Madrid
Los ataques cibernéticos afectan de la misma manera a las grandes corporaciones, organismos públicos como a las pequeñas y medianas empresas, ya que los ciberdelincuentes no distinguen el tamaño de la empresa a la hora de acceder de manera ilegal a los datos de las compañías. Lo que si tienen en cuenta son las trabas para acceder a ellos, y en este ámbito, las compañías de reducido tamaño son las que menos preparadas se encuentran, y pueden tardar en detectar que están siendo hackeadas hasta 204 días –según datos de IBM Security–, lo que hace que se convierten en el blanco "fácil" para los ciberdelincuentes. Así, el Instituto Nacional de Ciberseguridad (INCIBE) señala que la debilidad de estas empresas se encuentra en la escasez de recursos que destinan en esta materia, ya que se escudan en que son demasiado pequeñas para que les ataquen, pero los datos muestran lo contrario. En España, más del 60% de los ciberataques se dirigen a pequeñas y medianas empresas. En este sentido, Lazarus Technology, proveedor global de ciberseguridad, advierte de que el 80% de estas empresas carece de sistemas preventivos sólidos, lo que expone sus datos, operaciones y reputación a riesgos críticos.
Y es que, en materia de ciberseguridad, cada minuto cuenta, con especial ímpetu para las pequeñas compañías. Para una pyme, la diferencia entre sobrevivir o tener que cerrar el negocio ante un ataque cibernético depende de la rapidez de detección y respuesta. En este sentido, un estudio de IBM Security revela que las pequeñas empresas tardan, de media, 204 días en identificar una brecha y otros 73 días en contenerla. En total, una pequeña o mediana empresa que es atacada vía online se expone a más de nueve meses de vulnerabilidad, tiempo suficiente para que el daño sea crítico y no pueda volver a recuperar su actividad económica con normalidad. "El objetivo es reducir la ventana de exposición y acortar el periodo entre la intrusión y la respuesta", explica Manuel Huerta, CEO de Lazarus Technology. Y ese tiempo es todavía más crucial en los ataques de Ransomware –se trata de un código malicioso que impide la utilización de los equipos o sistemas que infecta–, donde los delincuentes no solo cifran los datos, sino que además amenazan a estas compañías con publicarlos, contactar con clientes o exigir pagos en criptomonedas. Esta situación puede dar lugar a denuncias por parte de los consumidores, lo que incrementa de manera directa el coste del ciberataque.
Cuando una pequeña empresa sufre un secuestro digital, pagar no siempre resuelve el problema. Según datos de Lazarus Technology, que colabora con Interpol y el FBI, hasta el 40% de las empresas que ceden al chantaje no recuperan sus datos, es decir, los ciberdelincuentes no devuelven el acceso ni cumplen lo prometido, y la compañía ya ha perdido el dinero que le había sido solicitado. "La negociación no es un acto de rendición, sino una herramienta para ganar tiempo, obtener información y recuperar el control", señala Huerta. En este sentido, es clave llevar a cabo una gestión profesional del problema –y para ello hay que estar bien preparado desde antes– para que los expertos tengan tiempo para evaluar si los atacantes siguen dentro del sistema, si los datos han sido realmente robados o solo cifrados y qué perfil tiene el atacante. Todo ello con el objetivo de dar cuanto antes con el ciberdelincuente y que los costes para la empresa sean los mínimos posibles.
En estas situaciones, cada interacción debe estar medida. Pedir una "prueba de vida" –como descifrar un archivo–, alegar la necesidad de aprobar el pago con el seguro o el consejo de administración o mostrar dudas técnicas permite ganar horas críticas mientras los equipos restauran copias de seguridad, cortan la exfiltración de los datos o levantan entornos alternativos. Aunque muchas pymes no pueden sostener un equipo interno especializado, existen medidas efectivas para reducir riesgos y ganar tiempo. La primera de ellas es contar con copias de seguridad cifradas y desconectadas de la red, junto a un plan de recuperación probado. Otra fundamental es la formación continua del personal. Esto de debe a que más del 80% de los incidentes comienzan con un error humano, como abrir un correo fraudulento o usar contraseñas débiles, por lo que es fundamental mantener bien informados a los trabajadores en materia de ciberseguridad. Mantener sistemas y aplicaciones actualizados cierra la puerta a vulnerabilidades conocidas. Sumado a esto, la monitorización constante y las alertas tempranas mediante servicios de ciberseguridad gestionada (MDR) y monitorización de indicadores de compromiso (IOC) permiten detectar comportamientos anómalos antes de que el ataque sea crítico. El control de accesos y la autenticación multifactor (MFA) son otra barrera clave, ya que limitan los privilegios de administración y dificultan la movilidad de los intrusos por la red. Por último, realizar simulacros de ataque y ensayar protocolos de respuesta ahorra horas vitales en plena crisis cibernética.
El precio de un ataque para una pyme puede ser devastador. Lazarus calcula que el coste de un ciberataque puede ser hasta 20 veces superior al de invertir en medidas preventivas, y apenas un 30% cuenta con un ciberseguro. Cuando un ciberataque paraliza la actividad, la pérdida económica puede alcanzar los 50.000 euros diarios, sin contar gastos de recuperación, sanciones legales y pérdida de clientes. El coste medio de un incidente ronda los 100.000 euros, 14 veces más que un incendio en la misma empresa. No sorprende que el 60% de las pymes europeas cierre seis meses después de una brecha grave.