- Las pymes son uno de los sectores que más ciberataques sufren y de los que menos preparados están para hacerles frente.
- El phishing y el ransomware son algunas de las amenazas más recurrentes, con la incidencia del segundo aumentando 619% durante 2021 para las empresas latinoamericanas, de acuerdo con Kasperky.
- Expertos de Siemens y Cyrebro hablaron con Business Insider México sobre lo que las pymes deben tomar en cuenta para estar más protegidas de ciberataques.
- ¿Ya conoces nuestra cuenta de Instagram? Síguenos.
La pandemia del Covid-19 trajo consigo un incremento en la incidencias de ciberataques a nivel mundial. De hecho, México fue el país latinoamericano con el mayor número de ciberataques durante 2021, con más de 156,000 millones de intentos durante ese año.
Obviamente, la mayoría de estos ataques los sufrieron empresas con un nivel de vulnerabilidad relevante; sin embargo, lo preocupante es que la gran mayoría de estas son pequeñas y medianas empresas (pymes).
Las pymes representan por sí solas un pilar importante en la economía mexicana, ya que generan alrededor del 70% del empleo formal y representan 52% del Producto Interno Bruto (PIB) nacional, de acuerdo con datos oficiales. Debido a ello, el que estén expuestas a ciberataques que pueden comprometer su negocio presenta un riesgo peculiar.
Más preocupante aún es lo poco preparadas que están las pymes para hacer frente a ciberataques. De acuerdo la Encuesta sobre la Seguridad de los Sitios Web 2021, elaborada por GoDaddy Inc, solo dos de cada 10 pymes mexicanas afirmaron saber cómo enfrentarse a una.
Ante esta realidad, es más importante que nunca que las pymes puedan proteger su infraestructura de ciberseguridad adecuadamente; no obstante, para ello hay que entender primero el contexto actual en torno a las ciberamenazas.
Los puntos de ataque son más numerosos que nunca, por lo que las pymes deben estar más alerta a posibles ciberataques
Con la mayoría de la fuerza laboral trabajando desde casa durante la pandemia, diversas empresas de todos los tamaños se vieron imposibilitadas para brindar las herramientas necesarias a sus empleados para protegerse de ciberataques, lo que facilitó el punto de entrada para los cibercriminales.
“En los últimos dos años de la pandemia los puntos de ataque se han incrementado. Hace algunos años, los cribercriminales atacaban a la organización; ahora por cuestiones de pandemia, donde muchos trabajaban desde casa, y el hecho de que teníamos que estar conectados desde todo tipo de dispositivos —desde el reloj hasta el teléfono— los individuos ahora son también vectores de ataque”, comentó Dudu Jansenson, cofundador y COO de la empresa de ciberseguridad Cyrebro en entrevista con Business Insider México.
“Hemos visto un gran aumento de ciberataques (durante los últimos años). De los últimos datos que tenemos, sabemos que los hackers han atacado las redes de más de 93% de las empresas, y han encriptado 50% de su información tan solo en este último año”, comentó Karen Gaines, directora global de ciberseguridad en Siemens.
“Posiblemente esto es provocado por el trabajar en remoto y por el rápido cambio al terreno digital”, agregó
A esto, Jansenson aádió que muchas veces el fallar en identificar las prioridades de ciberseguridad es buena parte del problema.
“Tú como CISO, como el encargado de ciberseguridad de la empresa, no te encargas nada más de esta; tienes que pensar si el internet en casa de tu empleado está seguro o no. Al final del día, no se puede asegurar todo y se tiene que dar prioridades”, dijo.
Jansenson mencionó que otro punto problemático para las pymes es que sus dueños suelen confiarse de más; pensando que, al ser empresas relativamente pequeñas, no serán atacadas por cibercriminales.
“90% de los ataques no son dirigidos a una empresa en específico; es decir, en la mayoría de los ataques el atacante no sabe en un principio a quien ataca. No importa que empresa seas, estás expuesto” dijo el experto.
“He tenido clientes que dicen ‘somos de Tijuana y nadie nos conoce. Somos una empresa de 50 personas; a mi nadie me conoce, ¿quién me va a atacar?’ y eso es exactamente el punto. No te tienen que conocer para atacarte, no es personal”, añadió.
¿Cuáles son los principales ciberataques que enfrentan las pymes?
En cuanto a cuáles son los principales ciberataques a los que se enfrentan las pymes, el experto comenta que depende de la industria; sin embargo, estos pueden variar desde amenazas como el phishing en correos electrónicos hasta ransomwares que encriptan información.
El phsihing se mantiene como una de las principales ciberamenazas.
“Si antes de la pandemia más o menos 20 a 30% de los correos de phishing se les daba clic; durante la pandemia, llegamos hasta un 70%”, explicó Jansenson.
“El pishing siempre está arriba de la lista. Desafortunadamente, esta es la manera más sencilla de entrar a una empresa. No obstante dependiendo de la tipología de empresa, lo que estamos viendo es una gran explotación de sistemas que no están actualizados, que no tienen los parches adecuados y por lo tanto caen más facilmente ante un malware”, afirmó Gaines.
Además del phishing, el ransomware también se ha posicionado como uno de los ciberataques que han estado al alza, tanto para las empresas grandes como las pymes.
Mauricio Benavides, director ejecutivo de Metabase Q, explicó a Forbes que cada 11 segundos en Latinoamérica está pasando un ataque de ransomware, y que para las pymes aumentaron 424% los ataques de este tipo en 2020.
De acuerdo con un informe sobre ataques de ransomware en Latinoamérica, realizado por Kaspersky, México registró un crecimiento del 619% en su incidencia durante 2021; cuatro veces más que lo detectado en 2020.
“Estos ciberataques suceden todos los días a empresas de todos los tamaños; sin embargo, la diferencia es que las grandes tienen el presupuesto para acoplar soluciones, tiene la redundancia de seguir existiendo si pasa un ataque y el dinero para pagar las compensaciones legales si le pasa algo; las empresas pequeñas no”, agrega Dudu.
De acuerdo con un reporte de IBM, el costo promedio de una filtración de datos fue de 4.24 millones de dólares en 2021, el costo total promedio más alto en los 17 años de historia del informe.
De hecho, si los gastos derivados del cibercrimen fueran el PIB de un país, se convertiría en la tercera economía más grande del mundo, de acuerdo con Siemens.
Lo importante no es cuánto se gasta en ciberseguridad, sino tener una cultura de prevención y saber dónde destinar recursos
En cuanto a la inversión necesaria para tener una buena infraestructura de ciberseguridad, Karen Gaines tiene una respuesta interesante, ya que aboga más por eficientizar gastos de acuerdo a los riesgos presentes para cada empresa, en lugar de gastar millones en una protección general.
“He trabajado por 22 años en presupuestos para el sector de seguridad, y obviamente me encantaría poder decir que necesitamos más dinero, ¡pero no es la respuesta!”, dijo.
“La respuesta correcta es que hay que tomar decisiones con base en el riesgo; gastando 50% de un presupuesto en seguridad no tiene sentido. Es como decir que vamos a proteger una tienda de la esquina con artillería, tanque y bombas; cuando a lo mejor una buena alarma y una mejor política de quién tiene las llaves pueda ser suficiente. Es un concepto parecido”.
“A nivel empresa, hace unos años la media de gasto en presupuestos de IT era alrededor de 7%, y cada vez más va aumentando; ahora nos estamos acercando al 9 y 10%. Obviamente eso varía de acuerdo con el tamaño de la empresa y sector, pero si la actividad de una empresa se basa en proporcionar servicios pues a lo mejor necesita invertir en una base de datos y procesos de documentación, si es el sector sanitario, quizás quiera enfocarse en datos de los clientes”, explicó.
Cada empresa e industria tiene sus mejores prácticas; sin embargo, ambos expertos coinciden en que algo que las pymes deben tomar en cuenta sobre ciberseguridad no es si serán atacadas o no, sino qué tan rápido se pueden dar cuenta de que están bajo un ataque, así como qué tan preparadas están para recibirlo y que tan rápido salen del mismo.
“No hay 100% de seguridad, te lo digo con confianza. Pero el juego está en qué tan eficiente es la visibilidad que tienes de tu red y tus activos y qué tan preparado estás para entender lo que estás viendo para poder reaccionar. Teniendo estos tres conceptos, cualquier empresa —sea pequeña o grande o del sector que sea— podrá estar más segura de lo que está hoy”, puntualizó Jansenson.
Para Karen Gaines, el peor ciberataque es el que no se ha visto venir, por lo que la clave para estar protegido ante cualquiera es la prevención.
“Conocer de antemano las vulnerabilidades de nuestros sistemas nos ayudará a poner barreras a la actuación de los hackers”, dijo.
Para todo tamaño y modelo de negocio, es crítico analizar el estado de sus equipos y evaluar posibles escenarios de riesgo, porque esto les ayudará a implementar soluciones de ciberseguridad y crear planes de incidentes, respuesta y recuperación de desastres, incluyendo playbooks y simulacros.
Sobre lo que las pymes no deberían dejar fuera para protegerse mejor de las ciberamenazas, Gaines dijo: “primero un buen análisis en base a riesgos. Entender realmente cuales son los activos de la empresa y establecer una política de ciberseguridad en base al desk framework que de la capacidad de proteger, detectar y responder a los mismos”.
“La gestión de vulnerabilidades es crítica para una empresa. Entender cuáles son los activos que se tienen y clasificarlos y estar al tanto de su higiene digital. También hay que tener un playbook, para saber a quién le vamos a llamar en caso de un ciberataque y estar listos”, finalizó.
TAMBIÉN LEE: Solo 20% de pymes mexicanas dicen estar preparadas para enfrentar ciberataques, de acuerdo con estudio
