Alrededor del 60% de los objetivos de los ciberataques son pequeñas y medianas empresas. De hecho, las PYMEs y las start ups suelen estar más expuestas a los riesgos, porque carecen de los recursos y la información necesarios para establecer sistemas de seguridad sofisticados o aplicar medidas para anticiparse a los ciberataques. En este artículo se exponen seis medidas prácticas que pueden adoptar empresas de todos los tamaños, así como las herramientas que puede utilizar en su negocio para protegerse lo más eficazmente posible contra los ataques maliciosos y mejorar su ciberseguridad.

¿Qué son los ciberataques?

Los ciberataques son intentos no deseados de robar, exponer, alterar, inhabilitar o destruir la información de tus equipos mediante el acceso no autorizado a los sistemas.

Entre los diversos tipos de ciberataque, los más comunes son el phishing, los ataques de denegación de servicio (DDoS), las descargas no autorizadas (drive-by downloads), el malware, los ataques de intermediario (man-in-the-middle - MitM), el pirateo de cuentas y el fraude presidencial (Orden de Transferencia Falsa - FOVI). Para saber más, lee este artículo publicado por Cisco.

¿Aumenta el riesgo de ciberataques con el crecimiento del teletrabajo?

El teletrabajo ha tenido un impacto significativo en la ciberseguridad, provocando un aumento de los ciberataques. Las conexiones de red no seguras, que pueden encontrarse en espacios de coworking, cafeterías o estaciones de tren, representan puntos de entrada para los ciberdelincuentes.

Los empleados también utilizan con más frecuencia sus equipos personales para acceder a los sistemas de la empresa, lo que aumenta el riesgo de infiltración y compromiso. Por tanto, las empresas deben dotarse de medidas de seguridad sólidas y educar a sus empleados en buenas prácticas de ciberseguridad para contrarrestar estas amenazas y proteger los datos sensibles de la empresa.

¿Qué consecuencias tienen los ciberataques para las PYMEs y Startups?

Las PYMEs son especialmente vulnerables. En 2022, por ejemplo, sufrieron 330.000 ataques, mientras que las grandes empresas sólo sufrieron 17.000. Estas pequeñas y medianas empresas suelen estar expuestas a riesgos de ciberseguridad porque carecen de recursos y conocimientos para establecer sistemas de seguridad sofisticados o adoptar medidas preventivas.

Las start ups, en particular, suelen considerarse entidades innovadoras de rápido crecimiento, centradas en la investigación y el desarrollo en detrimento de la ciberseguridad. Algunas son también poseedoras de datos sensibles (financieros, sanitarios, etc.), lo que las convierte en objetivos perfectos para los ciberdelincuentes.

En términos de costes, según Data Center Market aquellas empresas que cuentan con más de 1.000 empleados han visto aumentar el coste medio en un 34%, hasta los 333.939 euros. Pero aquellas que cuentan con entre 10 y 49 empleados, cuyo coste ha experimentado un crecimiento del 49,3%, hasta los 23.374 euros. Puedes seguir leyendo el artículo aquí.

6 buenas prácticas contra los ciberataques

1) Cifra los datos de tu empresa

El cifrado de datos es una técnica diseñada para hacer ilegibles los datos digitales sensibles, permitiendo el acceso sólo a aquellos que dispongan de la clave o contraseña de descifrado adecuada. El cifrado ofrece una serie de ventajas:

• En caso de robo de datos, la información cifrada sigue siendo difícil o incluso imposible de descifrar para los ciberdelincuentes, lo que garantiza una protección eficaz de los identificadores, las contraseñas y la confidencialidad de las partes implicadas.
• Garantizar la confidencialidad de las comunicaciones.
• Cumplir las normas legales sobre almacenamiento y transmisión de datos (RGPD).
• Evitar los riesgos asociados a las redes Wi-Fi públicas y a los dispositivos personales.

Los datos se pueden cifrar utilizando programas de cifrado fiables y de confianza, como BitLocker (para Windows), FileVault (para macOS), VeraCrypt (multiplataforma y de código abierto) o LUKS (Linux Unified Key Setup), o configurando una plataforma de gestión de dispositivos móviles (MDM), que permite controlar todos los dispositivos a distancia y cifrar los datos en particular.

2) Configuración de una VPN

Una VPN (Red Privada Virtual) es un dispositivo informático que crea una conexión segura y encriptada entre el usuario y la red. Ten en cuenta que una VPN para una empresa es diferente de una VPN clásica para particulares.

• Una VPN corporativa protege el acceso de los empleados a los recursos internos mediante la creación de un túnel cifrado.
• Impide el acceso no autorizado, incluso a distancia o a través de una red Wi-Fi pública, gracias al cifrado de extremo a extremo.
• A diferencia de las VPN para usuarios privados, cuyo objetivo es el anonimato, las VPN para empresas ofrecen funciones cruciales para la ciberseguridad y el acceso seguro a los datos.

Antes de elegir una VPN, las empresas deben asegurarse de que el proveedor ofrece servicios esenciales como direcciones IP estáticas y gestión centralizada.

3) Mantén el sistema actualizado

Mantener actualizados el sistema operativo, el software y las aplicaciones es esencial para reforzar la seguridad de tu negocio en línea. Las actualizaciones te permiten:

• Corregir los fallos de seguridad y mejorar las defensas.
• Integrar defensas contra malware y ataques.
• Garantizar el cumplimiento de las normas ISO 27001 (norma voluntaria) y RGPD (reglamento obligatorio para todas las empresas que tratan datos personales).
• Mejorar el rendimiento y la estabilidad del sistema.

También reduce el riesgo de piratería informática al dificultar a los ciberdelincuentes la explotación de vulnerabilidades conocidas en versiones anteriores del sistema operativo o del software.

Para facilitar este proceso, asegúrate de configurar tus programas y ordenadores para que se actualicen automáticamente. Utiliza únicamente hardware y software cuya seguridad esté respaldada por tus fabricantes o editores, sustituyendo aquellos que ya no puedan actualizarse. Por último, asegúrate de que los proveedores de servicios externos mantienen actualizados los sistemas digitales utilizados en tu empresa, y exige esta práctica en tus contratos de subcontratación.

4) Equípate con programas antivirus

La integración del software antivirus en la infraestructura de una empresa ofrece una serie de ventajas en términos de ciberseguridad, lo que lo convierte en un pilar esencial de la estrategia global de protección. He aquí algunas de las principales ventajas:

• Detectar y neutralizar una serie de programas maliciosos (virus, troyanos, etc.), analizando los archivos y la actividad sospechosa.
• Proporcionan una protección constante mediante la supervisión de la actividad de archivos, programas y dispositivos en tiempo real, reaccionando rápidamente para bloquear o poner en cuarentena las amenazas.
• Algunos productos antivirus incluyen protección antiphishing para bloquear el acceso a sitios web maliciosos y evitar el robo de identidad y el fraude en línea.
• Deben cumplir las normas de ciberseguridad impuestas por la Directiva europea NIS 2.

5) Optimiza las contraseñas

Optimizar las contraseñas consiste en crear contraseñas fuertes y únicas para cada cuenta, utilizando una variedad de caracteres (mayúsculas, minúsculas, números y caracteres especiales), de longitud adecuada y evitando los datos personales. Con ello se pretende:

• Dificultar que los atacantes adivinen o descifren las combinaciones de caracteres, reforzando así la seguridad de las cuentas y del sistema.
• Reducir el riesgo de acceso no autorizado a cuentas y datos sensibles, garantizando la ciberseguridad de los datos confidenciales y evitando fugas de información.
• Reducir la eficacia de los ataques basados en diccionarios.
• Demostrar el serio compromiso de la empresa con la seguridad, reforzando la confianza de clientes y socios en la protección de sus datos.

Para aprovechar estas ventajas de forma práctica y segura, recomendamos utilizar un gestor de contraseñas como Dashlane o 1Password. Estos permiten compartir contraseñas sin revelar su composición, y revocar el acceso en cualquier momento. Además, es esencial limitar los intentos de inicio de sesión bloqueando las cuentas tras varios intentos fallidos, y desactivar las opciones de inicio de sesión anónimo (cuentas de "invitado").

6) Navegación segura con cortafuegos

Un cortafuegos es un dispositivo de seguridad que controla el tráfico de red, bloqueando los datos según reglas predefinidas para garantizar la seguridad y evitar ciberataques. Existen varios tipos de cortafuegos, como los cortafuegos de filtrado de paquetes, las pasarelas a nivel de aplicación, los cortafuegos de inspección de estado y los cortafuegos de nueva generación, cada uno con características específicas para filtrar y proteger el tráfico. Ventajas de los cortafuegos:

• Supervisar y regular los flujos de datos que entran y salen de la red corporativa, aplicando las normas establecidas. Estas reglas se utilizan para bloquear todos los intentos de acceso no autorizado y potencialmente malicioso.
• Ayudar a bloquear ataques procedentes del exterior, como intentos de intrusión, malware, ataques de denegación de servicio (DoS) y ataques de fuerza bruta, impidiendo que lleguen a la red interna.
• Ofrecer la posibilidad de definir reglas de control de acceso y privilegios, restringiendo el acceso a los recursos únicamente a las personas autorizadas.

Una solución de gestión de dispositivos móviles (MDM) también permite configurar cortafuegos remotos en todo el parque informático y gestionarlos desde una única plataforma.

En resumen:

!

En resumen, las pymes y las start ups se enfrentan a riesgos crecientes de ciberataques, que pueden tener un grave impacto en sus operaciones y finanzas, pero existen medidas preventivas que pueden adoptar. Invirtiendo en ciberseguridad y aplicando estas recomendaciones, las pymes y startups pueden reforzar su resistencia frente a las amenazas, garantizando la sostenibilidad de su negocio en un mundo digital en constante cambio. Si quieres saber más sobre ciberseguridad, te invitamos a leer este artículo.