Los hackers no sólo atacan a las compañías del Ibex-35. Las Pymes también forman parte de su coto de caza. Tienen más activos digitales que un ciudadano físico y suelen estar más desprotegidas que una de las grandes compañías. Este fenómeno está en pleno auge en EEUU. Así que me planteé echar un vistazo en nuestra propia tierra española. Dice Verizon que el 61% de la fuga de datos se produce en las PYMES (y emprendedores por extensión).
En las cosas de la ciberseguridad ocurre como en los asuntos familiares. De puertas afuera sólo se sabe una pequeña porción de lo que se cuece dentro. Es más, en muchos casos sólo se llega a saber del cocido porque ya no hay más remedio. Por eso, los datos de los que se disponen son pocos, dispersos y de una credibilidad en muchos casos cuestionables. Es comprensible que no entre en la naturaleza humana ir pregonando que nos han robado. Se dice que el sector financiero español recibe cerca de un millón de ataques cibernéticos diarios. Es cierto que la gran mayoría son automáticamente rechazados, pero el número en sí mismo da una idea de la magnitud del asunto y de qué estamos hablando si transponemos el tema a nuestras queridas Pymes y Emprendedores que representan más del 90% del tejido productivo español.
Según Towergate Insurance, las pymes subestiman el riesgo de verse hackeados. El 82% piensa que no pueden ser objetivo de dichos ataques ya que no tienen nada valioso que ser robado. Los hackers no piensan así. De hecho, al invertir menos en ciberseguridad, el acceso es más sencillo. Además, está comprobado que los propietarios de estas pymes y los propios emprendedores están más dispuestos a pagar un “rescate” para recuperar, por ejemplo, sus discos duros y poder seguir con las actividades de la empresa. Por si esto no fuera suficiente, muchas veces los hackers utilizan a las Pymes como vehículo a través del cual entrar en aquellas grandes empresas para las que puedan trabajar como proveedores. Cómo en toda cadena, ésta se suele romper por el eslabón más débil. Tengo un conocido que me comenta que visto lo que muchas grandes empresas aprietan a sus proveedores más pequeños, esto podría considerarse una forma de justicia poética.
Si usted es emprendedor o dueño de una Pyme igual le interesa entender qué tipo de peligros cibernéticos le acechan y que puede hacer para protegerse. Casi siempre el objetivo es el mismo. Intentar robar y monetizar información confidencial. Puede ser la información de una tarjeta de crédito de la empresa, información de los clientes de la empresa, información relevante de procesos y patentes o la información personal que pueda dar lugar a una manipulación o usurpación de la identidad. Veamos algunos de ellos:
APT: Son las siglas en inglés de Advanced Persistent Threats. Este tipo de amenaza suele ir ligada a hackers avanzados cuya prioridad es no ser detectados. No les importa tanto el tiempo que tarden, como el pasar inadvertidos. Los más avanzados incluso prevén rutas alternativas de salida de datos en el caso de que las rutas por las que entraron sean cerradas. Su objetivo es quedarse en el sistema a la espera de poder detectar y sacar la información más sensible posible en el momento más favorable. Son las peores. El sector financiero en particular las teme. La manera más fácil que tienen de burlar sus sistemas de protección es mediante el caballo de Troya que introducen sin querer ciertos proveedores de tamaño más pequeño que no tienen la sofisticación para detectar estas amenazas.
DDoS: Son las siglas en inglés de Distributed Denial of Service. Estos ataques son más vulgares y están basados en la fuerza bruta. No por ello menos peligrosos. Se basan en peticiones masivas a los servidores del objetivo que saturan los mismos e impiden su funcionamiento. En el caso extremo echan abajo las paginas web o incluso la red del objetivo. Si durante este ataque, el objetivo tenía que realizar una tarea crucial o un servicio inaplazable, las consecuencias ya no tienen remedio. En cuanto este ataque cesa, los sistemas vuelven a funcionar normalmente ya que no quedan agentes (viruses) incrustados en el sistema como consecuencia de estos ataques. Si esto se produce con una Pyme, la probabilidad de que acabe pagando una cantidad de dinero para que el ataque pare es alta.
Ataque interno. No hay peor cuña que la de la misma madera. Un empleado enfadado, un despido no entendido; en manos de alguien que tenga acceso a los sistemas puede resultar letal para la compañía. Es la versión digital del típico empleado con acceso a información confidencial que quiere usarla contra la empresa, como venganza de un trato que no ha percibido como correcto. Tener una serie de protocolos que permitan cancelar todo acceso a los sistemas en el mismo momento que el contrato se ha dado por terminado parece más que prudente.
Malware: Este término hace referencia genérica a todo software creado con objetivo malicioso y que de alguna manera es introducido en los ordenadores objetivo con la intención de causar daño o tomar el control del mismo. Son los conocidos como viruses, gusanos, troyanos, ransomware o spyware. A la hora de elegir un antivirus, es bueno conocer cómo funciona este malware. La mayoría de los antivirus comerciales funcionan en base a disponer en su base de datos de la “firma” del virus correspondiente. Por eso lo primero que suelen hacer los antivirus es actualizar esa base de datos recurrentemente. Si esa firma no aparece, el virus asociado entra en el sistema como Pedro por su casa, con antivirus o sin el. Si los sistemas son sensibles y resultan de vital importancia para la Pyme, se debería plantear otro tipo de protección que se basase no en las firmas sino en analizar anomalías en el comportamiento del sistema. Es lo que en el mundillo se denominan sistemas basados en Machine learning o, si ya son ultra avanzados, en Deep learning.
Hay más tipos de peligros cibernéticos en los que podremos entrar otro día, pero querría acabar dando una visión sobre qué se puede hacer frente a este tipo de amenazas cibernéticas. Gente como el INCIBE recomienda una serie de útiles consejos sobre cómo estar más protegido. Se tiene que ir más allá de sólo tener algún tipo de antivirus. Se tiene que conocer qué tipo de información sensible tenemos y cuya pérdida nos pueda hacer daño. Realizar ac
tualizaciones de los sistemas operativos. Tener las últimas versiones del software que estemos utilizando. Evitar copias piratas. Implementar firewalls que impidan a usuarios no autorizados acceder a información sensible. Encriptar esa información sensible (“masking”) puede ayudar no solo a protegerla sino a cumplir con la nueva ley de protección de datos que empezará a estar en vigor el próximo mes de mayo. Igual no estaría de más suscribir un seguro que nos protegiese contra las consecuencias de una potencial fuga de datos.
Recordemos que no hay una solución única que sirva para todo. Es recomendable que al menos sepamos en dónde estamos. Una especie de foto de situación que nos diga cuan vulnerable son nuestros sistemas y actividades. Es lo que se llama una auditoría ética. Dependiendo del tamaño de la Pyme y de los sistemas que utilice, hay empresas en España muy profesionales que realizan estas auditorías por precios más que razonables. Prevenir es curar. Seamos cautos.
Francisco Canos
Artículo publicado el 16 de abril de 2018 en:
