En los últimos años, las pequeñas y medianas empresas (PYMES) han adoptado cada vez más las tecnologías digitales para el trabajo, la producción y las ventas a distancia, de la misma manera que las empresas más grandes. Pero no siempre han prestado suficiente atención a la ciberseguridad, incluso cuando sus redes informáticas expandidas han creado nuevas vulnerabilidades para las amenazas cibernéticas. Esto es un error, porque los ataques cibernéticos pueden causar graves daños, tanto financieros como de reputación, lo que significa que la ciberseguridad para las pequeñas empresas debe ser tomada en serio.
¿Qué es WPA3?
La ciberseguridad es una serie de procesos y estrategias que protegen los sistemas críticos de una empresa y la información confidencial contra ataques cibernéticos y violaciones de datos. A medida que evoluciona el panorama de las amenaza, los ciberataques se vuelven cada vez más sofisticados, y los ciberdelincuentes utilizan la inteligencia artificial y la ingeniería social para crear nuevos métodos de ataque. Como resultado, las empresas deben mejorar sus medidadas de ciberseguridad para que correspondan a los nuevos retos.
¿Por qué las pequeñas empresas son vulnerables a los ciberataques?
Puede que piense que los ciberdelincuentes centran la mayor parte de sus esfuerzos en organizaciones más grandes, pero de hecho, hay evidencia de que hasta las empresas más pequeñas pueden ser más vulnerables a los ataques cibernéticos. A menudo, esto se debe a que las empresas más pequeñas carecen de los recursos de las organizaciones más grandes para protegerse contra las amenazas cibernéticas. Gastan menos en ciberseguridad y es más probable que utilicen software desactualizado y no compatible. Esto los convierte en objetivos más fáciles para los ciberdelincuentes.
Además, es más probable que las pequeñas empresas tengan empleados que usan sus propios dispositivos para trabajar. Si bien esto ahorra tiempo y dinero, también aumenta la probabilidad de sufrir un ataque de malware, ya que es más probable que los dispositivos personales estén en riesgo de descargas maliciosas.
Entre las motivaciones para que los ciberdelincuentes se dirijan a las pequeñas empresas están las siguientes:
Dinero: la principal motivación es la ganancia económica. Es cierto que algunos ciberataques están inspirados en un deseo de venganza o de generar caos, pero la mayoría se lanzan para generar ganancias. Por ello, el ransomware es un método de ataque tan popular. En la medida en que un método de ataque sea lucrativo, los piratas informáticos seguirán usándolo.
Potencia informática: en ocasiones, los hackers reclutan las computadoras de una empresa en un ejército de bots para lanzarataques de denegación de servicio distribuido (DDoS). Los ataques de DDoS implican la generación artificial de cantidades masivas de tráfico web para interrumpir el servicio que presta una empresa. Los bots secuestrados ayudan a generar tráfico molesto.
Vínculos con otras entidades: las pequeñas empresas están conectadas digitalmente con otras empresas a través de sus operaciones, las cadenas de suministro y la información que comparten. Como suele ser más difícil infiltrarse en las grandes empresas, los hackers apuntan a las pequeñas empresas como una forma de atacar los sistemas de las grandes.
¿Qué tipos de ciberamenazas pueden afectar a las pequeñas empresas?
Antes de planear la estrategia de ciberseguridad de tu empresa, debe entender el panorama de amenazas. Estas son algunas de las ciberamenazas que afectan a las pequeñas empresas:
Ingeniería social:
Es un tipo de ciberdelito en el que se engaña o manipula a una persona para que revele información confidencial, que después se usa para fines fraudulentos. La ingeniería social puede adoptar distintas formas, por ejemplo:
- Phishing: un hacker envía un correo electrónico engañoso para que el destinatario entregue información privada, o para implementar software malicioso en un dispositivo o en la red de la víctima.
- Spear phishing: una variante del phishing dirigido a una persona en particular, en la que el atacante se hace pasar por una persona conocida de la víctima.
- Sitios web falsos: diseñados para engañar a los usuarios con ataques maliciosos o fraudulentos.
- Suplantación de identidad telefónica: se produce cuando los estafadores cambian su identificador de llamadas para ocultar su identidad.
- Smishing: una variante de phishing en la que se usan los teléfonos móviles para atacar la plataforma.
Ransomware:
el ransomware es uno de los métodos más comunes que utilizan los piratas informáticos para atacar empresas. Con el ransomware, se bloquean los equipos, se cifran los datos y se controla el sistema. Si los propietarios quieren recuperar el acceso a sus datos, deberán pagarle un rescate al pirata informático para que les envíe la clave de descifrado. En los informes, se menciona que el 71 % de los ataques de ransomware están dirigidos a pequeñas empresasy que la recompensa promedio que exigen está en el orden de los 116 000 USD. Es muy probable que las PyME decidan pagar el rescate porque no tienen copias de seguridad de sus datos y necesitan volver a funcionar lo antes posible.
Malware:
malware es un término genérico con el que nos referimos al software malicioso diseñado para hacer daño a los dispositivos o la red de un usuario. Comprende una gran variedad de ciberamenazas, como troyanos y virus (es más: el ransomware es una forma de malware). Los ataques de malware son perjudiciales para las pequeñas empresas porque pueden paralizar los dispositivos, lo que requiere reparaciones o reemplazos costosos. También pueden abrir una "puerta trasera" para que los atacantes accedan a los datos, lo que pone en riesgo tanto a los clientes como a los empleados.
Botnets:
una botnet es una red de computadoras capturadas e infectadas con malware, lo que permite a los atacantes combinar la potencia de procesamiento para ejecutar los ciberataques. Durante algún tiempo, fueron una amenaza para las grandes organizaciones, pero desde hace unos años, las pequeñas y medianas empresas también han sido víctimas.
Ataques de denegación de servicio distribuido:
el objetivo de estos ataques es inundar un sitio web con tráfico de numerosas fuentes diferentes para que deje de funcionar. Un ataque de DDoS puede hacer que se desconecte por completo un sitio web, y que los clientes ya no puedan acceder a él.
Inyección de código SQL:
si la empresa tiene una base de datos en SQL (lenguaje de consulta estructurado, en inglés), es potencialmente vulnerable a la inyección de SQL. Es un tipo de ataque en el que se inserta una parte de un código malicioso en una base de datos SQL. Dependiendo de la naturaleza del código malicioso, las consecuencias pueden ser muy graves. Por ejemplo, puede eliminar los datos, comprometer la información confidencial del usuario y, en casos extremos, dejar fuera de servicio todo el sistema. Es una de las formas más habituales de ataque a un sitio web.
¿Por qué es esencial la ciberseguridad para las P
Son diversos los motivos por los que se debe tomar en serio la ciberseguridad para pequeñas empresas y la seguridad para PyME, entre ellos:
La posibilidad de pérdidas financieras:
Un ciberincidente puede destruir las finanzas de las pequeñas empresas, en ocasiones, de forma definitiva. El costo de la recuperación, la pérdida de ingresos durante el período de inactividad y las sanciones financieras por el incumplimiento de la legislación pueden afectar los resultados de la empresa.
Daño a la reputación:
En función de la escala del ataque y de cómo se maneje, si el negocio sufre una filtración de datos que afecta la información del cliente, el impacto en la reputación de la empresa puede ser muy grave. Esto puede afectar la capacidad para retener y atraer a nuevos clientes y empleados.
Poner a los empleados en riesgo:
Si los ciberdelincuentes roban información confidencial de los empleados, como archivos de RR. HH. confidenciales, fechas de nacimiento, información financiera, etc., estos estarán expuestos al riesgo de robo de identidad y otros ciberdelitos.
Capacidad para seguir funcionando:
Las empresas de todos los tamaños confían plenamente en los sistemas informáticos, en especial, desde la pandemia de la COVID-19. El depender del uso de los servicios en la nube, teléfonos inteligentes, Internet de las cosas y de la inteligencia artificial significa que cualquier interrupción provocada por un ciberataque impide que una empresa funcione con normalidad.
Cumplimiento normativo:
Las jurisdicciones de todos los países han elaborado más normas relacionadas con el Internet. Por ejemplo, en Europa, se aplica el Reglamento General de Protección de Datos (RGPD), y en California, la Ley de Privacidad del Consumidor de California. Este tipo de normas imponen obligaciones sobre las organizaciones que recogen y almacenan datos, y sanciones por incumplimiento, lo que pone de relieve la necesidad de que las empresas de todos los tamaños se tomen en serio la privacidad de los datos. Puede leer más sobre las leyes que rigen el Internet aquí.
El panorama de amenazas sigue evolucionando:
El volumen y la complejidad de las ciberamenazas está en aumento. Por día, se estima que más de 30 000 sitios web sufren ataques y que se crean más de 300 000 elementos nuevos de malware. Los ciberdelincuentes siempre están en la búsqueda de nuevas formas de aprovecharse de las empresas y atacarlas, sin importar su tamaño. Que su empresa no haya sido víctima de un ataque hasta el momento, no significa que sea inmune.
¿Con qué frecuencia las pequeñas empresas son víctima de las ciberamenazas?
El riesgo de sufrir un ciberataque para las PyME (de por sí más elevado que el riesgo de las grandes empresas) ha aumentado en los últimos años. Por ejemplo, en 2020 y 2021, las filtraciones de datos en pequeñas empresas aumentaron un 152 % en comparación con los dos años anteriores, según RiskRecon, una unidad de MasterCard que evalúa el riesgo de ciberseguridad corporativa. Esta cifra fue el doble que la correspondiente a las grandes empresas en el mismo período.
En un estudio realizado por IBM en 2021, se detectó que el 52 % de las pequeñas empresas habían experimentado un ciberataque el año anterior. A pesar de ello, muchas empresas no están preparadas. Como se reveló en una encuentra realizada por UpCity, un proveedor de servicios empresariales de Estados Unidos, solo el 50 % de las empresas tenían un plan de ciberseguridad para el 2022.
Cuando la situación económica es difícil, es natural que las empresas se enfoquen en las operaciones diarias y en su supervivencia inmediata. Pero dado el panorama de ciberamenazas, la ciberseguridad es un aspecto fundamental de la supervivencia empresarial a largo plazo.
¿Cómo puede proteger a tu pequeña empresa de las ciberamenazas?
Para proteger su PyME de las ciberamenazas, tiene que desarrollar una estrategia de ciberseguridad. Una estrategia de ciberseguridad sólida debe contemplar los siguientes aspectos:
- Formación y concienciación de los empleados
- Seguridad de la red
- Seguridad de la infraestructura
- Seguridad de las aplicaciones
- Seguridad de la información
- Seguridad de la nube
- Recuperación antes desastres o continuidad de las actividades en caso de un ataque grave
Resulta esencial promover una cultura de la seguridad en las empresas. Los empleados y los gerentes deben aprender las buenas prácticas de seguridad básica y seguirlas. Sin embargo, la vigilancia en sí no basta. Las PyME también deben invertir en herramientas de seguridad adecuadas para proteger sus actividades.
Protección de las redes de las pequeñas empresas
Los profesionales de la ciberseguridad hablan con frecuencia de la "seguridad de redes". Puede parecer algo que solo se aplica a las grandes empresas, pero cualquier negocio con más de una computadora cuenta con una red. De hecho, si los empleados utilizan sus teléfonos inteligentes para trabajar, una computadora de sobremesa y esos teléfonos ya son una red empresarial.
Conocer la seguridad en Internet es el primer y principal nivel de protección. Se debe proteger el acceso a la red con contraseñas seguras, que se deben cambiar con regularidad.
Los usuarios con acceso a la red deben tener cuidado con los correos electrónicos. No hacer clic en enlaces de correos electrónicos a menos estar seguro de que provienen realmente de una fuente confiable. Hay que sospechar de los correos electrónicos que parecen ser de compañeros, pero que no incluyen mensajes reales y personales. También hay que tener cuidado con los correos electrónicos que afirman ser de bancos u otras empresas que solicitan proporcionar información de cuentas. Ambas situaciones son indicadoras de estafas de "phishing" que pretenden engañar a los destinatarios.
Invierta en protección eficaz
La aplicación de buenas prácticas básicas de seguridad reducirán las oportunidades de que los ciberdelincuentes puedan acceder a la red de su empresa. Pero la seguridad de las pequeñas empresas también requiere soluciones adecuadas de seguridad para empresas.
Las ofertas de protección gratuitas para pequeñas empresas no siempre son suficientes. Básicamente, las herramientas de software de seguridad gratuitas son recursos de comercialización. Pueden resultar útiles para hacerse una idea de cómo sería una solución potencial sobre la base de una oferta de tipo "pruebe antes de comprar", pero tienen limitaciones inherentes. Sin embargo, existen herramientas de seguridad eficaces dirigidas a las pequeñas empresas a un precio asequible.
Las soluciones empresariales eficaces deben contar con cinco características básicas:
- Deben incluir protección para computadoras contra virus y malware.
- Deben ofrecer seguridad móvil porque el acceso móvil a la red es casi universal.
- Deben ofrecer cifrado de archivos individuales, carpetas o discos completos.
- Deben proteger los endpoints: los distintos dispositivos y las ubicaciones que permiten acceder a la red.
- Y, por último, pero no por ello menos importante, una solución de seguridad empresarial efectiva debe incluir herramientas de administración del sistema, tales como funciones de administración de parches para actualizar la protección.
Con una protección eficaz y unas buenas prácticas de seguridad en Internet, las pequeñas empresas pueden protegerse contra los ciberdelincuentes, que pueden tratar de forzar las puertas de la red, pero si no las logran abrir se irán a buscar una víctima más fácil.
Otros artículos y enlaces relacionados con la seguridad para pequeñas empresas: