La importancia de garantizar la ciberseguridad en las PYMES se ha convertido en una de las máximas preocupaciones en todos los marcos de dirección organizativa debido a los múltiples ejemplos de ciber ataques vividos durante estos últimos años en empresas de cualquier sector y tamaño, comprometiendo la seguridad de su información y la continuidad de negocio.
En esta ocasión, la periodista Laura Robayna ha entrevistado a nuestro compañero y Director de Operaciones Germán Delgado, con el objetivo de conocer de primera mano cuáles son las máximas preocupaciones que afectan a las PYMES en materia de seguridad y qué acciones pueden emprender estas para contrarrestarlas.
¿Por qué son las PYMES más vulnerables a los ataques informáticos?
Las PYMES, en general, son más vulnerables a los ataques informáticos. No invierten lo suficiente en seguridad, ni en formación específica, con lo que en muchas ocasiones no saben cómo reaccionar ante cierto tipo de ataques.
Empresas de estas dimensiones no suelen ver el valor que tiene la inversión en seguridad, no aplican medidas en seguridad informática ya que no aprecian la gravedad de lo que puede suponer para ellos poner en riesgo la información corporativa. Por ejemplo, si hacemos una comparación, seguramente todas las empresas tengan puesto de alarmas o circuito cerrados de TV porque consideran que alguien les puede entrar en las instalaciones.
La realidad, es que al final la información se está guardando en la nube o en ordenadores y eso si que no se tiene securizado, con el mismo detalle que se ha instalado seguridad en las oficinas.
¿Cuáles son los ataques más comunes en las PYMES?
Suelen ser el Phising y el Ransomware. El Phising hace una suplantación de identidad, normalmente por correo electrónico, e intenta que la víctima haga click en un link, para redirigir a una página web falsa o descargarte un archivo malicioso. Este archivo suele ser un malware o un Ransomware, lo que antes conocíamos como un virus, la diferencia que ahora categorizamos los virus en función del ataque que pueden realizar. Estos ataques pueden llegar a infectar todo lo que tengas en el ordenador, incluso se puede transmitir al resto de ordenadores que tengas en tu empresa, al estar conectado con la red local.
Cuando tenemos un Phising que nos redirige a una página web, normalmente esa página web busca extraer datos de nosotros. Si por ejemplo, nos encontramos ante la suplantación de un banco, lo que se está intentando es extraer nuestro nombre de usuario y nuestra contraseña, para que ellos luego puedan usar este acceso en la página oficial y así tengan acceso a nuestra cuenta o información.
¿Qué pueden hacer las empresas para protegerse?
Las empresas para prevenir cualquier ataque que puedan sufrir, deben apoyarse en empresas especializadas en seguridad informática. Normalmente las pautas que nosotros damos a las PYMES, es tener un plan de continuidad de negocio, para que puedan saber cómo pueden seguir trabajando en caso de que sufran un accidente y lo que debemos tener siempre claro es la formación en la materia de seguridad.
Hay que tener una formación adecuada al momento en el que estamos viviendo y trabajamos de forma diaria. Hay que saber identificar un phising, y debemos saber actuar ante un ramsonware... ese tipo de conocimientos los debemos tener todos
¿Qué impacto puede llegar a tener un ataque informático?
Un ataque informático a una PYME puede llegar a hacer cerrar la empresa. Esto ocurrió con el Ramsonware que llegó a infectar a Telefónica, o el Servicio Nacional de Salud (National Health Service, NHS) , tumbando a estas dos grandes empresas. Sin embargo, las PYMES que se vieron afectadas por esta vulnerabilidad llegaron a cerrar, ¿Por qué? Porque si soy una empresa de reparto, e infectan mis ordenadores, yo no sé a quién tengo que repartir, mi negocio se cae, no puedo estar dando salida a la mercancía, no sé qué mercancía tiene que entrar, qué pagos me están haciendo o me tienen que hacer.
Simplemente hay que pensar que ocurriría si yo dejara de tener a mí disponibilidad toda la información que tengo en los ordenadores.
Los ataques no suelen ser ataques dirigidos, un ataque dirigido es para una persona o una empresa en concreto. Esto no suele ser la tónica habitual, lo normal es que a las PYMES, les lleguen multitudes de ataques, esos ataques son ataques indiscriminados y se lanzan de forma masiva a ver quién pica.
El hecho de ser una PYME no significa que no seas objetivo de alguien, siempre vas a ser objetivo de alguien que lanza un Phising. Lo que nosotros debemos saber es identificar si es un correo fraudulento o no.
¿Cómo identificar un correo fraudulento?
Para identificar si un correo es fraudulento o no, lo primero que debemos hacer es fijarnos si el remitente lo conocemos. El dominio del remitente debe ser un dominio que nosotros conozcamos, ese es el punto donde suele verse de forma clara el cambio. Otro de los puntos importantes para identificar, es en el contenido del correo. Suelen haber errores gramaticales, o ser correos muy genérico o con errores informáticos. Una empresa seria no comete este tipo de errores, al igual que un banco, que suele ser la típica identidad que se suplanta.
También prestar atención a los links que puedan incluir ese tipo de correos. Debemos identificar el hipervínculo hacia donde nos va a dirigir, que sepamos siempre si es a una página de confianza; simplemente con pasar el cursor encima del link ya te aparece si es o no una url confiable.
¿Cómo podemos identificar una página segura?
Para identificar una página segura, lo primero que debemos ver es si un https en la url, o que tenga un candado, normalmente todos los navegadores ya te incluyen colores asignados a estos candados, en verde es bueno y cuándo te aparece en rojo significa que no tiene ese certificado y que la página web no es segura.
También hay que comprobar siempre que el dominio sea el de la empresa con la que nosotros estamos tratando, y que la página web esté con las mismas características que la página oficial.
Si tienes alguna consulta o crees que podemos ayudar a tu organización, no dudes en ponerte en contacto con nosotros. Estaremos encantados
de ayudarte😊
Puedes ver la entrevista al completo: