Solo hace falta echar un ojo a la prensa para ver que la ciberdelincuencia está a la orden del día. Aunque ya no es nada nuevo, no dejan de ser sorprendentes los datos que dejan, especialmente a nivel nacional.
“Los ciberataques son los responsables de más de un 50 % de los cierres entre las pymes”
Según apunta el INCIBE (Instituto Nacional de Ciberseguridad), en 2023 casi la mitad de las empresas sufrieron, como mínimo, un ataque por parte de hackers. De hecho, ya son la principal causa de muerte de las pymes españolas, tal y como apunta la Guardia Civil. Pero ante tanta mala noticia hay un dato muy positivo: evitar que esto nos pase o, si más no, minimizar los riesgos está en nuestra mano. ¿Empezamos?
Nuestro pequeño manual para saber qué hacer si hackean tu empresa
Da igual el tamaño, las empresas son el principal objetivo de los hackers. Según el Observatorio Nacional de Telecomunicaciones y Sociedad de la Información, el 60 % de los ciberataques que se cometen en nuestro país apuntan hacia compañías. ¿Por qué esta fijación y qué buscan realmente? Momento de sumergirnos en el mundo hacker.
Quién son los hackers y cuál es el motivo de sus ataques
Virus rusos, hackers norcoreanos… Puede parecer que en este caso el peligro vive en el extranjero, pero lo cierto es que con la tecnología de hoy podría ser hasta nuestro vecino.
Pero si algo tienen en común es que todos buscan lo mismo. Como bien sabes, la información es poder y en este caso concreto, poder extorsionar a los autónomos y empresas. ¿Por qué especialmente a ellos?
- Pueden ser presas fáciles
- Suelen contener más datos sensibles o de valor que un particular
- El botín económico es potencialmente mayor que el de un particular
Los principales métodos que se usan para hackear empresas
Con los años, los ciberdelincuentes han ido innovando y refinando sus técnicas de caza. Saber cuáles son y cómo funcionan es el primer paso para estar preparados por si hackean tu empresa.
Phishing
Phishing es el tecnicismo para englobar todas aquellas prácticas basadas en suplantar la identidad de otra persona con un fin determinado. Este suele empezar con un email, llamada o incluso un simple enlace, aunque a partir de aquí se abre todo un mundo de opciones basadas en la ingeniería social.
Esta técnica de hackeo está viviendo una segunda juventud gracias a las inteligencias artificiales, ya que les permite desde simular o mantener conversaciones que parecen reales hasta generar convincentes vídeos basados en la tecnología deep fake.
Ransomware
Su traducción sería algo así como programa informático de rescate y consiste en un software que infecta a tu ordenador o red de computadores con un objetivo claro. Una vez propagado cifra todos los datos o bloquea los equipos, impidiendo su acceso a cualquier persona de la empresa. Y sí, para “restaurarlo todo” deberemos pagar un rescate, que habitualmente se realiza en criptomonedas debido a que son difícilmente rastreables.
El gran problema de este método de hackeo es que, aunque pagues, el desenlace no suele ser feliz. Y en el mejor de los casos, aunque recuperemos todo, los datos ya habrían sido comprometidos, por lo que cualquier pequeño archivo podría esconder una puerta por la que regresen los hackers en un futuro.
Malware
Entendemos como malware cualquier software o código destinado a vulnerar la seguridad de nuestro sistema informático con fines maliciosos. De hecho, el ransomware es un tipo de malware, aunque hay muchos otros más.
Aquí encontramos scripts casi indetectables al ojo profano destinados a robar la capacidad de procesamiento de tu ordenador o red para otros fines, infectar tus servidores de correo para mandar spam, capturar todas tus contraseñas o información clave o aquellos que simplemente buscan destruir por destruir.
Cómo actuar si hackean mi empresa
Si tienes la mala suerte de sufrir un ciberataque, lo principal es actuar rápido, pero con cabeza. Piensa que además del problema al que te enfrentas, si se produce una filtración de datos sensibles de algún cliente o proveedor podría interponer una denuncia y agravar todavía más la situación a causa del incumplimiento de tu responsabilidad con la RGPD.
Con el cronómetro en marcha, es momento de analizar y documentar cualquier prueba del delito. Esto tiene la doble finalidad de recopilar pruebas ante un posible juicio, así como tratar de esclarecer las causas y, quizá, la autoría. Es altamente recomendable contar con el apoyo de empresas especializadas en ciberseguridad durante este proceso. La experiencia es un grado y no solo te asesorarán y documentarán todo de una forma óptima, sino que quizá también pueden ofrecerte alguna solución rápida, truco o consejo de valor.
Con las pruebas recogidas acude lo más rápido que puedas a interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado y sigue sus indicaciones. Una de las más comunes (y totalmente lógica) es que no entres en el juego de los hackers. Como comentábamos al hablar del phishing, no tenemos ninguna seguridad real de que vayamos a recuperar nada si cedemos al chantaje y, si así fuera, los sistemas han sido comprometidos, por lo que el mal podría seguir latente en cualquier archivo esperando la próxima ocasión.
¿Qué más puedes hacer? Lo cierto es que aún queda mucho cibercamino por recorrer. Momento de hablar de…
La prevención, la mejor forma de proteger a tu empresa los hackers
El dicho de más vale prevenir que curar viene perfecto cuando hablamos de ciberataques. Y es que uno de los principales motivos de los hackers para fijarse en el tejido empresarial español es que, según la consultora PwC, más de un tercio de las pymes no cuenta con medidas o sistemas adecuados contra los ciberataques.
Aunque pueda sonar demasiado sofisticado o caro, implementar medidas para proteger digitalmente nuestra empresa en la actualidad es algo sencillo y bastante económico (teniendo en cuenta el valor de lo que protegemos, claro). Echemos un ojo a las principales y su coste:
Copias de seguridad o backups
Disponer de una copia de seguridad de tus archivos es la primera y mejor forma de sobreponerse a un hackeo en tu empresa. Es especialmente útil si somos víctimas del malware o ransomware, ya que por lo general estos suelen buscar únicamente dinero a cambio de los datos. Así que con formatear equipos y restaurar datos debería ser suficiente. Es importante, eso sí, asegurarnos de que la copia está limpia de virus o programas maliciosos.
Para disponer de nuestro propio sistema de backup podemos optar por el método físico o la tecnología cloud. Esta última ofrece diversas ventajas como la seguridad de grandes compañías y la descentralización de datos, la desventaja es que funcionan por suscripciones mensuales y sus planes suelen escalar rápidamente tanto por espacio como por usuarios. Podemos encontrar opciones desde 5 € hasta 25 € /mes y trabajador. Al otro lado tenemos los sistemas físicos, donde encontramos desde los simples discos duros externos hasta sistemas NAS, que permiten crear una red privada de almacenamiento y copias de seguridad. Los modelos más económicos de estas últimas parten desde los 150 € y algunos son bastante modulables, sin embargo exigen un mayor conocimiento técnico y, al tratarse de un soporte físico, podría llegar a estropearse.
Formación para trabajadores y directivos
Por muy técnico o tecnológico que lo queramos ver, lo cierto es que el error casi siempre procede de un humano. La mayoría de los temidos hackers que atacan empresas más que piratas son más bien pescadores. Por suerte, sus redes de mentiras son fácilmente detectables si nos fijamos un poco. Direcciones de email a las que les sobra o falta una letra, diseños o tipografías un poco extrañas en mails y webs, llamadas sorprendentemente interesantes…
También es importante ahondar en la importancia de no revelar datos a terceras personas no autorizadas o que, pese a serlo, su forma de solicitarlo levante sospecha. Como ves, se trata de implementar una cultura de la seguridad y la privacidad sólida.
Los precios de estas formaciones parte desde los 100 €, aunque pueden llegar a subir mucho más en función de la complejidad de la formación. Eso sí, es posible ahorrar un poco si optamos por modalidades online en lugar de presenciales, así como tratar de obtener un descuento si la empresa cuenta con un buen número de empleados.
Contraseñas seguras
Hablando de hábitos sanos para una empresa, el de cuidar las contraseñas es vital. Si está cifrado, es importante, por lo que debemos hacer todo lo posible para cuidarlo. Esto incluye desde la elección de contraseñas seguras, el establecimiento de factores de doble autenticación (2FA) como Google Authenticator, el cambio periódico de passwords tanto personales como conjuntos, evitar apuntarlas en un papel, etc.
Analiza tu seguridad online
Las empresas que ayudan a empresas a gestionar ciberataques son mucho más eficientes si les conectamos antes. Gracias a una auditoría completa podremos conocer cuáles son nuestros puntos débiles y cómo reforzarlos para minimizar las posibilidades de hackeo.
Un punto que suele analizarse en este tipo de pruebas es la seguridad a través de los dispositivos privados de los trabajadores. No se trata de prohibir su uso ni mucho menos controlarlo, pero al conectarse a la red de la empresa pueden ser un potencial riesgo si no lo tenemos previsto. Crear entornos de navegación segura a través de VPNs, firewalls, antivirus y otros sistemas nos ayudará a evitar que el susto venga por donde menos esperamos.
Contratar este tipo de servicios tiene un coste aproximado para pymes de entre 1.000 y 2.000 €, aunque el precio puede elevarse rápidamente si basamos nuestro negocio en el online o manejamos información sensible.
Seguros de ciberseguridad
Los constantes ataques de hackers no han pasado inadvertidos para las aseguradoras, que no han dudado en lanzar productos y coberturas específicas para cubrir estas contingencias. También llamados seguros digitales o seguros cibernéticos, estos se encargan de hacer frente a los costes derivados de un hackeo como, por ejemplo, la recuperación o filtración de datos, abono de sanciones, etc.
Como ves, aunque debe contratarse antes, este tipo de seguros no van tan orientados a la prevención, sino que funcionan como una última red de seguridad que nos asesora y facilita las cosas a nivel económico si, pese a todo, acabamos siendo víctimas de un ataque.
Si hablamos del precio de estos seguros, es complicado determinar un valor medio. En el caso concreto de autónomos y pequeñas empresas, el coste anual debería oscilar entre los 100 y los 400 € anuales, aunque aquí entran en juego diversas variables que harán oscilar el precio: el ámbito profesional, el nivel de facturación y número de trabajadores, los límites de cobertura, de si queremos contratarlo junto a un seguro de responsabilidad civil profesional, etc.
Como ves, la seguridad online es vital para cualquier autónomo o pyme. Y es que, ¿quién quiere esforzarse para llevar adelante un proyecto y que alguien anónimo lo ponga en jaque por culpa de un descuido o una mala praxis? Sigue descubriendo más formas e insights para mejorar tu negocio.
