Ciberseguridad para pymes: claves para protegerse

Los ciberataques aumentan por cuarto año consecutivo y afectan a un 53% de las empresas analizadas en la encuesta internacional de Hiscox. Las empresas más pequeñas son las más afectadas y el número de las que tienen menos de diez empleados afectadas por ataques ha aumentado en 2023 del 23% al 36%. Lo que subyace es una menor preparación respecto a las grandes corporaciones, ya sea por falta de recursos, tiempo o conocimiento. Los datos de la firma de seguros ponen de relevancia que solo tres de cada cinco empresas (61%) con menos de 250 empleados dicen sentirse seguras en materia de ciberseguridad. En el caso de las empresas grandes, el dato se eleva al 71%.

El informe de Google alerta de que casi tres millones de estas pequeñas y medianas empresas en España están poco o nada protegidas contra 'hackers' y tan solo un 36% de las pymes tiene protocolos básicos de seguridad, lo que las convierte en el eslabón más vulnerable de la cadena por falta de medios, tiempo o concienciación. El panorama tampoco es halagüeño en Latinoamérica, donde aumentan los ciberataques a pymes en el último año con los principales focos en México, Brasil, Chile y Colombia, según Kaspersky.

Esta situación está haciendo que las empresas en general aumenten su inversión en ciberseguridad. La consultora Analysys Manson estima que en el caso de las pymes, el presupuesto global en seguridad aumentará a 109.000 millones de dólares en 2026. Con motivo del Día de Internet Segura que se celebró ayer 6 de febrero, conviene tener en cuenta las ciberamenazas más comunes y cómo enfrentarse a ellas.

Las ciberamenazas más habituales para las pymes

Aunque la lista de amenazas es extensa y siempre evoluciona, el citado informe de Hiscox destaca los ciberataques más habituales:

• Ataques de ingeniería social. Los ciberdelincuentes pueden intentar manipular a los empleados para que divulguen información confidencial mediante técnicas de ingeniería social, que pueden incluir llamadas telefónicas, mensajes de texto o interacciones en redes sociales. La técnica más utilizada es el 'Phishing', que consiste en suplantar marcas, empresas o sitios en apariencia fiables, para obtener información confidencial. Por ejemplo, últimamente un phishing recurrente es envíar a empleados emails suplantando a proveedores habituales, en los que los ciberdelincuentes cambian las cuentas bancarias de destino, de este modo consiguen hacerse con el pago y que no llegue al proveedor legítimo.
• 'Ransomware'. Es un tipo de 'malware' que cifra los archivos de una organización y exige un rescate para restaurar el acceso. Los atacantes amenazan con eliminar o publicar los datos cifrados si no se paga el rescate.
• Ataques a través de terceros. Los atacantes pueden atacar a grandes empresas a través de proveedores de menor tamaño que tienen un menor nivel de inversión en ciberseguridad, y posibilidad de acceder a sus sistemas informáticos.

Detrás de este tipo de ciberataques, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) ve una cuestión subyacente: la concienciación y el compromiso de la dirección empresarial, que a su vez impulsa el presupuesto, la asignación de recursos y la aplicación efectiva de las prácticas de ciberseguridad.

Guía de acción para la pyme cibersegura

ENISA explica que la mayoría de las pymes (70%) utilizan algunos controles de seguridad básicos, como la protección antivirus, copias de seguridad, cortafuegos y actualizaciones sistemáticas de 'software'. Sin embargo, solo el 30% de las pequeñas y medianas empresas imparte cursos de concienciación sobre seguridad al personal o utiliza sistemas de registro y alerta. De acuerdo con las guías de ENISA y del Instituto Nacional de Ciberseguridad (INCIBE), estos son los pasos básicos para crear una estrategia de ciberseguridad eficaz en una pyme:

• Control de acceso. De la misma manera que es importante controlar quién entra en las instalaciones, es esencial controlar quién entra en los sistemas informáticos. Un protocolo de control de accesos establecerá criterios para permitir, restringir, monitorizar y proteger el acceso a los servicios, sistemas, redes e información. Para ello se debe identificar a los usuarios y dar o restringir accesos en función de los objetivos internos. Para la autenticación se utilizan distintas herramientas, como las contraseñas, el doble factor de autenticación, PIN, claves criptográficas, biometría, etc.
• Protección 'antimalware'. Debe aplicarse a todos los equipos y dispositivos corporativos, incluidos los dispositivos móviles y los medios de almacenamiento externo como USB, discos duros portátiles, etc. Las empresas deben contar con 'software' especializado, encriptación, cortafuegos y antivirus.
• Formación. Es imprescindible concienciar y formar a los trabajadores para que hagan un uso seguro de la información y los dispositivos, especialmente cuando aumenta la deslocalización laboral y el trabajo desde casa, lo que aumenta el riesgo de que los equipos puedan extraviarse o se vean afectados por amenazas externas.
• Copias de seguridad. Constituyen la salvaguarda básica para proteger la información, tanto interna como del resto de agentes que se relacionan con la operativa empresarial. Los soportes, la frecuencia y los procedimientos para realizar las copias de seguridad dependerán del tamaño y necesidades de la empresa.
• Actualizaciones. No habrá protección eficaz si los sistemas o aplicaciones están desactualizados, ya que serán más vulnerables.
• Política y normativa. Es necesario analizar el estado de seguridad y definir a dónde se quiere llegar. Esto se plasmará en una serie de políticas y normativas que van a dirigir la forma de abordar la seguridad en el día a día. Un marco de actuación claro y conocido por la plantilla, adaptado a la singularidad de cada empresa, ayudará también al cumplimiento de las normativas de protección de datos y a salvaguardar la propiedad intelectual, algo esencial en el caso de las startups.
• Seguridad de la red. Es necesario aplicar pautas básicas como restringir al máximo los accesos a la red corporativa, asegurar que cualquier nuevo dispositivo esté correctamente configurado, configurar la red wifi y realizar una monitorización constante del sistema.
• 'Hacking' ético. Es la práctica de utilizar habilidades de 'hacking' o penetración de sistemas de manera legal para identificar vulnerabilidades en sistemas informáticos, redes o aplicaciones. Estas estrategias son partes importantes de la ciberseguridad, ya que ayudan a las empresas a identificar y abordar vulnerabilidades antes de que puedan ser explotadas con fines maliciosos.
• Relación con proveedores. Se debe garantizar que los proveedores, en particular aquellos que tienen acceso a sistemas o datos sensibles, gestionan la información de manera segura y cumplen con los protocolos acordados. En el caso de las empresas tecnológicas, es recomendable realizar evaluaciones exhaustivas de seguridad para garantizar la integridad de las herramientas utilizadas antes de adoptar nuevas soluciones.

Las pymes forman la columna vertebral de la economía y la mayoría de ellas (un 80%, según ENISA) procesan información crítica. Para ayudar a protegerse BBVA se une a Google para poner al alcance de las pymes españolas formación para evitar los ciberataques, además de abrir sus contenidos formativos en ciberseguridad para toda la sociedad de manera gratuita a través de la plataforma Coursera.

La digitalización de la economía aumenta los riesgos y las empresas deben estar preparadas para no perder el pulso del negocio. Aplicar protocolos de ciberseguridad es ya una prioridad estratégica.