Corey Nachreyner es CEO de la compañía Watchguard, especializada en seguridad de red.
Es justo decir que los cibercriminales siguen un patrón, al menos por lo que a los titulares se refiere. Ya se trate de Sony o de JPMorgan, parece que habitualmente buscan grandes multinacionales con amplias cadenas de suministro a las que intentan encontrar el punto débil o la grieta en su defensa. Si bien estas historias reflejan la realidad de las amenazas a las que se enfrentan las grandes corporaciones, éstas también actúan como velo que oculta la historia más amplia relacionada con los ataques a las pequeñas empresas, un negocio creciente con sistemas más vulnerables y una propiedad intelectual altamente valiosa. Lo cierto es que, incluso los negocios que vemos cuando paseamos por la calle se están convirtiendo en un objetivo preciado para los cibercriminales. Según una encuesta de 2013 de la Asociación Nacional de Pequeñas Empresas, el 44% de las pymes admitió haber sido víctima de un ciberataque.
Esta falta de visibilidad es parte de lo que convierte a las pymes y a la administración local en objetivos principales. Atacar a una gran cantidad de pymes permite a los ciberdelincuentes trabajar en gran parte fuera del radar, mientras que los ataques a las grandes rápidamente saltan a la palestra y se convierten rápidamente en el foco de la atención de la policía y los organismos gubernamentales. Una tendencia posterior para los hackers es ir tras varias empresas dentro de segmentos de mercado verticales, permitiéndoles aprovechar las vulnerabilidades comunes tales como los dispositivos punto de venta o los registros de pacientes de clínicas y centros sanitarios de pequeño y mediano tamaño.
Muchas pymes y administraciones locales creen que no son lo suficientemente grandes como para ser objetivo de la ciberdelincuencia. Pero según Visa, las pymes representan el 90% de todos los compromisos por brechas de datos de los comerciantes. Las pymes almacenan datos de gran valor que aportan a los hackers importantes beneficios, como números de tarjetas de crédito, registros médicos o información personal mantenida por las oficinas legales, contables o incluso por las cortes de justicia local. En algunos casos, la pyme no puede ser atacada directamente, pero sí recibir el impacto. Los hackers han perfeccionado sus habilidades para llevar a cabo ataques automatizados y oportunistas que constantemente escanean Internet en busca de sistemas desprotegidos. Así que incluso si la víctima no tiene datos valiosos para robar, su red podría ser secuestrada y convertirse en un proxy involuntario a través del cual se realizan a nuevos ataques.
Por supuesto, la actividad en la Red también ofrece muchas oportunidades, pero es frecuente encontrar que muchas pymes y las administraciones pequeñas no pueden contar con los presupuestos o los expertos internos para mantener el software y los sistemas en su máxima capacidad defensiva. De hecho, según la Encuesta del Estado Global de la Seguridad de la Información de PwC, se encontró que las pymes redujeron el gasto en seguridad en un 20% en 2014, comparado con un incremento del 5% en la inversión en seguridad realizada por las grandes empresas. Con los presupuestos y conocimientos restringidos, las pymes a menudo limitan su seguridad de red a un firewall de filtrado del estado de paquetes estándar y antivirus basados en firmas, que sólo bloquean ataques de red limitados y están días, o incluso semanas, por detrás de nuevas variantes de malware de día cero. La seguridad limitada convierte a las pymes en un blanco atractivo para los ataques sofisticados y en constante cambio utilizados hoy por los hackers.
Los ataques a las pymes también impactan en las grandes corporaciones. Los hackers han aprendido que el camino hacia un gran objetivo bien protegido pasa por infiltrarse en la red de un partner de la cadena de suministro más pequeño con el fin de entrar por la puerta trasera a los sistemas de la compañía más grande. Informes indican que la brecha de Target de 2014 se produjo cuando los atacantes robaron credenciales de red del proveedor de HVAC de Target.
Entonces, ¿qué pueden hacer las pequeñas empresas a protegerse sin un departamento de TI ni el correspondiente presupuesto? En cuatro pasos, simples y de bajo presupuesto, las pymes pueden mantenerse en el centro de la actividad y a salvo de la ciberdelincuencia.
Actualizar parches y software: más del 90% de los exploits de Internet aprovecha viejos fallos que los fabricantes ya han solventado, pero que los usuarios simplemente no han incorporado. Los parches de software y las actualizaciones son gratuitas o apenas tienen coste, no requieren de experiencia técnica para instalar, y son una de las medidas básicas de seguridad más importantes para cualquier empresa, independientemente de su tamaño. Adquirir el hábito de parchear con regularidad los sistemas operativos y otras aplicaciones, y aplicar las actualizaciones del firmware para el hardware, son una buena práctica.
Actualización del firewall básico: las nuevas ciberamenazas son más sofisticadas de lo que eran hace un año. Los dispositivos de seguridad avanzada, tales como firewalls de próxima generación (NGFW) y gestión unificada de amenazas (UTM) están diseñados para detener una amplia gama de nuevas y cambiantes amenazas, incluido el malware de día cero. Es más, estas tecnologías ahora son muy asequibles y fáciles de gestionar para las pymes.
Política de contraseñas robusta: adoptar, comunicar y hacer cumplir una fuerte política de contraseñas. Adoptar un gestor de contraseñas para la organización es una forma fácil de ayudar a los empleados a utilizar nuevas contraseñas eficaces para cada aplicación, cambiándolas regularmente y manteniéndolos a salvo y seguros.
Concienciar: ni todas las defensas del mundo pueden evitar que un empleado cometa un error tonto. Por eso, es vital formar a los empleados en materia de seguridad en Internet para que sean cuidadosos con los archivos adjuntos o enlaces en los correos electrónicos, incluso si parecen proceder de gente de confianza.
