¿Cuánto puede costarle a una pyme ser víctima de un ciberataque? El coste medio de un ciberataque en España es de 35.000€. Los mecanismos y sistemas de prevención y actuación aún siguen siendo insuficientes y lentos: las pymes tardan en promedio 212 días en identificar un ataque y 75 días más en contenerlo.
En España, las pymes destinan un presupuesto medio de TI de 4,06 millones de dólares y el porcentaje invertido en ciberseguridad corresponde a un 23,01%, según el último informe de Ciberpreparación de Hiscox 2022. Además, solo un 33% de estas empresas de menor tamaño y startups dicen contar actualmente con una póliza de seguro cibernético independiente, frente al 31%, que están cubiertas de manera parcial y un 13%, que no tienen este tipo de pólizas, pero que planean comprarla al año siguiente.
“No hace falta ni mirarlo con lupa. Los datos son preocupantes. Bajos presupuestos en seguridad online para empresas que desarrollan su actividad comercial en el entorno digital, con mails corporativos, e-commerce, programas alojados en la nube, etc. De nada sirve que sigan invirtiendo en activos digitales para seguir la senda de la transformación digital, si no se encargan de protegerlos. Volverán al punto de partida, o lo que es peor, con rendimientos económicos más bajos, o incluso con pérdidas y, en el peor de los casos con el cese de sus negocios”, asegura Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Un 13% de las pymes españolas no tienen contratadas pólizas de seguro contra riesgos cibernéticos. En la mayor parte de ellas (68%), el responsable de ciberseguridad es también el de la gestión de la empresa.
Principales ciberamenazas a pymes en España
La causa principal de los ciberataques sufridos por empresas suele estar en el componente humano, es decir, en la falta de educación digital de las personas. Anticipando este hecho, contar con protocolos de prevención, actuación y control de seguridad online es una inversión más que recomendable.
1. Especial atención a la evolución de tecnologías IA
Los hackers aprovecharán el desarrollo de la IA y las tecnologías IoT para colarse en los sistemas corporativos. “Cada vez son más las empresas, y en especial, el número de empleados que utilizan infinidad de herramientas de este tipo para optimizar y acelerar la producción de los procesos y actividades en el trabajo. Especialmente, hay que tener cuidado con lo que descargamos y/o utilizamos. Estamos viendo en redes sociales cantidad de posts sobre multitud de herramientas IA, aparentemente de fácil descarga y uso. Impera la desinformación y mientras creemos que estamos accediendo a un sitio web verificado, podemos descargar algún tipo de malware”, aconseja Lambert.
2. Ataques a la cadena de suministro de las pymes
Los cibercriminales ponen su foco sobre algún servicio para inhabilitarlo temporalmente. En concreto, suelen filtrarse a través de algún proveedor o cliente con el que se mantiene una relación frecuente. Así, los cibercriminales descubren vulnerabilidades en los códigos fuente una vez han introducido el malware en los sistemas de la empresa en cuestión. “De esta manera pueden robar datos corporativos, de empleados y dañar los equipos”, puntualiza Lambert.
Este es uno de los principales motivos por el cual en 2023 muchos negocios llevarán a cabo con mayor frecuencia la evaluación y validación de la ciberseguridad a la hora de seleccionar proveedores y socios. “Las empresas que realmente tienen conciencia de la importancia de la seguridad cibernética demandarán una mayor cooperación y trabajo con empresas comprometidas con una educación en ciberseguridad y altos presupuestos destinados a las mismas”, puntualiza Hervé Lambert, Global Consumer Operations Manager de Panda Security.
3. Ataques distribuidos de denegación de servicio (DDoS)
Cuando van dirigidos a pymes y medianas empresas suelen ser la antesala de un ciberataque a gran escala. Este método que bloquea el funcionamiento de un sitio web o sistema de red durante un periodo específico de tiempo entorpece la actividad comercial y de cualquier tipo para la empresa. Existen diferentes tipos de ataques DDos: a la capa de aplicación, de protocolo o de capa de red, y volumétricos.
4. Ataques de ransomware
El ransomware es una forma de malware que bloquea los archivos o dispositivos del usuario para luego reclamar un pago online anónimo para restaurar el acceso. “Una de las prácticas más extendidas por los piratas informáticos debido a su alta rentabilidad económica”, comenta Lambert. “Además, no hay que olvidar que la RGPD considera un delito punible no albergar una protección adecuada de los datos confidenciales de los clientes. Aquí las empresas se enfrentan no solo a las pérdidas económicas y reputacionales ocasionadas por los ciberataques, sino también a multas de los reguladores”.
5. Phishing
Sin lugar a dudas, una de las técnicas de ingeniería social más antiguas, desarrolladas y favoritas de los cibercriminales. Este último año han ocurrido varias oleadas masivas de mails dirigidos a pymes españolas con correos fraudulentos relacionados con el asunto de facturación empresarial. “Es increíble cómo a día de hoy todavía les puede seguir dando tan buenos resultados, teniendo en cuenta que podríamos evitar miles de estos ataques solo con una lectura más pausada de los SMS y correos electrónicos en el trabajo y en casa”, recuerda Lambert.
“La idea es que seamos capaces de integrar herramientas digitales y destrezas humanas para mejorar los tiempos de respuesta ante ataques cibernéticos, blindando adecuadamente el perímetro de seguridad de nuestra empresa”, finaliza Hervé Lambert, Global Consumer Operations Manager de Panda Security.