Es un hecho que la tecnología está presente en el día a día de nuestras vidas, de forma que ya casi no recordamos cómo quedábamos con un amigo antes de que tuviéramos teléfono móvil. De forma similar, la tecnología forma parte intrínseca de la mayoría de los negocios, aunque sea en tareas sencillas como el uso del correo electrónico.
Sin duda, este avance tecnológico en el que estamos inmersos trae consigo nuevas oportunidades de negocio, tanto para los que lo utilizan de manera legítima como ilegítima. Los ciberdelincuentes aprovechan la ubicuidad, flexibilidad e inmediatez que ofrece la tecnología para perpetrar sus ataques, estos son cada vez más sofisticados. En este sentido, el servicio Tu Ayuda en Ciberseguridad de INCIBE ya es testigo de incidentes a empresas en los que los ciberdelincuentes utilizan técnicas como el deepvoice. En este caso, la suplantación de identidad se lleva a cabo a través de la sustitución de la voz, lo que dificulta que las víctimas puedan identificar el fraude.
Si tienes un negocio, deberías preguntarte cómo afectaría a tu continuidad si los ciberatacantes tuvieran acceso a tu correo electrónico corporativo, a la web donde promocionas los productos y servicios disponibles, o si toda la información de tu empresa no fuera accesible a causa de una infección por malware.
La respuesta es simple. Tanto la capacidad de la empresa para continuar con su actividad como la confianza de los clientes se podría ver seriamente afectada, sin olvidarnos de que, además, ciertos incidentes de seguridad, como aquellos que afectan a datos personales, podrían suponer consecuencias legales y sanciones por parte de las administraciones competentes.
Por otro lado, también hay que considerar el hecho de que los empleados son la primera línea de defensa ante un ciberataque y que deben estar formados para reconocer las técnicas y fraudes más comunes. Todas las empresas de cualquier índole y tamaño deben poner en conocimiento de sus empleados los principales tipos de amenazas a los que deben hacer frente para prevenirlas activamente y poder salvaguardar la seguridad de su información, de sus clientes y de los sistemas que la gestionan, ya
que estos sistemas pueden ser utilizados para perpetrar nuevos fraudes o simplemente para extorsionar a la empresa propietaria.
Para hacernos una idea más concreta del panorama actual, INCIBE gestionó en 2022 más de 118.000 incidentes de ciberseguridad, de los cuales 110.100 afectaron a ciudadanos y empresas. En este ámbito, cabe destacar que uno de cada tres son una filtración de datos (sensibles, protegidos o confidenciales que son robados por una persona no autorizada); y dos de cada cinco son vulnerabilidades de los sistemas tecnológicos (debilidad de un sistema que puede poner en riesgo su seguridad).
En este sentido, el servicio Tu Ayuda en Ciberseguridad atendió más de 67.000 consultas en 2022. Entre las consultas más frecuentes, relativas a empresas, destacan el phishing, smishing o extorsión (20,8%), el fraude del email comprometido (BEC), o el fraude del CEO (15,3%). Por todo ello, y para evitar sufrir un incidente de seguridad que pueda afectar a la continuidad de las empresas, es vital conocer cuáles son las principales técnicas fraudulentas utilizadas, cómo prevenirlas y qué hacer en caso de haber sido víctima de una de ellas.
La ciberseguridad de las pymes dependerá de la capacidad de adaptación y la implementación de medidas de seguridad adecuadas. Aunque las amenazas evolucionan constantemente, con una atención adecuada a la seguridad y una respuesta proactiva, las pequeñas empresas pueden protegerse de manera efectiva en un entorno digital que está en constante cambio.
Una guía contra los riesgos virtuales
Desde INCIBE, y particularmente a través de Protege tu empresa, son muchas las iniciativas, recursos y servicios que ponemos a disposición de micropymes, pymes y autónomos, como guía para ayudar a estas organizaciones a marcar su hoja de ruta, teniendo en cuenta que estas empresas poseen una menor madurez tecnológica, cuentan con menos recursos y generalmente son los que menos experiencia y formación tienen en ciberseguridad.
Recursos preventivos, reactivos y formativos que ayudarán a afianzar el conocimiento en ciberseguridad de cualquier empresa y a incidir en la concienciación del uso seguro y responsable de los dispositivos tecnológicos, apoyados por una línea de ayuda gratuita y confidencial (017) para resolver dudas y responder a las consultas de cualquier persona en materia de ciberseguridad los 365 días del año.
Entre estos recursos mencionados, cabe destacar la guía Ciberamenazas contra entornos empresariales, que particularmente ayuda a las empresas a mantener unos niveles adecuados de ciberseguridad, evitando las principales amenazas. Esta guía está compuesta por cuatro secciones que proporcionan los conocimientos necesarios para no caer en manos de los ciberdelincuentes.
El primero de estos apartados aborda la temática de la ingeniería social y el correo electrónico como base de la mayoría de incidentes de seguridad. En él, se explican las fases y las pautas para reconocer este tipo de ataques. La gran mayoría de incidentes de seguridad que afectan a las empresas tienen en común dos factores: el correo electrónico y las comunicaciones que utilizan diferentes técnicas de ingeniería social, término por el que se conocen los distintos métodos de manipulación psicológica con el objetivo de conseguir que las potenciales víctimas revelen información confidencial o realicen cualquier tipo de acción que pueda beneficiar al ciberdelincuente, como revelar información confidencial o instalar software malicioso.
Una de las técnicas que más usan los ciberdelincuentes para crear campañas maliciosas es el email spoofing o suplantación de identidad por correo electrónico. Mediante esta técnica, los ciberdelincuentes envían correos con remitente falso para enviar spam, difundir malware o llevar a cabo ataques de phishing con los que suplantan la identidad de perfiles con capacidad de toma de decisiones en la empresa, proveedores, clientes, etc.
En segundo lugar, se describen y explican los principales fraudes y ciberamenazas. Desde fugas de información hasta ataques de suplantación de proveedores, hoy en día las ciberamenazas y fraudes que pueden afectar a empresas y autónomos son amplias y variadas. Por ello, conocer cuáles son, cómo identificarlas y qué hacer en caso de sufrir uno de estos incidentes de seguridad, como, por ejemplo, el fraude del CEO, el fraude de RRHH, o el fraude del falso soporte técnico, es imprescindible para salvaguardar el activo más valioso: la información.
Una vez conocidos los peligros, se detallan las recomendaciones a tener en cuenta para reforzar la seguridad y, por ende, reducir las posibilidades de ser víctima de un incidente a través de un decálogo de recomendaciones de seguridad.
El cuarto y último apartado lo compone una sección de referencias, espacio donde se amplía la información para dotar de un extra al contenido indicado.
Afortunadamente, cada vez son más las pequeñas empresas que asumen el reto de mantener el equilibrio entre la dependencia tecnológica y el compromiso y madurez en materia de ciberseguridad. Sin duda, la ciberseguridad va a seguir siendo un factor diferenciador para las pymes, que aporta confianza a sus clientes y les posiciona como negocios competitivos.
