguir estos cinco puntos:
- Educar a los empleados: un ataque puede entrar desde cualquier dispositivo y son los profesionales que trabajan en la organización los que los utilizan, por lo que es importante que reconozcan cualquier amenaza antes de que ocurra el ataque.
- Apostar por la autenticación multifactor: ahora que hemos visto que la identidad es un componente crítico en los ciberataques, los sistemas de autenticación multifactor suponen una capa adicional de seguridad para otorgar accesos solamente a los usuarios legítimos.
- Actualizar el software y realizar copias de seguridad regulares, al menos de los datos críticos. Para ello, la nube es una gran ayuda, ya que facilita la accesibilidad y la visibilidad de las copias de seguridad. Además, hay que recordar que la mayoría de las brechas ocurren debido a vulnerabilidades que se pueden resolver con una simple actualización.
- Proteger los entornos cloud, como DropBox o Google Drive mediante el uso de autenticación multifactor y restringiendo los privilegios de uso solamente a los profesionales que los necesitan.
- Comprobar que todo funciona: analizar de forma recurrente los entornos, los comportamientos de los usuarios para reconocer actividades maliciosas o no usuales, estar al tanto de cualquier amenaza o definir en un documento cómo responder ante un incidente son actitudes de gran ayuda para minimizar los riesgos.
Una vez cubiertos los básicos de forma eficiente, se puede crecer mucho en materia de ciberseguridad, pero lo más importante es comprender que no son necesarios grandes recursos ni mucho tiempo para poder estar protegidos y marcar la diferencia ante una amenaza.
