Amenazas Comunes para las PYMES: Ciberseguridad y Más Allá

Las Pequeñas y Medianas Empresas (PYMES) son la columna vertebral de la economía global, contribuyendo significativamente al empleo y la innovación. Sin embargo, su tamaño y recursos limitados las hacen vulnerables a diversas amenazas, tanto internas como externas. En un entorno empresarial cada vez más digitalizado, las pequeñas y medianas empresas (PYMEs) se han convertido en un objetivo prioritario para los ciberdelincuentes. Los ciberdelincuentes saben que las pymes suelen tener menos recursos para protegerse y las ven como un blanco fácil.

Según informes recientes de organismos europeos de ciberseguridad, el número de incidentes en pymes ha crecido de forma sostenida durante los últimos años, impulsado por ciberamenazas más sofisticados y automatizados.

Ciberseguridad: Un Riesgo Subestimado

La ciberseguridad continúa siendo una asignatura pendiente para la mayoría de las empresas españolas. Según el reporte de Hiscox, se estima que la mitad de las empresas españolas ha sufrido algún tipo de ciberataque en el año 2023. Además, destaca el exponencial crecimiento de los ciberataques a pymes, las cuales son las que más han aumentado en proporción el número de incidentes de seguridad registrados.

La ciberseguridad ya no es solo cosa de grandes corporaciones. Cada vez más pequeñas y medianas empresas (pymes) se convierten en el blanco preferido de los ciberdelincuentes. ¿Por qué? Un solo ataque puede suponer pérdidas económicas, robo de datos, daños reputacionales e incluso el cierre del negocio.

La suposición común de las PYMES de que son demasiado pequeñas para ser interesantes es peligrosa. Un ataque no sólo puede perjudicar más a una pequeña empresa que a una grande, sino que además suele ser un objetivo más frecuente con relativo éxito.

Las PYMES a menudo carecen de los recursos y la experiencia necesarios para defenderse de los ciberataques. Aquí hay algunas razones clave:

1. Es menos probable que las pequeñas empresas tengan un recurso dedicado a la seguridad de la información, por ejemplo, un Director de Información (CIO) o un Director de Seguridad de la Información (CISO). La seguridad suele quedar al final de la lista de prioridades y a veces incluso se olvida por completo.
2. Las empresas más pequeñas tienen menos probabilidades de contar con grandes presupuestos, por lo que pueden intentar ahorrar costos en materia de seguridad. Hasta que no se produzca un ataque o una pérdida de datos, puede no parecer obvio por qué las inversiones en seguridad merecen la pena.
3. Las empresas más pequeñas a menudo han sido creadas y establecidas por alguien que es un experto en su campo respectivo, por lo que la configuración no refleja necesariamente las mejores prácticas de seguridad.

Cuando se produce una filtración de datos, se pueden detener todos los procesos de trabajo, lo que hace que la empresa no pueda realizar ninguna actividad. Sin embargo, cuando una pequeña empresa no está preparada para un ciberataque, las consecuencias son graves.

Principales Amenazas Cibernéticas para PYMES

El panorama de ciberamenazas para las pequeñas y medianas empresas es enormemente dinámico y, en muchos casos, peligroso porque las PYMEs disponen de menos recursos para prevención y respuesta. A continuación, exploraremos las amenazas más comunes:

1. Phishing/Suplantación de Identidad: El phishing sigue siendo el método más usado por los atacantes para obtener credenciales, datos bancarios o abrir puertas para ataques posteriores. El phishing es una técnica mediante la cual los atacantes se hacen pasar por entidades legítimas para engañar a las víctimas y obtener información confidencial, como nombres de usuario, contraseñas y datos bancarios. Generalmente, esto se hace a través de correos electrónicos, mensajes de texto o sitios web falsificados que parecen legítimos.
2. Ransomware/Secuestro Virtual de Información: Análisis recientes identifican el ransomware como una de las amenazas con mayor impacto económico y operativo; los atacantes siguen evolucionando tácticas (doble extorsión, exfiltración previa, ataques a proveedores). El ransomware es un tipo de software malicioso que cifra los archivos de un dispositivo, impidiendo al usuario acceder a ellos. En este tipo de ataque los ciberdelincuentes demandan a posteriori un rescate a cambio de la clave de descifrado.
3. Ataque a la Cadena de Suministro: La explotación de vulnerabilidades conocidas (software no parcheado) sigue siendo un vector habitual; además, los incidentes a proveedores y servicios terceros pueden impactar fuertemente a PYMEs que dependen de ellos. Los ataques a la cadena de suministro son tácticas maliciosas dirigidas a infiltrarse en una organización a través de sus proveedores o socios comerciales. Estos ataques explotan las relaciones de confianza entre empresas y sus proveedores, lo cual puede derivar en un robo de datos, la interrupción de las operaciones, etc.
4. Falta de Formación/Políticas de Seguridad: Tal y como se ha desarrollado a lo largo de este artículo de blog, se trata de uno de los elementos primordiales para mejorar la ciberseguridad de las pymes. La formación educa a los empleados sobre las mejores prácticas de seguridad, cómo reconocer y responder a amenazas cibernéticas, y la importancia de seguir protocolos de seguridad. Las políticas de seguridad, por su parte, proporcionan un marco claro y directrices sobre cómo manejar y proteger la información y los activos de la empresa.
5. Contraseñas Débiles: La combinación de contraseñas reutilizadas y malas configuraciones en servicios cloud provoca el crecimiento de incidentes de toma de cuentas y filtraciones. Las contraseñas débiles son aquellas que son fáciles de adivinar o descifrar debido a su simplicidad o previsibilidad. Estas contraseñas representan un riesgo de seguridad significativo, ya que permiten a los atacantes acceder más fácilmente a cuentas y sistemas protegidos.
6. Ataques DDoS y Hacktivismo: Se ha documentado un repunte en ataques DDoS (siglas de Denegación de Servicio Distribuida, que hace referencia a un ataque proveniente de múltiples fuentes con el objetivo de dejar inutilizado el sistema) y en actividad de hacktivismo que, aunque a veces no buscan lucro directo, causan interrupciones y problemas de reputación.

Es, probablemente, la más temida de todas las ciberamenazas. El ransomware bloquea los sistemas o cifra los datos de la empresa y exige un rescate económico a cambio. Muchas pymes acaban paralizadas durante días y pierden información valiosa.

Los correos fraudulentos son una de las ciberamenazas más comunes y efectivas. Mediante mensajes que parecen legítimos, los atacantes logran que un empleado revele contraseñas o haga clic en enlaces peligrosos. En su versión más avanzada, el spear-phishing, los criminales personalizan los mensajes para que parezcan enviados por un jefe o proveedor real.

El malware sigue siendo protagonista entre las ciberamenazas. En las pymes suele llegar a través de descargas, memorias USB o vulnerabilidades sin parchear. Una vez dentro, puede robar datos, tomar el control de los equipos o usarlos como puente hacia otros ataques.

Esta ciberamenaza consiste en atacar a un proveedor o socio que tenga acceso a los sistemas de la empresa. Desde ahí, los delincuentes pueden infiltrarse sin ser detectados.

La adopción de herramientas cloud ha simplificado la gestión de muchas pymes, pero también ha abierto la puerta a nuevas ciberamenazas. Configuraciones incorrectas, contraseñas débiles o permisos excesivos pueden derivar en filtraciones. Aunque los proveedores de nube protegen la infraestructura, la responsabilidad de los datos recae sobre la empresa.

No todas las ciberamenazas vienen del exterior. Empleados descontentos, descuidos o usos indebidos de credenciales pueden causar daños graves.

El teletrabajo y el BYOD (Bring Your Own Device) han ampliado el terreno de las ciberamenazas. Los dispositivos personales no siempre cuentan con las mismas protecciones que los corporativos, lo que puede abrir brechas de seguridad.

Aunque suelen asociarse a grandes corporaciones, cada vez más pymes sufren ciberamenazas de tipo DDoS que saturan sus servicios y dejan sus webs o aplicaciones fuera de línea. Estos ataques no sólo afectan a la operativa, sino también a la imagen de la empresa.

La pérdida o robo de información confidencial es una de las ciberamenazas más costosas. Puede deberse a accesos indebidos, fallos de seguridad o errores humanos. Además de las sanciones por incumplir la normativa de protección de datos, el daño reputacional puede ser irreversible.

La ingeniería social se basa en manipular a las personas para obtener información o dinero. Es una ciberamenaza cada vez más sofisticada, donde los atacantes se hacen pasar por directivos o proveedores para solicitar transferencias o credenciales.

Un aspecto relevante al respecto es la preparación y la percepción de la ciberseguridad en estas empresas. Solo el 61% de las empresas con menos de 250 empleados se sienten seguras de su preparación en ciberseguridad. Esto sugiere que las pequeñas empresas pueden estar menos equipadas, tanto en términos de recursos como de formación, para enfrentar los retos de la seguridad digital.

Las estadísticas de INCIBE refuerzan esta tendencia, dado que durante el año 2022 se gestionaron un 9% más de incidentes que el año anterior, un total de 118.000. Gran parte de esos ataques fueron dirigidos a pymes. 1 de cada 3 de estos fueron filtraciones de datos.

Los informes señalados ponen de manifiesto el talante y la entereza con que los autónomos y pymes españolas afrontan el reto de mejorar su cultura de la ciberseguridad. Las empresas españolas están incrementando sus esfuerzos por ponerse al día en esta materia, pese a que aún queda un largo camino por recorrer.

Según un estudio publicado por Trend Micro, un 53 % de las empresas españolas tuvo entre sus planes aumentar los presupuestos en ciberseguridad durante el año 2023. Si bien el porcentaje es inferior en comparación con la tendencia mundial (64%), esta demostración de intenciones por parte de las pymes de mejorar su ciberseguridad arroja un alto grado de compromiso.

Así pues, existe voluntad por parte de las empresas españolas de resolver las carencias. Son de las más activas de Europa en la colaboración con empresas dedicadas a la ciberseguridad, tal como sostiene en un informe publicado por Sopra Steria, según el cual el 51% de las colaboraciones que se hacen con este tipo de organizaciones tiene que ver con el ámbito de la ciberseguridad.

Estos datos revelan que las pymes, a menudo, buscan agentes externos para delegar sus departamentos de ciberseguridad, con la finalidad de crecer en este ámbito. Esta colaboración con empresas emergentes dedicadas a la ciberseguridad ayuda a crecer digitalmente, desarrollando nuevas soluciones y destacando frente a la competencia gracias a las innovaciones que ofrecen.

Por tanto, la externalización se da como una solución recurrente para aquellas pymes que no cuentan con los recursos o con la experiencia suficiente para hacer frente a determinadas materias de seguridad. La formación y concienciación en ciberseguridad de todos los empleados es fundamental y debe ser una prioridad para las empresas, actuando como la primera línea de defensa.

Aunque la subcontratación de servicios es una estrategia válida para pymes que carecen de recursos o experiencia específica, debe considerarse como un complemento a una sólida formación interna y no como un sustituto de la misma. Según un informe elaborado por PwC España, el 86 % de las organizaciones españolas considera que sus empleados carecen de una cultura de ciberseguridad acorde a las necesidades. Ello explica que muchas compañías no hayan puesto el foco suficiente en la formación y concienciación de sus empleados.

INCIBE ayudó a formar a más de 100.000 personas en materia de ciberseguridad durante el año 2022. Mediante iniciativas como los MOOC de ciberseguridad para micropymes y autónomos, ENISE o Academia Hacker, se ha contribuido a mejorar el panorama de formación existente en los autónomos y pymes españoles.

La formación en materia de ciberseguridad es un elemento crucial para resolver la problemática a la que se enfrentan los autónomos y pymes de nuestro país.

Pasos para Establecer un Entorno Seguro

Entonces, ¿qué pueden hacer las empresas para establecer un entorno seguro? Muchas veces, una pequeña o mediana empresa nombra a una persona como responsable de la configuración de la seguridad de la información. ¿Y si esta persona se va? Las cosas se desmoronan.

Las recomendaciones operativas y regulatorias en materia de ciberseguridad comienzan por fortalecer los fundamentos. Medidas como la autenticación multifactor, las copias de seguridad periódicas y la aplicación constante de parches de seguridad reducen de forma significativa una gran parte del riesgo. Es igualmente importante vincular la ciberseguridad con el cumplimiento normativo.

Para las organizaciones que no cuentan con grandes equipos internos, la externalización puede ser una estrategia eficaz. Finalmente, disponer de un plan de respuesta a incidentes y ponerlo a prueba mediante ejercicios es esencial.

Medidas preventivas:

• Actualizaciones de seguridad: Mantener el software actualizado es una medida de prevención clave para proteger los sistemas y los datos.
• Firewalls y soluciones de seguridad endpoint: Ayudan a bloquear amenazas antes de que comprometan los sistemas. Además, las PYMEs deben considerar el uso de sistemas de detección y prevención de intrusiones (IDS/IPS).
• Contraseñas Seguras y Autenticación Multifactor: El uso de contraseñas seguras y la autenticación multifactor protegen el acceso a cuentas y sistemas. También es recomendable emplear gestores de contraseñas para facilitar su administración.
• Backups Automáticos: Realizar backups automáticos garantiza la disponibilidad de datos en caso de ataque o fallo del sistema. Las copias de seguridad deben almacenarse en ubicaciones externas a la red corporativa para evitar su cifrado en ataques de ransomware.
• Formación y Concienciación: Educar a los empleados sobre amenazas cibernéticas y buenas prácticas reduce la vulnerabilidad frente a ataques.

123456 no es una contraseña segura. Tampoco lo es Password123. Las recomendaciones son que una contraseña debe consistir en una combinación de un mínimo de 12 letras, números y caracteres especiales. Así que fiI3d%j")40M podría ser una buena opción. Es igualmente importante mantener esas contraseñas seguras, ya sea memorizándolas o utilizando un gestor de contraseñas.

Sus empleados son su última barrera, pero también pueden ser su punto débil. Después de todo, es normal que los humanos cometan errores. Haga de la formación en seguridad una prioridad. También es importante dar directrices sobre BYOD (Bring Your Own Device). ¿Están los empleados autorizados a instalar sistemas de la empresa en sus propios dispositivos, pueden acceder a su red y a su WiFi?

La seguridad nunca es una solución única, ni una sola táctica le protegerá. Invierta en software antivirus y antispyware. Configure la protección del firewall. Gestione el acceso con una autenticación multifactorial. Cifre sus datos en reposo y en tránsito. Firme sus documentos y correos electrónicos. Todos estos elementos le ayudarán a construir su línea de defensa.

GlobalSign puede ayudar a su pequeña o mediana (¡y también a la grande!) empresa a desarrollar un entorno de seguridad sólido.

Cualquier empresa, ya sea una gran corporación o una pequeña pyme, gestiona información de gran valor no solo para la propia empresa, sino también para los ciberdelincuentes. Haciendo caso al dicho de "Más vale prevenir que curar", hoy te hablamos de las 4 principales ciberamenazas más comunes en la PYME y cómo puedes evitarlas.

• El phishing es una forma de fraude en la que un atacante envía un mensaje por correo electrónico u otros canales de comunicación electrónica, fingiendo ser una persona o empresa de buena reputación. Una táctica común de phishing es enviar un correo electrónico con un remitente falso, lo que sugiere que el mensaje proviene en una fuente fiable. La protección en el momento de hacer clic evitará que los ciberdelincuentes redirijan enlaces aparentemente seguros a sitios web inseguros. Cada vez que se hace clic en un enlace, se comprueba en tiempo real. Si se sabe que el destino es malicioso, se bloquea. Cada vez que un usuario hace clic en un enlace con una reputación desconocida, el sistema comprueba el destino. Mediante el aprendizaje automático y las técnicas de análisis avanzadas, el sistema identifica señales que indican que un remitente de correo electrónico puede no ser quien dice ser. Con este método, puedes mantener a los atacantes fuera de tu entorno, incluso si se descifra una contraseña mediante un ataque de phishing.
• El ransomware es un tipo de software malicioso que busca secuestrar tus archivos y restringir el acceso a ellos a menos que se realice un pago. Este tipo de malware utiliza el cifrado para bloquear documentos, hojas de cálculo, imágenes, vídeos y otros archivos importantes. Es posible interceptar y escanear mensajes con archivos adjuntos desconocidos. Opta por una solución que no entregue el archivo adjunto si detecta actividad sospechosa. Usa una solución que evite el acceso no autorizado a carpetas comunes, como Escritorio y Documentos. Independientemente de cuántas medidas tomes, es importante ponerse en lo peor. ¿Qué pasaría si tu empresa es víctima de un ataque de ransomware?
• Bring your own device (BYOD) se refiere a la política de permitir que los empleados usen sus propios dispositivos (portátiles, tablets y smartphones) para acceder a la información y las aplicaciones de la empresa. A veces a los usuarios les gusta copiar texto del correo electrónico de la empresa y pegarlo en su teléfono u otro lugar no seguro. O bien es posible que deseen guardar una hoja de cálculo de datos de clientes en un sistema de almacenamiento personal en el cloud (como Dropbox). En algunos casos, debes eliminar los datos de la empresa de forma remota, por ejemplo, si un dispositivo se pierde o alguien lo roba, o si un empleado abandona la empresa.
• En nuestro mundo híbrido colaborativo, los archivos que contienen información confidencial de la empresa no permanecen dentro de las cuatro paredes de la oficina. Los empleados pueden descargar un archivo en una unidad USB para poder trabajar en él desde casa. O bien pueden enviar información financiera a su gestor. Por supuesto, hay información que no deseas que se exponga online. Para asegurarte de que solo el destinatario previsto de un correo electrónico pueda acceder a la información, utiliza controles como «No reenviar» o «No imprimir». Si de verdad quieres optimizar la seguridad, puedes cifrar un mensaje de correo electrónico (incluidos los archivos adjuntos), para que solo el destinatario pueda leerlo. Algunos archivos, como una hoja de cálculo que contiene los nombres y la información de contacto de tus clientes, no pueden caer en las manos equivocadas. ¿Qué pasa si un empleado envía un archivo por correo electrónico a alguna persona ajena a la empresa o lo guarda en su ordenador personal? Siempre debes mantener el control de tus datos.

En este sentido, con nuestra solución Besafe 365, las empresas pueden proteger su entorno laboral de manera integral. Si necesitas ayuda en la protección de tu entorno Microsoft, no dudes en ponerte en contacto con nosotros.

Amenaza	Descripción	Medidas Preventivas
Phishing	Engaño a través de correos electrónicos o mensajes falsos para obtener información confidencial.	Formación del personal, protección al hacer clic, verificación de remitentes.
Ransomware	Secuestro de archivos con exigencia de rescate.	Escanear archivos adjuntos, evitar acceso no autorizado a carpetas, copias de seguridad.
BYOD (Bring Your Own Device)	Uso de dispositivos personales para acceder a información de la empresa.	Políticas claras, eliminación remota de datos, control de acceso.
Fuga de Información	Exposición de información confidencial fuera de la empresa.	Controles de no reenviar/imprimir, cifrado de correos electrónicos, control de datos.

Otros Desafíos Operativos para las PYMES

Además de los riesgos de ciberseguridad, las PYMES enfrentan otros desafíos que pueden afectar su viabilidad y crecimiento:

• Falta de Profesionalidad: Para muchas PYMES resulta dificil mantener un nivel adecuado de profesionalidad en sus operaciones. La falta de experiencia o la ausencia de prácticas comerciales eficientes pueden afectar la reputación de la empresa y la retención de clientes.
• Competencia por el Talento: La competencia por el talento es feroz, y las PYMES a menudo se encuentran luchando para atraer y retener a profesionales de alto nivel.
• Acceso a Financiación: La falta de acceso a financiación convencional es uno de los problemas más recurrentes para las PYMES.
• Retrasos en los Pagos: Los retrasos en los pagos de clientes pueden impactar negativamente en la liquidez de una PYME.
• Marketing Ineficaz: Las PYMES a menudo luchan por destacar en un mercado complejo y competitivo sin las estrategias de marketing efectivas, lo que puede lastrar la visibilidad y la atracción de nuevos clientes.
• Gestión Ineficiente de Recursos: Una gestión ineficiente de recursos, ya sean humanos, financieros o tecnológicos, puede tener un impacto significativo en el rendimiento general de una PYME.
• Resistencia al Cambio: La resistencia al cambio y la falta de inversión en tecnología pueden dejar a las PYMES rezagadas en un mundo empresarial cada vez más digitalizado.
• Cumplimiento Normativo: Las PYMES a menudo enfrentan desafíos para cumplir con las regulaciones y normativas locales e internacionales.
• Problemas de Logística: Las dificultades en la logística y la cadena de suministro pueden generar retrasos en la entrega de productos y servicios.

La realidad es que ninguna pyme está completamente a salvo. Sin embargo, sí puede reducir drásticamente su exposición si adopta una mentalidad preventiva. Evaluar los riesgos, formar al personal, mantener sistemas actualizados y contar con un plan de respuesta ante incidentes son pasos esenciales.