Las pymes son la columna vertebral de nuestra economía. Las que hacen que todo funcione. Y es que, si nos ponemos a contar, resulta que el 99% de las empresas europeas pertenece a esta categoría. En España son más de tres millones, y en Europa más de 25. Aunque hay un dato que ilustra aún mejor su omnipresencia: solo 5.200 empresas no son pyme en nuestro país.
Su peso y relevancia en la economía se ve además acrecentado por otro factor no menos relevante: la gran mayoría actúa como proveedores de las grandes empresas. Y eso les pone, hoy más que nunca, en el punto de mira de los ciberdelincuentes. La acelerada digitalización que trajo consigo la pandemia y el confinamiento hizo que los ataques de phishing crecieran un 667% en este periodo, pillando a muchos desprevenidos y sin los recursos necesarios para hacer frente a los ciberataques.
Y es que las pymes han entrado definitivamente en el punto de mira de los ciberdelincuentes. Los ataques a la cadena de suministro han pasado de suponer un 1% en el año 2021 a un 17% en 2022. Y tienen visos de seguir creciendo, pues los delincuentes buscan atacar al eslabón más débil para así debilitar al conjunto de la sociedad o a una empresa en concreto.
Aunque tenemos tendencia a pensar que los ataques más sofisticados irán dirigidos a las organizaciones más poderosas, esto dista mucho de ser así. Tampoco son fruto del azar. En muchas ocasiones se buscan precisamente empresas pequeñas para poder perjudicar a las grandes y poner en jaque al conjunto de los ciudadanos.
Existen precedentes desde hace al menos diez años. La cadena de supermercados Target, sexta por volumen de negocio en Estado Unidos y una de las compañías más importantes del mundo, vio hace un tiempo como sus TPVs (los terminales de punto de venta a los que acercamos nuestra tarjeta para pagar) habían sido infectados con un malware que logró robar los datos de 70 millones de clientes. Cuando lograron frenar e investigar el incidente, se dieron cuenta de que los delincuentes habían logrado acceder a su red a través de la empresa que hacía el mantenimiento del aire acondicionado.
Peor son aún las consecuencias de un ciberataque para una pyme. Si bien una empresa como Target puede recuperarse y, aunque dañada, salir adelante en este tipo de situaciones, los daños para una pyme son prácticamente irreparables. No solo a nivel económico sino también pérdida reputacional. ¿Quién va a confiar en una pyme a la que “se la han colado” los ciberdelincuentes?
Medidas prácticas para evitar ciberataques en pymes
1. Contratar un ciberseguro
Vaya por delante que nadie está hoy 100% protegido ante un ciberataque. Ni la formación en ciberseguridad, ni la implantación de controles de acceso, ni los parches y antivirus te garantizan que tu pyme no vaya a ser el objetivo de un ataque de ransomware, o que uno de los empleados o de los socios no vaya a picar en uno de los cada vez más elaborados ataques de phishing.
Y, teniendo en cuenta que tanto la formación como las herramientas de prevención, cuestan tiempo y dinero, quizá la opción más práctica para una pyme sea hoy contratar un ciberseguro. Con precios que arrancan desde los doce euros al mes y cubren un elevado número de daños (también las posibles multas derivadas de un incumplimiento de la RGPD, la Ley de Protección de Datos europea) pueden ser una efectiva medida de defensa. Una opción que, además, puede ser urgente en el caso de que no se tengan implantadas algunas de las otras vías de contención de los ciberdelincuentes.
2. Control de acceso estricto y gestión de contraseñas
Más del 60% de las violaciones de la ciberseguridad afectan a las credenciales de los usuarios. Se recomienda utilizar una contraseña fuerte y única con al menos 12 caracteres y letras, números y símbolos, así como utilizar un gestor de contraseñas para generar las gestionarlas y almacenarlas de forma privada.
También se debe aplicar la autenticación multi factor (AMF) para las aplicaciones y sistemas que las PYMES utilizan o ponen a su disposición. En estos casos, la AMF actúa como una capa más de protección de la seguridad para las PYMES.
3. Gestionar las vulnerabilidades
La instalación y el mantenimiento de sistemas antivirus es un paso esencial para proteger los sistemas operativos y las aplicaciones de las pymes de otras amenazas. Corresponde a las pymes garantizar que se identifican y mitigan las vulnerabilidades de sus productos.
4. Instalación y mantenimiento de cortafuegos
Otra práctica recomendable es instalar un cortafuegos para mejorar la seguridad, aislando. Una red confiable de otra que no lo es. Es necesario actualizar periódicamente el software del cortafuegos y en la medida de lo posible, automatizar el proceso.
5. Wifi protegido y VPN para acceder fuera de la red corporativa
Se debe utilizar VPA 3 siempre que sea posible y una contraseña única y segura con cifrado de red Wifi. Que contenga al menos 20 letras, números y caracteres especiales. También es recomendable utilizar una VPN robusta para proporcionar un acceso remoto seguro a una red y sus aplicaciones.
6. Copia de seguridad de datos
Por último y con objeto de reducir no tanto las ciberamenazas como sus riesgos. Es necesario tener una copia de seguridad de los datos esenciales para las actividades empresariales en al menos dos ubicaciones fuera de la red corporativa.
Conviene utilizar el cifrado completo de disco para garantizar que en caso de pérdida o robo de un disco duro, los datos permanezcan seguros.