Hoy en día nadie está libre de ser víctima de un ciberataque. Desde usuarios que son nativos digitales, los que no lo son, como nuestros mayores; hasta las mayores multinacionales del mundo y, por supuesto, las pequeñas y medianas empresas.
Es cierto que atacar a los objetivos más vulnerables es más fácil. Y si hablamos de ciberdelincuentes y de pymes, la máxima también aplica: son las organizaciones más atacadas en España ya que, según datos de la Guardia Civil, hasta el 70% de los ciberdelitos que se producen en nuestro país afectan a una de ellas. Y, si ya en el caso de las grandes las consecuencias pueden ser nefastas, no solo en pérdidas económicas sino también de imagen, para una pyme un problema de este tipo puede llegar a suponer incluso su cierre.
En general son más fácilmente atacables. Ya sea por presupuestos más limitados, falta de concienciación en ciberseguridad o porque sus infraestructuras cuentan con menos medidas de seguridad.
Además, en esta época de verano y con las vacaciones de por medio, es normal que el personal baje la guardia, por lo que las instalaciones, tanto físicamente como digitalmente, quedan más desprotegidas. Está constatado que los ciberataques, como el ransomware (secuestro de la información o de los propios sistemas de una compañía pidiendo un rescate a cambio de liberarlos) son mucho más frecuentes durante la época estival. Y no solo por eso, también suele ser un momento de cierre fiscal para muchas empresas, en que toda la atención se dirige a las cuentas y cualquier posible secuestro de los sistemas es aún más crítico, porque claro está que hoy día tanto los datos propios como los de los clientes son un activo muy valioso para cualquier compañía, y en el caso de estos pequeños negocios, puede ser aún más grave porque a veces se trata de versiones únicas de datos críticos.
No queda más remedio, por tanto, que apuntarse a la defensa.
Limpiar, formar, reorganizar
Durante las vacaciones, cuando la intensidad laboral es más baja, las empresas pueden aprovechar para revisar sus sistemas y protocolos y aprender cuáles son las técnicas y herramientas de protección más adecuadas. Y por supuesto también para formar al personal en las mejores prácticas evitando así que se abran aún más puertas (tanto literal como figuradamente) a los atacantes maliciosos.
Y es que los descuidos son, precisamente, el peor enemigo de la ciberseguridad. Es posible que muchos de nosotros, o de nuestros trabajadores, no seamos conscientes aún de que los ataques de phishing, por ejemplo, suelen estar alojados en direcciones casi idénticas a las del banco o la empresa con la que trabajamos habitualmente, con alguna pequeña diferencia (dos letras en diferente orden, o añadidas…), así que prestar la máxima atención es fundamental. Un truco, que vale tanto para empresas como para particulares es, ante cualquier comunicación que nos parezca sospechosa (a veces por mail, otras, aún, por SMS), nunca pinchar en los links, pero sí meter el dominio principal (bancoxxx.net.com, por ejemplo)
en un navegador distinto y ver qué sale. Casi siempre será una página de error o una que nos confirme que, efectivamente, se trata de un engaño. En la misma línea de esa idea, no está de más recordar a nuestros empleados algunas recomendaciones básicas como la gestión de las contraseñas corporativas.Sí, hoy en día, 12345 y 11111 siguen siendo de las más comunes (hagan una encuesta entre sus empleados, antes o después de obligarles a cambiarlas y verán que es así) .
Y de las personas a los propios sistemas. También es buen momento para revisar estos últimos, ver si están correctamente actualizados, tratar de detectar vulnerabilidades, etc. Debemos realizar regularmente copias de seguridad de los archivos que resulten críticos para la empresa y que no estén guardados en la misma ubicación (si es una copia física se recomienda tener dos, si está en la nube, no mantener una cuenta única), y esta ‘limpieza de verano’ puede ser un buen momento para hacerlo. Otro punto débil puede ser el router: cada equipo que se conecta a la red de la empresa representa una posibilidad de acceder a los datos, y debemos tratar de reducir ese riesgo en lo posible, tal vez creando redes wifi para invitados, o diferentes niveles de acceso dentro de la red de la compañía.
En muchas ocasiones será conveniente, e incluso necesario, contar con la ayuda de un profesional (en las pequeñas empresas, especialmente en las muy pequeñas, no suele haber un responsable de tecnología y, si lo hay, es normalmente alguien que se dedica también a otras muchas cosas, con lo que no estaría dedicado al 100%). A veces es difícil planteárselo, por la propia y limitada estructura de costes de la empresa, pero ahora cuentan con la ventaja del Kit Digital, un paquete de ayudas económicas de la administración pública para impulsar la digitalización de las pymes (incluyendo, claro, estos temas de ciberseguridad, para la implementación de soluciones antimalware, monitorización de la red, auditoría técnica y protocolos para asegurar el correo electrónico: antispam y antiphishing, entre otros) y al que se pueden acoger durante todo el verano.
Puede que aun así suframos alguna filtración de datos, una infección de virus o un borrado fortuito de datos, pero al menos estaremos preparados.
