Se estima que la mitad de empresas españolas sufrió algún tipo de ciberataque en 2023, y éstos han crecido exponencialmente en las pymes: a proporción es en este tipo de empresas donde más ha aumentado el número de ataques registrados.
¿Por qué aumentan los ataques a las pymes?
El 39% de empresas de menos de 250 empleados no se sienten suficientemente preparadas para afrontar las amenazas en materia de ciberseguridad, según INCIBE. Ello puede ser debido a que tienen menos capacidad de dedicación de recursos para proteger sus sistemas de los ciberataques.
¿Qué pueden hacer las pymes para mejorar su preparación en materia de ciberseguridad?
Según un estudio de PwC, el 86% de las organizaciones españolas consdiera que sus empleados carecen de una correcta cultura de ciberseguridad. La formación debe ser una prioridad, ya que actúa como primera línea de defensa. Muchos de los ataques realizados consiguen ser exitosos debido a fallos cometidos por personal de la empresa, que involuntariamente permiten el acceso de programas maliciosos a los sistemas de la organización.
Muchas pymes no cuentan con los recursos o experiencia suficiente para securizar correctamente sus sistemas, por lo que una práctica efectiva es recurrir a empresas externas especializadas en ciberseguridad. Esto les permite, por un lado, revisar y corregir sus sistemas para securizarlos y por otro, mantenerlos seguros de futuros ciberataques. Surgen nuevas vulnerabilidades de manera constante, y las empresas especializadas se mantienen al corriente y hacen las recomendaciones pertinentes para actualizar los sistemas y mantenerlos seguros.
Principales amenazas en materia de ciberseguridad para las pymes españolas
1. Phishing - suplantación de identidad
El phishing consiste en hacerse pasar por un remitente legítimo para engañar al receptor, y obtener así datos personales como contraseñas o datos bancarios. Los métodos más habituales utilizados son correos electrónicos, mensajes de texto o sitios web que parecen auténticos.
2. Ransomware - secuestro virtual de información
Este método consiste en introducir en el sistema de la empresa un tipo de software malicioso que cifra los archivos del dispositivo, impidiendo que el usuario pueda acceder a ellos. Normalmente, esto se hace para pedir un «rescate» para devolver los archivos a la empresa.
3. Ataque a la cadena de suministro - infiltración a través de proveedores o clientes
Este tipo de ataques consisten en infiltrarse en la organización a través proveedores o socios comerciales. Los ciberdelincuentes aprovechan estas relaciones de confianza para robar datos, interrumpir operaciones, o activar acciones en su beneficio.
4. Contraseñas débiles
Los ciberdelincuentes son muy hábiles para descifrar contraseñas sencillas o que siguen un patrón determinado, como fechas de nacimiento, secuencias de números o palabras comunes. Por ello, es importante utilizar contraseñas complejas, que combinen números, letras y símbolos y no tengan un patrón lógico o relación con el sistema al que dan acceso.
5. Actualizaciones de seguridad
Mantener el software actualizado es un elemento clave para proteger los sistemas, ya que las actualizaciones corrigen vulnerabilidades y fallos del software que podrían ser explotados los ciberdelincuentes.