En un entorno empresarial cada vez más digitalizado, la ciberseguridad para pymes se ha convertido en una prioridad. Las pequeñas y medianas empresas, lejos de estar fuera del radar, son uno de los principales objetivos de los ciberdelincuentes. Muchas pymes piensan erróneamente que por su tamaño no son atractivas para los ciberdelincuentes. Sin embargo, lo cierto es que precisamente por no contar con medidas avanzadas de seguridad son un blanco frecuente.
Estamos en un viaje para destacar los riesgos de seguridad específicos de la industria y los consejos y mejores prácticas para un entorno de seguridad más fuerte. Desde el sector salud, la fabricación y la educación hasta los servicios financieros, el sector público y la energía y los servicios públicos, analizaremos los riesgos y cómo mitigarlos en esta serie de blogs.
¿Son las pequeñas empresas demasiado pequeñas para ser objeto de ciberataques?
Eso es como preguntar si la información de su empresa es demasiado irrelevante para atraer a los hackers. Y la respuesta es: No, definitivamente no. La suposición común de las PYMES de que son demasiado pequeñas para ser interesantes es peligrosa.
Un ataque no sólo puede perjudicar más a una pequeña empresa que a una grande, sino que además suele ser un objetivo más frecuente con relativo éxito. Sin embargo, cuando una pequeña empresa no está preparada para un ciberataque, las consecuencias son graves. Cuando se produce una filtración de datos, se pueden detener todos los procesos de trabajo, lo que hace que la empresa no pueda realizar ninguna actividad.
Vulnerabilidades de las PYMEs
Hay muchas razones por las cuales las PYMEs son vulnerables, y por supuesto, no son aplicables a todas las pymes:
Lea también: ¿Qué hacer ante el acoso laboral?
- Es menos probable que las pequeñas empresas tengan un recurso dedicado a la seguridad de la información, por ejemplo, un Director de Información (CIO) o un Director de Seguridad de la Información (CISO). La seguridad suele quedar al final de la lista de prioridades y a veces incluso se olvida por completo.
- Las empresas más pequeñas tienen menos probabilidades de contar con grandes presupuestos, por lo que pueden intentar ahorrar costos en materia de seguridad. Hasta que no se produzca un ataque o una pérdida de datos, puede no parecer obvio por qué las inversiones en seguridad merecen la pena.
- Las empresas más pequeñas a menudo han sido creadas y establecidas por alguien que es un experto en su campo respectivo, por lo que la configuración no refleja necesariamente las mejores prácticas de seguridad.
Estadísticas de Ciberseguridad en España
La transformación digital ha abierto grandes oportunidades para las empresas, pero también ha traído consigo un aumento exponencial de los ciberataques. En España, los incidentes relacionados con la ciberseguridad crecieron un 30% en 2023, con unas 40.000 incidencias diarias, afectando especialmente a las pymes, que representan el 36% de los casos. A pesar de estas cifras alarmantes, solo el 20% de las empresas en España han logrado implementar un nivel adecuado de ciberseguridad, según un estudio reciente.
Según el reporte de Hiscox, se estima que la mitad de las empresas españolas ha sufrido algún tipo de ciberataque en el año 2023. Además, destaca el exponencial crecimiento de los ciberataques a pymes, las cuales son las que más han aumentado en proporción el número de incidentes de seguridad registrados. Un aspecto relevante al respecto es la preparación y la percepción de la ciberseguridad en estas empresas. Solo el 61% de las empresas con menos de 250 empleados se sienten seguras de su preparación en ciberseguridad.
Las estadísticas de INCIBE refuerzan esta tendencia, dado que durante el año 2022 se gestionaron un 9% más de incidentes que el año anterior, un total de 118.000. Gran parte de esos ataques fueron dirigidos a pymes. 1 de cada 3 de estos fueron filtraciones de datos.
Según un estudio publicado por Trend Micro, un 53 % de las empresas españolas tuvo entre sus planes aumentar los presupuestos en ciberseguridad durante el año 2023. Si bien el porcentaje es inferior en comparación con la tendencia mundial (64%), esta demostración de intenciones por parte de las pymes de mejorar su ciberseguridad arroja un alto grado de compromiso.
Según un informe elaborado por PwC España, el 86 % de las organizaciones españolas considera que sus empleados carecen de una cultura de ciberseguridad acorde a las necesidades. Ello explica que muchas compañías no hayan puesto el foco suficiente en la formación y concienciación de sus empleados.
Lea también: Marketing Digital: Amenazas y Soluciones
INCIBE ayudó a formar a más de 100.000 personas en materia de ciberseguridad durante el año 2022. Mediante iniciativas como los MOOC de ciberseguridad para micropymes y autónomos, ENISE o Academia Hacker, se ha contribuido a mejorar el panorama de formación existente en los autónomos y pymes españoles.
Principales Amenazas para las PYMEs Españolas
El principal error de muchas empresas es pensar que "nunca serán objetivo de un ataque". Los ciberdelincuentes suelen aprovecharse de las vulnerabilidades de las empresas más pequeñas, utilizando técnicas como la suplantación de identidad o "phishing", que consiste en hacerse pasar por una entidad legítima para obtener información confidencial.
No menos importante es el "fraude al CEO", en el que se accede a correos electrónicos de altos ejecutivos para manipular facturas y desviar pagos.
Entre las principales amenazas se encuentran:
- Phishing/Suplantación de Identidad: El phishing es una técnica mediante la cual los atacantes se hacen pasar por entidades legítimas para engañar a las víctimas y obtener información confidencial, como nombres de usuario, contraseñas y datos bancarios. Generalmente, esto se hace a través de correos electrónicos, mensajes de texto o sitios web falsificados que parecen legítimos.
- Ransomware/Secuestro Virtual de Información: El ransomware es un tipo de software malicioso que cifra los archivos de un dispositivo, impidiendo al usuario acceder a ellos. En este tipo de ataque los ciberdelincuentes demandan a posteriori un rescate a cambio de la clave de descifrado.
- Ataque a la Cadena de Suministro: Los ataques a la cadena de suministro son tácticas maliciosas dirigidas a infiltrarse en una organización a través de sus proveedores o socios comerciales. Estos ataques explotan las relaciones de confianza entre empresas y sus proveedores, lo cual puede derivar en un robo de datos, la interrupción de las operaciones, etc.
- Falta de Formación/Políticas de Seguridad: La formación educa a los empleados sobre las mejores prácticas de seguridad, cómo reconocer y responder a amenazas cibernéticas, y la importancia de seguir protocolos de seguridad. Las políticas de seguridad, por su parte, proporcionan un marco claro y directrices sobre cómo manejar y proteger la información y los activos de la empresa.
- Contraseñas Débiles: Las contraseñas débiles son aquellas que son fáciles de adivinar o descifrar debido a su simplicidad o previsibilidad. Estas contraseñas, que carecen de variedad en caracteres (como mayúsculas, minúsculas, números y símbolos) y a menudo utilizan palabras comunes, fechas de nacimiento o secuencias simples, como “123456”, representan un riesgo de seguridad significativo, ya que permiten a los atacantes acceder más fácilmente a cuentas y sistemas protegidos.
- Actualizaciones de Seguridad: Las actualizaciones de seguridad son un elemento crítico, ya que corrigen vulnerabilidades y fallos de software que pueden ser explotados por atacantes para realizar actividades maliciosas. Mantener el software actualizado es una medida de prevención clave para proteger los sistemas y los datos.
¿Qué pueden hacer las empresas para establecer un entorno seguro?
Entonces, ¿qué pueden hacer las empresas para establecer un entorno seguro? Muchas veces, una pequeña o mediana empresa nombra a una persona como responsable de la configuración de la seguridad de la información. ¿Y si esta persona se va? Las cosas se desmoronan.
Lea también: Evitar riesgos empresariales
La seguridad nunca es una solución única, ni una sola táctica le protegerá. Invierta en software antivirus y antispyware. Configure la protección del firewall. Gestione el acceso con una autenticación multifactorial. Cifre sus datos en reposo y en tránsito. Firme sus documentos y correos electrónicos. Todos estos elementos le ayudarán a construir su línea de defensa.
Consejos Prácticos para la Ciberseguridad en PYMEs
Para reducir la exposición a estas amenazas, es esencial que las empresas formen a sus empleados y adopten prácticas seguras, como el uso de contraseñas robustas, la autenticación en dos pasos y la implementación de redes VPN seguras. Los errores humanos, ya sea por descuido o falta de conocimiento, son una de las principales causas de brechas de seguridad.
- Formación en Seguridad: Haga de la formación en seguridad una prioridad. Después de todo, es normal que los humanos cometan errores. También es importante dar directrices sobre BYOD (Bring Your Own Device). ¿Están los empleados autorizados a instalar sistemas de la empresa en sus propios dispositivos, pueden acceder a su red y a su WiFi?
- Contraseñas Seguras: 123456 no es una contraseña segura. Tampoco lo es Password123. Las recomendaciones son que una contraseña debe consistir en una combinación de un mínimo de 12 letras, números y caracteres especiales. Así que fiI3d%j")40M podría ser una buena opción. Es igualmente importante mantener esas contraseñas seguras, ya sea memorizándolas o utilizando un gestor de contraseñas.
- Concienciación: La concienciación es una de las mejores defensas.
La externalización como solución recurrente
Estos datos revelan que las pymes, a menudo, buscan agentes externos para delegar sus departamentos de ciberseguridad, con la finalidad de crecer en este ámbito. Esta colaboración con empresas emergentes dedicadas a la ciberseguridad ayuda a crecer digitalmente, desarrollando nuevas soluciones y destacando frente a la competencia gracias a las innovaciones que ofrecen. Por tanto, la externalización se da como una solución recurrente para aquellas pymes que no cuentan con los recursos o con la experiencia suficiente para hacer frente a determinadas materias de seguridad.
Aunque la subcontratación de servicios es una estrategia válida para pymes que carecen de recursos o experiencia específica, debe considerarse como un complemento a una sólida formación interna y no como un sustituto de la misma.
Kit Digital: Una oportunidad para mejorar la ciberseguridad
Ante este panorama, las pymes tienen una oportunidad única para mejorar su ciberseguridad mediante el Kit Digital, una iniciativa que facilita la adopción de soluciones tecnológicas. Desde Acelera Pyme CREEX, te animamos a que aproveches esta oportunidad para proteger tu negocio y garantizar su continuidad. No dejes que un ciberataque ponga en riesgo todo tu esfuerzo.