un candado rojo 2D roto, con otros azules cerrados, sobre un fondo turquesa con código binario

Cómo cerrar la brecha de seguridad en las pymes

#KingstonCognate presenta a la Prof. Sally Eaves

Foto de la Prof. Sally Eaves

La profesora Sally Eaves es Presidenta de Cyber Trust y Asesora de política sénior de la Global Foundation of Cyber Studies and Research. Descrita como la “portaestandarte de la tecnología ética”, ha sido la primera persona en recibir el premio Frontera Tecnológica e Impacto Social, que se le entregó en Naciones Unidas. Con experiencia como Directora de Tecnología, y hoy profesora de Tecnologías Avanzadas y asesora estratégica global de Emergent Technologies, Sally es una autora internacional galardonada, destacada conferenciante y líder de pensamiento en transformación digital (IA, 5G, nube, cadenas de bloques, ciberseguridad, gobernanza, IdC, ciencias de datos), además de cultura, aptitudes, DEI, sostenibilidad e impacto social.

Sally educa y patrocina activamente en apoyo de la próxima generación de talentos tecnológicos, y ha fundado Aspirational Futures para promover la inclusión, la diversidad y la igualdad en educación y en tecnología. Su libro más reciente, “Tech For Good”, está previsto para ser publicado pronto. Sally es muy reconocida por su influencia global en el espacio tecnológico por los organismos más destacados del sector, como Onalytica, y está clasificada entre las 10 principales especialistas mundiales en diversas disciplinas, desde IA y 5G hasta Sostenibilidad y otros.

El panorama de las ciberamenazas contra las pymes

Las pequeñas y medianas empresas (pymes) juegan un papel fundamental en las economías nacionales y en la estabilidad y el crecimiento económico internacional. Aproximadamente 400 millones de pymes constituyen la columna vertebral de nuestra economía global y fuente fundamental de trabajo y creación de empleos. Constituyen más del 95% de las entidades comerciales y proporcionan entre el 60% y el 70% de los puestos de trabajo.

Por consiguiente, para la economía y para la seguridad es fundamental que las pymes aprovechen todas las oportunidades que ofrece el mundo digital multicanal de nuestros días y, al mismo tiempo, mantener una sólida ciberseguridad.

Por eso es que ha llegado el momento de que se produzca un cambio significativo. Muchas pymes han tenido que adoptar de prisa nuevas estrategias y tecnologías digitales para mantener, pivotar o diversificar sus actividades y modelos empresariales mientras se enfrentaban a una pandemia global y al surgimiento del trabajo a distancia/híbrido. Por otra parte, esta situación ha propiciado ciberriesgos adicionales.

Un indicador aleccionador, considerando que los ciberataques se vienen produciendo cada 39 segundos y, como media, unas 2.244 veces por día (Varoni 2020), y que la vulnerabilidad de las pymes ante los ciberataques viene creciendo a un ritmo anual superior al 400%. Por otra parte, sus medidas de protección pueden reducirse con menos recursos y reservas financieras para gestionarlas de manera eficaz. Este factor define el panorama de las amenazas para las pymes, explica por qué es tan importante y cuáles son los principales retos para profundizar una concienciación que es fundamental para cambiar y para promover la futura preparación ante la escalada de las ciberamenazas.

“Ahora es el momento de desacoplar las inversiones, la capacitación, la investigación y la concienciación de cara al incremento de los riesgos, de la falsa percepción de que las pymes tienen datos menos valiosos que ofrecer a ciberdelincuentes y piratas, y para la economía global en general”. Prof. Sally Eaves

Riesgos crecientes para las pymes: Por qué son tan importantes

Silueta de pirata informático de persona con capucha tecleando y números flotando delante suyo, con datos binarios y un mapa del mundo detrás de él

Existe una idea errónea en lo que respecta a la relación entre el tamaño de una empresa con los costes de un ciberataque y la falta de preparación para ciberdefensas, empezando por la interrupción de las actividades y las pérdidas financieras. Si lo ponemos en este contexto, con los recientes datos del Reino Unido (Vodafone Business 2021), el coste medio de un ciberataque exitoso asciende a las 3.230 £. El informe señaló que estas pérdidas podrían provocar que aproximadamente un cuarto de las pymes británicas colapsarían, y que un 16% se verían obligadas a despedir personal. Esto concuerda con otros estudios a nivel global. Pero el riesgo no acaba aquí: las repercusiones de los daños reputacionales y la reducción de la confianza de los consumidores o del ecosistema son efectos que pueden persistir durante mucho más tiempo para aquellas empresas que sobrevivan a la amenaza inicial. En torno al 81% de los consumidores manifiestan que dejarían de interactuar con una marca que sufriese una vulneración de datos.

Además, y se trata de otra idea errónea, al trabajar con diversos proveedores y colaboradores, los datos de las pymes son igualmente valiosos que los de las grandes empresas y pueden servir de puerta de acceso a otras organizaciones. Si un ciberatacante puede romper cualquier eslabón de la cadena de suministro, podrá atacar más fácilmente al siguiente y, con frecuencia, a empresas más grandes. Por otra parte, lo normal es que los datos de las pymes sean mucho más fáciles de robar. Por ello, quizá no sean de sorprender ver la escalada (no solamente de la frecuencia, sino de la sofisticación) de los ciberataques dirigidos contra este sector, y el hecho de que los piratas actúen ahora como grupo organizado con el objetivo de obtener beneficios financieros.

La evolución del panorama de amenazas contra las pymes

Los nuevos estudios sacan a la luz la auténtica magnitud de la amenaza contra las pymes, en comparación con las empresas más grandes. Un asombroso 65% de las pymes sufrieron ciberataques en 2019-20, frente al 46% del total de empresas (Towergate), lo cual confirma que los ataques se producen repetidamente. Las pymes que sufren una intrusión fueron afectadas una media de 6 veces cada una durante dicho período: ¡una vez cada dos meses! (NatWest).

¿Cuáles son las principales tácticas de las amenazas a las que se enfrentan las pymes?

Los dos vectores más importantes de amenazas externas son: las usurpaciones de identidad (phishing) y la ingeniería social, conjuntamente con el ecosistema de la cadena de suministro. Se combinan con los vectores de amenazas internas, como falta de evaluación de riesgos; deficientes controles de acceso; desprotección de datos, dispositivos y contraseñas; bajos niveles de inversión; y capacitación, sensibilización, cultura y aptitudes de ciberhigiene insuficientes, y la consecuencia es una potencialmente vasta superficie de ataque.

símbolo de un mensaje de correo abierto con un anzuelo atravesándolo

Usurpación de identidades e ingeniería social
El 85% de los ciberataques tienen su origen en intentos de usurpación de identidad ("phishing", en inglés), que pretenden tentar a los usuarios a ‘hacer lo incorrecto’, como descargarse malware, normalmente a través de interacciones de correo electrónico. Su naturaleza es cada vez más y más sofisticada. De hecho, en una prueba reciente se observó que fue la inteligencia artificial la que redacta mejores mensajes de usurpación de identidad. La ingeniería social, normalmente vinculada a la usurpación de identidad, describe el proceso de manipular a las personas -mediante suplantación, persuasión o incluso intimidación- para que realicen una determinada acción o revelen información confidencial. La pandemia ha sido un caso concreto: los ciberdelincuentes se aprovecharon de nuestra vulnerabilidad colectiva e intentaron comprometer cuentas mediante correos electrónicos, textos o mensajes de WhatsApp falsos cuyo asunto era la Covid-19, o bien adjuntando datos pretendidamente procedentes de la Organización Mundial de la Salud (OMS). Si ponemos todo esto en contexto, el nivel de transformación de este tipo de ciberamenazas es revelador. Solamente consideremos el primer ciberataque registrado, llamado ‘Gusano de Morris’, allá por el lejano 1988. Este malware afectó a 6.000 ordenadores, que a la sazón constituían aproximadamente el 10% de la totalidad de Internet. ¡Cómo han cambiado los tiempos!

Cadena de suministro
Por ser un vector de ataque favorecido por los ciberdelincuentes, la mayoría de las vulneraciones proceden de fuentes de software, más que de hardware, como por ejemplo el malware que se infiltra en las actualizaciones periódicas del software. Los ataques se dirigen hacia las pymes a través de sus propias cadenas de suministro, o más habitualmente comprometiendo a la pyme para, a continuación, saltar hacia organizaciones mayores. Las bibliotecas de software de código abierto son otra área de vulnerabilidad de la cadena de suministro. Y, de cara al futuro, considerando que hacia 2025 las conexiones de IdC más que se duplicarán (alcanzando los 75.000 millones de dispositivos), ese hecho por sí mismo crea nuevos ciberriesgos. El hardware de bajo coste puede conectarse a las redes, con lo cual los dispositivos que las constituyen quedan vulnerables a los ataques. Si consideramos esta situación desde una perspectiva de convergencia avanzada de TI/TO y del ecosistema de la cadena de suministro, vemos que la expansión del área de amenaza se sitúa en el centro del escenario.

Las barreras para los ciberriesgos de las pymes

Esto nos plantea un interrogante fundamental: ¿cuáles son los principales factores por los cuales las pymes no adoptan las medidas de protección más avanzadas para defenderse de manera más proactiva contra los ciberriesgos? En primer lugar, existe una clara brecha entre concienciación y actualización, como lo ha revelado un reciente estudio: mientras que el 93% de las pymes creían que la ciberseguridad es vital para la continuidad de las actividades, solamente el 64% de ellas aplicaban soluciones de ciberprotección. Además, un estudio europeo ha observado una brecha de concienciación y realidad diferente: muchas pymes creen -incorrectamente- que los productos de TI que han adquirido incluyen controles de ciberseguridad, y que no necesitan medidas adicionales para ello, salvo que se vean obligadas por requisitos o reglamentos de cumplimiento normativo (ENISA 2021).

La capacidad de inversión es otro escollo. Statista (2020) reveló que las inversiones en ciberseguridad ascendían a una media de 5.100 £, lo cual puede llevar a las pymes a creer que ya han cumplido con creces sus obligaciones. Pero esta cifra se ve sesgada por el enorme volumen de micro y pequeñas empresas, que se gastan un promedio de 3.490 £. Si comparamos estas cifras con las invertidas por las organizaciones más grandes -presumiblemente más preparadas (o, al menos, tienen más recursos)- con un promedio de inversión de 277.000 £, observamos una vasta brecha, que los chicos malos están más que felices de aprovechar.

Entre otros factores podemos citar una ‘cibercultura’ subdesarrollada, percepciones de exceso de complejidad, preocupaciones y conceptos erróneos en cuanto a la seguridad en la nube y, por sobre todo, falta de sensibilización en materia de tecnología y de asistencia que ‘está realmente dentro del alcance’ de las pymes. Posiblemente, lo más alarmante de todos es que el 54% de los participantes de una reciente encuesta manifestaron que sus organizaciones no capacitaban al personal en protección de datos y en amenazas contra la ciberseguridad (Vodafone Business 2021).

Protección contra los ciberriesgos

Kingston DataTraveler Vault Privacy 3.0 enchufado un portátil, con códigos binarios en segundo plano, y símbolos de candado y contraseña

Sin ninguna duda, la ciberseguridad debe ser la principal prioridad de cualquier organización, independientemente de su tamaño. Con el crecimiento sostenido y la prevalencia de las amenazas contra la seguridad, nunca antes había sido tan importante asegurarse de que sus sistemas no sean una ‘puerta abierta’ a los ataques. Esto requiere de una minuciosa coordinación entre personas, procesos, sistemas, redes y tecnologías, que conlleva una actitud de responsabilidad compartida, un cambio de cultura y de valores que propicie un cambio de conducta y el nivel de compromiso que siempre está por detrás de un cambio tecnológico. Y dado que las pymes se ven comprometidas por culpa de la principal táctica de ataque centrada en los humanos -usurpación de identidad e ingeniería social-, la educación es un habilitador estratégico vital y principal impulsor de este cambio. Cuanta más concienciación exista sobre estas áreas de riesgo, más sólido será su nivel de ciberseguridad.

Como punto de partida de las medidas que puede adoptar hoy mismo, es fundamental un enfoque en la prevención de pérdida de datos, centrándose en los datos que hoy manejan localmente sus empleados. En este aspecto, la adopción de unidades USB cifradas puede resultar muy eficaz, ya que garantiza que los datos sensibles se almacenen y transfieran de la manera más segura posible.

Kingston Technology es líder consolidado y fiable en el segmento de las unidades USB, y puede ofrecer asistencia a medida sobre las ventajas y adaptación a las necesidades de su empresa. Por otra parte, el excelente equipo de "Pregunte a un experto" de Kingston Technology está preparado para aportarle asesoramiento a la medida de su entorno y necesidades de almacenamiento.

Y, por último, a continuación de este artículo, le recomendamos consultar las 12 recomendaciones que las pymes pueden implementar para mejorar la ciberseguridad a nivel de tecnologías, de procesos y de recursos humanos.

#KingstonIsWithYou

Icono «Pregunte a un experto» de Kingston en un chip de placa de circuito

Pregunte a un experto

Para planificar la configuración de memoria adecuada es necesario conocer los objetivos de seguridad de sus proyectos. Permita que los expertos de Kingston le orienten.

Pregunte a un experto

Artículos relacionados