Manual de supervivencia para pymes ante las ciberamenazas

Alrededor del 99% de las empresas en Europa son pymes, emplean a más de 100 millones de personas en el continente y contribuyen a la mitad del PIB de la UE. La mayoría de estas pequeñas y medianas empresas ha visto acelerada su digitalización en los últimos años, especialmente tras la pandemia, en muchos casos obviando algo tan importante como su ciberseguridad. Probablemente por desconocimiento o una falsa creencia de que los ciberdelincuentes solo arremeten contra las compañías grandes.

Sin embargo, los ataques a la cadena de suministro (el montaje de un automóvil, el ensamblamiento de piezas, el relleno de bebidas…), donde las pymes ocupan un papel relevante, pasaron de un 1% en 2021 al 17% en 2022. Y si a esto añadimos que más de la mitad de las pymes reconoce que seguramente quebraría si sufriera un ciberataque, la necesidad de protegerse resulta vital no solo para su supervivencia, sino también para la seguridad de los ciudadanos.

Estas son algunas de las conclusiones que recoge la guía elaborada por Huawei y la Universidad de León con el propósito de promover la ciberseguridad de las pequeñas y medianas empresas en España y en la que se da una serie de pautas clave para enfrentarse a estas ciberamenazas. Esta guía fue presentada en unas jornadas llamadas Pymes ante las Ciberamenazas: Manual de Supervivencia, en la que participaron miembros del Gobierno y representantes de las diferentes empresas e instituciones educativas. Eric Li, CEO de Huawei España, reconoció durante su intervención que “pretende convertirse en una hoja de ruta, un manual de supervivencia, donde las pymes puedan informarse y protegerse ante la escalada de ciberamenazas” que cada vez sufren con más frecuencia tras su acelerada digitalización.

Sin embargo, antes de aportar soluciones, lo primero es identificar el tipo de amenaza a las que se enfrentan las pequeñas y medianas empresas. Las más frecuentes suelen ser cinco:

1. Malware o software malicioso, que se infiltra en los dispositivos sin consentimiento para el cifrado, robo o modificación de la información y/o datos personales.
2. Phishing. Uno de los fraudes más extendidos, en el que se comparte información confidencial, como contraseñas o números de tarjeta de crédito, a un delincuente que se hace pasar por una institución o empresa de confianza.
3. Ataques basados en web que, según explica la Agencia Europea de Ciberseguridad (Enisa), "afectan a la disponibilidad de los sitios web, aplicaciones e interfaces de programación de aplicaciones (API), infringiendo la confidencialidad y la integridad de los datos".
4. Ransomware, el secuestro de datos, es decir, el bloqueo o robo de archivos para reclamar una cuantía económica a cambio de su devolución. Es una de las formas de malware más comunes.
5. Denegación de servicio distribuido (DDoS). Provocar que un sitio web o recurso de red no esté disponible ni funcione correctamente.

Estos ataques no se producen de la nada; existen una serie de factores que los incrementan y que la guía resume en tres: factores humanos (el 82% de las brechas de datos se producen como consecuencia de un error humano); falta de inversión en ciberseguridad y de personal cualificado en este ámbito. De hecho, según el informe Fortinet Cybersecurity Skills Gap Report 2022, el 80% de las organizaciones ha sufrido un ataque por no tener concienciación sobre la ciberseguridad en el entorno laboral ni habilidades en la materia.

Buenas prácticas para evitar ciberataques

Hay varias recomendaciones que pueden ayudar a una pyme a estar más ciberprotegida. Por ejemplo, tener un control de acceso estricto con una gestión segura de las contraseñas, ya que un porcentaje muy amplio de las violaciones afectan a las credenciales de los usuarios. Es recomendable usar una contraseña fuerte y única con al menos 12 caracteres y letras, números y símbolos, generada por un gestor de contraseñas. También es interesante activar la autenticación multifactor o AMF en web y apps que actúa como una capa más de protección.

Será de especial importancia, además, formar a los empleados sobre la gestión de contraseñas, copia de seguridad de los datos y sobre cómo responder a un ciberataque. Los directivos de las pymes deben comunicar muy claramente a sus equipos cómo reaccionar ante un ciberataque.

Es esencial formar a los empleados sobre la gestión de contraseñas, copia de seguridad de los datos y cómo responder a un ciberataque

Toda pyme debería identificar las vulnerabilidades de sus productos e instalar y mantener programas antivirus que protejan los sistemas operativos y las aplicaciones de cualquier amenaza. Además, tal y como establece la guía, “es importante crear una copia de seguridad de los datos esenciales en al menos dos ubicaciones fuera de la red corporativa y utilizar el cifrado completo de disco para garantizar que, en caso de pérdida o robo de un disco duro, los datos permanezcan seguros”. Todas ellas deben tener un cortafuegos que se actualice periódicamente.

En cuanto a las redes, siempre que sea posible, es mejor una WPA3 que disponga de una contraseña única y segura con cifrado de red Wifi. Esta debe contener al menos 20 letras, números y caracteres especiales. Para el acceso fuera de la red corporativa lo ideal es una VPN o red virtual privada que sea robusta que proporcione la conexión segura en remoto.

Y como es imposible asegurar que incluso llevando a cabo todas las buenas prácticas anteriores se sufrirá un ciberataque, es vital crear (y mantener) un plan de recuperación de incidentes y catástrofes para que en el caso de que se produzca una violación de seguridad, la pyme no solo sepa cómo actuar, sino que recupere esos datos que han sido robados o retome esas operaciones bloqueadas.