Entre julio y septiembre, España fue el tercer país del mundo con más ciberataques, tras Polonia y Estados Unidos. El 70% de esta amenaza tienen como objetivo las pymes, que sufren 40.000 ataques al día según Datos 101. La técnica más empleada es el phishing, es decir, la suplantación de identidad para conseguir contraseñas y otros datos de la empresa. El coste medio por ataque ronda los 35.000 euros y llevan al cierre a 6 de cada 10 compañías en nuestro país a los seis meses.

El principal error humano está en abrir esos correos y pinchar en sus enlaces. El 85% de los ataques digitales salen adelante por ese simple click según Innovery España. Y es que según explica a COPE el CEO en ciberseguridad de esta consultora Juan Manuel Pascual a ellos les contratan para detectarlos y poder concienciar a la plantilla sobre los riesgos de ciberataque.

‘‘Las empresas recurren a nosotros y enviamos correos trampa para ver cuántos pinchan y les formamos para que no vuelva a suceder. Nos hemos encontrado a responsables de empresas, con un gran salario, abriendo enlaces falsos sobre descuentos de 20€ en gasolina’’, subraya Pascual.

En otros casos no es tan evidente distinguir el riesgo:‘‘en una ocasión un empleado recibió el email de su jefe directo, que le mandaba un enlace para participar en una reunión. Era un correo malicioso. Los ataques cada vez son más sofisticados’’ afirma Mireia Salazar, experta en ciberseguridad de NuuBB. Por eso es importante contrastar: confirmar con el jefe si esa reunión existe antes de abrir el correo y sea tarde.

Sin embargo, si la empresa ha invertido en un buen sistema de ciberseguridad, aunque se cometa el error de abrir el correo, hay menos posibilidades de infectarse.

''Las simulaciones de ataques es la estrategia con mayor éxito porque dedicar tiempo a formaciones para empleados, no es prioritario para muchas empresas'' explica Jordi Martínez, CEO en ciberseguridad en la consultora Tauformar.

Las pymes, las principales víctimas de los ciberataques

Según la consultora Analysys Mason, a nivel mundial, el 28% de las pymes que sufren ataques pierden ingresos y el 16%, la confianza de sus clientes. Además, tardan 212 días de media en identificar un ataque y 75 días más en contenerlo según IBM consulting. En nuestro país, Google España asegura que el 99’8% del tejido empresarial español, sobretodo pymes, no se consideran un objetivo de ciberataque.

‘‘Cualquier pyme, independientemente del sector, puede pensar: ‘yo, al ser pequeña, no me van a atacar. Los hackers van a empresas grandes, con más facturación’. Pero, al ser más grandes, están muy bien protegidas. Por eso los hackers van a por las pymes’’ asegura Mireia Salazar. Por su parte, Jordi Martínez asegura que ''el objetivo de los delincuentes son las pymes porque son las que menos preparadas están. Los directivos deben adquirir una conciencia de que la información de su empresa es muy importante. Hay que protegerla, como en nuestros negocios ponemos una alarma''.

Sin embargo, ‘‘los atacantes no tienen un interés específico, hacen ciberataques masivos. Si nuestro tejido mayoritariamente son pymes, es normal que el 70% de estas amenazas vayan dirigidas a ellas’’ afirma Juan Manuel Pascual.

Administraciones públicas del Estado como el Consejo General del Poder Judicial en octubre, tampoco se libran de estos ataques. Uno de los sectores más atacados según el Instituto Nacional de Ciberseguridad (INCIBE) es el de servicios, por brechas de seguridad, ''debidas a información que no se borra bien, contraseñas y webs poco actualizadas'' afirma Jordi Martínez. Además, ''los momentos del año en que más ataques se producen es en vacaciones de verano, Navidad y Semana Santa, cuando las empresas tienen menos recursos humanos para afrontar estos ataques. En campañas puntuales como el Black Friday hay picos, pero no tan acusados como en vacaciones''.

Ransomware, el ciberataque más devastador. ¿Cómo se debe actuar?

Es la principal amenaza en los últimos años y la más devastadora. Los atacantes acceden al sistema de la empresa, a veces por correos, cifran la información y la secuestra exigiendo un rescate. Entran por brechas de seguridad que la empresa no tengan cubiertas. ‘‘Después de la pandemia, muchas empresas tomaron medidas, pero nos encontramos algunas que todavía hoy no tienen ni Firewall ni antivirus’’ asegura Mireia Salazar.

Si la empresa tiene contratada a otra que hace seguimiento, lo detecta y lo frena. Pero si se produce el ataque, el ordenador puede fallar, el hacker puede mandar directamente un mensaje pidiendo el rescate. ‘‘Hay que mantener el nervio. Muchas empresas nos llaman y preguntamos si tienen copia de seguridad. Si la hay, no deben responder al hacker. Si no la hay, hay que pagar. No hay más remedio. Tener copias de seguridad externas. fuera de la empresa es fundamental’’ afirma Salazar.

Alberto Seco es informático y a finales de 2020 tuvo que enfrentarse a este ciberataque que afectó a una gran empresa. Cuenta a COPE que ‘‘el origen fue un ordenador infectado por un correo electrónico. De ahí se propagó a todos los servidores de la empresa y los dejó inaccesibles’’.

En aquel momento y en situaciones similares ‘‘los pasos a seguir son el aislamiento del exterior de los ordenadores para evitar fuga de datos, ver qué se ha visto afectado y en qué medida, averiguar si hay copia de seguridad y si existe, recuperar los sistemas. Si no la hay, se puede intentar empezar desde cero y quizás las cosas siguen funcionando. Pero el plan B es pagar el rescate, si la empresa se lo puede permitir’’ señala.

En su caso, la empresa tenía copia de seguridad pero, según Seco, “tardamos cinco semanas en restablecer el sistema. Cualquier empresa en esa situación, sin copia de seguridad y que no pueda pagar el rescate, lo pierde absolutamente todo y se condena a cerrar’’.

Estar seguro de poder recuperar el negocio en un tiempo rentable es lo único en lo que no se puede fallar.

¿Cuánto cuestan los ciberataques y prevenirlos?

También Google España cifra en 35.000 euros el coste medio por recibir un ciberataque. Aunque el plan B siempre consiste en pagar el rescate de los datos, hay otros gastos que las empresas deben afrontar en estas situaciones, como las multas por haber infringido la ley de protección de datos, los datos de su empresa que no han sido bien defendidos. ''Si la empresa ha omitido antes y durante el ciberataque la prevención de datos, incumple ante un delito ante la Agencia de Protección de Datos, y es responsabilidad penal. Muchos empresarios no son conscientes de las consecuencias'' afirma Jordi Martínez. Cifras que muchas pymes no pueden sostener, por eso el 60% de las que son atacadas, acaban por desaparecer a los seis meses según Google España.

‘‘Muchas empresas no informan de haber recibido un ciberataque por mantener su reputación’’ afirma Mireia Salazar. ‘‘Tener una protección compuesta de antivirus, más un Firewal (cortafuegos) y copia de seguridad externa por usuario, puede rondar unos 200 euros en total en una pyme de 30 usuarios’’.

España, en la cabeza de los países más vulnerables en recibir ciberataques

Cada consultora que emite un informe sobre ciberataques, posiciona a España en un puesto diferente, pero siempre entre los primeros puestos. Según la eslovaca ESET en 2021 nuestro país fue el más atacado a nivel mundial con 51.000 millones de ataques. ''Somos un país que invierte poco en ciberataques, es por regla de tres que estemos a la cabeza'' asegura Jordi Martínez.

Aunque muchas pymes tengan que invertir en ciberseguridad, es decir, no solamente tener antivirus actualizados, sino contratar a empresas que hagan un seguimiento constante, ‘‘el componente cultural hace mucho. Reaccionamos de forma diferente, somos más confiados e impulsivos. Es el perfecto caldo de cultivo para hacer caso a estos ataques, que se basan sobretodo en el engaño’’ afirma José María Pascual.

‘‘Pensamos que por tener las cosas en casa, estamos a salvo. Pero si hay empresas especializadas en ciberseguridad, es porque hay ataques. Las pymes deben confiar para proteger sus datos y no ser vulnerables. Hay que pedir ayuda para estar protegido’’, explica Mireia Salazar.