Según datos del Instituto Nacional de Ciberseguridad –INCIBE– un ciberataque puede costar hasta 35.000€ a la pyme que lo sufre. Y, lo que es peor, el 60% de esas pequeñas y medianas empresas desaparecen seis meses después del ataque.
Estamos, por tanto, ante un problema de gran magnitud que preocupa a los directivos de empresas y organismos públicos. Y no es para menos, dadas las mencionadas consecuencias.
El informe ‘Digital Trust Survey 2022’, elaborado por la consultora PwC, incluye datos de la encuesta realizada a 3.602 responsables de ciberseguridad y altos directivos en 66 países. Entre ellos, 141 españoles. Más del 50% de las compañías entrevistadas esperan un aumento de los ciberataques.
Es por eso que el 70% de las empresas españolas prevé aumentar su gasto en ciberseguridad, cuando el año pasado este porcentaje era del 55%. La encuesta refleja, además, cuáles son los ataques que más preocupan y que estos directivos y responsables consideran que aumentarán en mayor medida:
¿Está preparada tu pyme para dar respuesta a semejante reto? A continuación vamos a analizar estas amenazas, facilitando recomendaciones para tratar de minimizar los riesgos.
El correo de un jefe. La llamada de un técnico. Un mail de tu banco… Acciones comunes en el día a día de una empresa pueden esconder un ciberataque. A continuación algunos de los más importantes, y cómo prevenirlos.
Se suplanta la identidad de un alto directivo, que envía –supuestamente– un correo electrónico a alguien de la compañía con capacidad para realizar transferencias desde alguna cuenta corporativa. Se solicita una cantidad elevada para una operación que suelen calificar de urgente y para la que necesitan discreción. Buscan de este modo que dicho empleado no comente la solicitud a ningún otro compañero.
Los atacantes compran dominios similares al de la empresa para enviar un correo electrónico que parece, efectivamente, enviado desde una cuenta corporativa de la empresa, lo que puede generar confianza.
Cualquier solicitud urgente de transferencia, aunque venga de altos directivos, debe tomarse con cautela. En primer lugar, será conveniente tratar de contactar con el supuesto jefe por otra vía, por ejemplo el teléfono.
La otra comprobación a realizar es fijarse bien en el correo electrónico, pues aunque similar, no es en realidad el corporativo de la empresa. Esta técnica que busca la similitud en los dominios de correo se conoce como cybersquatting.
Una variante es el fraude de los RR.HH., en donde un supuesto empleado solicita un cambio de cuenta bancaria para que le ingresen la nómina. Han realizado el seguimiento de algún empleado de este departamento, y se hacen pasar por un trabajador, para que le ingrese la nómina en una nueva cuenta que, en realidad, pertenece a los atacantes.
{{banner-pymes-1}}
Un supuesto miembro del servicio técnico de Microsoft llama a un teléfono de la empresa advirtiéndole de que su equipo está en riesgo, si no se realizan una serie de cambios. Para ello, solicita la instalación de software para acceder remotamente al equipo y arreglarlo.
La solicitud de pago de una cantidad a cambio de solucionar la supuesta vulnerabilidad detectada también suele ser un ataque común. En estos casos, la forma de prevenir es clara: desconfiar de este tipo de llamadas, salvo que se tenga la certeza de que realmente puede ser del equipo técnico –porque, por ejemplo, se le haya llamado con antelación–.
Consiste en infectar el equipo para mostrar en el navegador o en otras aplicaciones publicidad no deseada, que generaría ingresos al atacante. Mantener el software actualizado y no descargar programas desde fuentes no oficiales o ‘piratas’ es la principal forma de prevención. Además de no interactuar con correos electrónicos de dudosa procedencia.
Los atacantes buscarán vulnerabilidades en la programación o software, lo que le permite acceder a cierta información confidencial. La forma de prevenirlo en este caso es mantener dicho software, gestores de contenidos o plugins actualizados a sus últimas versiones.
También es interesante colocar sistemas de verificación captcha en la web, tal y como recomiendan en la guía del INCIBE ‘Ciberamenazas contra entornos empresariales’, donde podemos encontrar todos estos tipos de ataques, ejemplos reales y recomendaciones para prevenirlos. Otra forma de prevención es el uso de certificados SSL para las comunicaciones entre páginas y usuarios.
Se trata de un malware que secuestra la información de la empresa. Encripta ciertos archivos corporativos y los hace inaccesibles, salvo que se pague un rescate por recuperar la información.
De nuevo, permanecer alerta de correos electrónicos sospechosos es la principal recomendación. En la mayoría de las ocasiones, el malware se instala tras hacer clic en un enlace enviado a un correo de la organización. O al descargar un archivo adjunto de, por ejemplo, un supuesto cliente o proveedor que envía una factura.
Configuraciones deficientes o desactualizadas en cierto tipo de aplicaciones o sistemas de la empresa también pueden ser la puerta a estos ataques, por lo que se recomienda mantener todo bien actualizado.
En el caso de verse afectado, existe una página activada por EUROPOL, con información para tratar de desencriptar la información secuestrada.
Ransomware es sólo un tipo de malware. Existen otras variantes que utilizan también estos mismos medios para medir pulsaciones en un dispositivo –lo que permitiría conocer contraseñas–, o incluso herramientas de acceso remoto, que permitirían controlar un dispositivo de la empresa a distancia por terceros, con fines delictivos.
Es el método más común que usan los ciberdelincuentes para robar datos como nombres de usuario y contraseñas de acceso. ¿Cómo lo hacen? Suplantando la identidad de organizaciones que todos conocemos.
Se trata de simular, mediante el envío de correos u otras alternativas, que quien nos está solicitando cierta contraseña es nuestro banco, Hacienda o nuestra empresa suministradora de electricidad, por poner algunos ejemplos.
Recibes un correo, aparentemente, de [email protected]; pero en realidad se trata de un correo alternativo, en el que te solicitan tus contraseñas u otra información sensible. O bien incluyen un enlace que lleva a una página con apariencia estética similar a la de la web real de la entidad. Y es ahí donde se solicitan claves u otra información sensible, que son visualizadas por los atacantes.
Informa a todos los trabajadores de que ningún banco ni empresa de servicios les solicitará nunca claves de acceso o información sensible por correo.
También es conveniente revisar bien el remitente de los correos. Entra al detalle de un correo electrónico sospechoso para corroborar si el remitente aparente, es el que realmente aparece en el detalle.
Parece que nos escriben desde administració[email protected]; pero al entrar en el detalle veremos correos electrónicos con cifras, números o que intenta simular la entidad original a la que suplantan –por ejemplo, haciendo bailar algunas letras: banocsantander–.
Se entiende por fuga de información cuando, por cualquier motivo, los datos que legalmente deben ser vistos y gestionados por personal autorizado pasan a ser accesibles para terceros que no tienen esa autorización.
Estas fugas o pérdidas pueden venir por alguna de las siguientes vías, que debemos vigilar especialmente para no vernos afectados:
A nivel organizativo, es recomendable establecer una política de procedimiento para todo el ciclo de vida en el que los datos permanezcan en la empresa. Esto incluye una calificación de la información en función de su grado de confidencialidad, ligando este dato a roles y niveles de acceso para usuarios. Se busca de este modo:
A nivel técnico, tenemos que configurar el acceso a los datos mediante un sistema de control de identidad –que, lógicamente, tenga altos estándares de seguridad–. Además de poner en marcha soluciones antimalware, antifraude y de protección en las telecomunicaciones de la empresa.
A nivel legal, es recomendable que se creen acuerdos de confidencialidad, se solicite a empleados la aceptación de políticas de seguridad y se cumpla la legislación en materia de protección de datos.
Cuando la privacidad de terceros –nuestros clientes/usuarios– se pueda ver comprometida, debemos avisar inmediatamente a la Agencia Española de Protección de Datos, en un plazo máximo de 72 horas.
En la mencionada guía del INCIBE encontramos recomendaciones de ciberseguridad que ayudarán a proteger tu empresa. Algunos de ellos, ya están incluidos en la prevención de ataques concretos. Pero hay más:
Las dos últimas 'grandes' revoluciones que están afrontando las empresas son la transformación digital y el teletrabajo. Este último ha abierto una nueva vía de ataque a los ciberdelincuentes. En muchos casos, se usan equipos no profesionales, que mezclan un uso particular menos seguro, con el acceso a programas y funcionalidades laborales.
Esto es un cóctel peligroso y que requiere de una serie de recomendaciones específicas, que hemos extraído de la guía ‘Ciberseguridad en el teletrabajo’ del propio Instituto Nacional de Ciberseguridad –INCIBE–.
Para apoyar esta tarea de ciberprotección, se ha activado recientemente el Kit Digital para pymes, con ayudas de 125€ por usuario para implantar seguridad básica y avanzada para los equipos de sus trabajadores.
La última gran recomendación es activar una auditoría de ciberseguridad. No son gratuitas, pero permiten realizar un peritaje que detecta posibles vulnerabilidades en toda la cadena de comunicación y procesos online que realiza la compañía.
Desde la página web, hasta dispositivos, servidores, software… Se realiza un completo estudio de todo aquel proceso que podría generar una vulnerabilidad, que sería aprovechada por atacantes.
Lo que precisamente busca esta auditoría es adelantarse. Detectar estas posibles vías de escape para solventarlas antes de que pueda generarse una brecha de seguridad por la que ser atacado.
