Tradicionalmente, asociamos los ciberataques a las grandes corporaciones o gobiernos, pero la realidad es que cualquier empresa, por pequeña que sea, puede ser víctima de un ciberataque. Dicen las estadísticas que el 45% de las pymes españolas suspende en ciberseguridad y son consideradas ‘cibernovatas’. Y recordemos que las pymes suponen el 95% del tejido empresarial español.
Para hacer frente a esta problemática, las empresas deben reconocer, sin paños calientes, que deben aumentar agresivamente su inversión en tecnología. Las pymes españolas son conscientes de ello y han aumentado su presupuesto de TI en un 56%, pasando de 95 millones de euros en 2020 a 149 millones de euros en 2021. Y el 20% de ese dinero va destinado a ciberseguridad. Seis puntos respecto al año anterior.
Sin embargo, no es suficiente. Las empresas españolas todavía afrontan muchos desafíos. España se ha convertido en 2020 en el tercer objetivo más atractivo para los ciberdelincuentes, según un estudio realizado por Ironhack acerca de los países más amenazados por los ciberdelincuentes y los piratas informáticos en 2020. Sufre una media de 40.000 casos al día de media.
El sector asegurador es consciente de ello, y desde hace años, hemos asistido a la explosión del seguro de ciberriesgo: una solución aseguradora completa frente a la amenaza intangible de los ciberriesgos actuales. Estos seguros dan cobertura tanto a los daños propios que puedan sufrir la empresa asegurada, como a los perjuicios económicos causados a terceros y a los propios empleados.
Y pese a que estos productos constituyen una de las mejores prevenciones contra los perjuicios económicos derivados de un ciberataque, siempre es deseable evitar llegar al punto en el que tengamos que declarar un siniestro. Asi que a continuación te mostramos los principales ciberataques que a día de hoy se lanzan contra las empresas españolas y la forma de evitarlos.
Spyware
El spyware, al que a veces también se le llama spybot, es un software malicioso que se suele instalar en un dispositivo tuyo sin tu permiso. Su función, una vez instalado, es la de recopilar sigilosamente información de ese dispositivo transmitiéndola al ordenador del ciberdelincuente. Dicha información puede estar formada por datos personales, contraseñas, acceso a cuentas bancarias, etc.
En definitiva, se trata de software espía y malicioso capaz de acceder a toda información privada que gestiones desde tu dispositivo, que puede ser un ordenador, un teléfono móvil o una tableta electrónica.
Generalmente, este software malicioso se instala a través de vulnerabilidades en tu sistema operativo, mensajes de marketing engañoso o bien viene camuflado dentro de otro software de procedencia dudosa (por ejemplo, software pirata).
El spyware se ha hecho especialmente popular gracias a la telefonía móvil y generalmente se utiliza para robar contraseñas (puede ser capaz de registrar las pulsaciones de tu teclado cuando escribes una contraseña), credenciales bancarias, datos personales, historial de navegación o ficheros con información comprometedora.
Si tu equipo está infectado con un spyware es posible que no seas consciente pues este software está diseñado para mantenerse invisible para el usuario. La mejor defensa es la prevención a través de las siguientes medidas:
- No abrir correos electrónicos de remitentes desconocidos.
- No descargar ficheros que no procedan de fuentes fiables.
- Si puedes, antes de descargar un fichero coloca el puntero del mouse encima para comprobar que un enlace dirige a una web conocida.
- Mantén tu sistema operativo actualizado.
- Utiliza algún antivirus con protección en tiempo real.
Phishing
El phising consiste en un engaño para inducirte a compartir con el ciberdelincuente información confidencial como contraseñas o números de tarjetas de crédito. Hay muchas formas de conseguirlo, pero la más popular consiste en un mensaje de correo electrónico o SMS que suplanta la identidad de una persona u organización de confianza (un banco, la Agencia Tributaria, un compañero de trabajo…). El mensaje suele estar diseñado para inducirte a visitar una web enlazada en el mismo que te pedirá algún tipo de información personal (tu contraseña, nu número de tarjeta, etc).
El phising puede ser una de las formas más peligrosas de ciberataque y sin embargo es una de las más sencillas de llevar a cabo. A menudo son ataques perfectamente dirigidos a una persona o empresa en concreto, ya que el ciberdelincuente se ha dedicado previamente a estudiar a su presa.
Últimamente también se ha popularizado el phising telefónico, que consiste en una llamada de teléfono del ciberdelincuente haciéndose pasar por alguien de tu confianza que necesita verificar algún dato tuyo.
Según un informe de 2016 de una investigación sobre el tema, el spear phishing (un solo tipo de phising de los muchos que hay) fue responsable del 38% de los ciberataques en las empresas participantes durante 2015.
La mejor forma de prevenir ataques de phising es seguir los siguientes consejos:
- No abras emails de desconocidos.
- No pulses enlaces dentro de un email a no ser que sepas con seguridad a donde llevan.
- Si lo haces y te lleva a un sitio web, comprueba su certificado HTTPS.
- Desconfía de emails con ofertas difíciles de rechazar.
Ransomware
Es uno de los ciberataques más de moda pues al haber afectado a muchas grandes empresas a menudo aparece en las noticias.
El ramsonware es un software malicioso que se suele instalar en un dispositivo tuyo sin tu permiso, de forma parecida al Spyware. A veces, el software entra en nuestro ordenador simplemente visitando una web infectada o maliciosa.
Cuando se activa, informa al usuario a través de su pantalla de que ha bloqueado todos sus archivos bajo una clave de cifrado, y sólo podrá recuperarlos bajo pago de una cifra económica. No es recomendable pagar esta cifra pues la mayoría de las veces está documentado que no se recuperan los ficheros y además se pierde el dinero. Así que nuevamente la mejor defensa es la prevención:
- Realiza copias de seguridad de todos tus datos, de forma regular y en dispositivos externos y separados de los ordenadores.
- Mantén actualizado tu sistema operativo pues a menudo este software malicioso utiliza vulnerabilidades del mismo.
- No abras emails de desconocidos.
- No entres en webs de procedencia dudosa.
- No pulses enlaces dentro de un email a no ser que sepas con seguridad a donde llevan.
- Si lo haces y te lleva a un sitio web, compruebna su certificado HTTPS.
- Desconfía de emails con ofertas difíciles de rechazar.
Denegacion de servicio
Este tipo de ataques buscan degradar la calidad de un servicio online que prestas como puede ser una web o una API. Consiste en saturar dicho servicio con tantas peticiones que los recursos del servidor se agoten y éste se tenga que detener. Ello se consigue distribuyendo el ataque entre muchos dispositivos en internet.
Las medidas que podemos adoptar para prevenirlo entran dentro del ámbito más técnico: ubicar el servidor web en una zona desmilitarizada, disponer de un sistema de detección y prevención de intrusiones, antivirus, cortafuegos, redundancia y balance de carga.
Troyano y gusano
Son los dos malware o software maliciosos más antiguos, pero siguen de actualidad. El troyano se llama así porque está inspirado en el relato de Caballo de Troya. Accede haciéndose pasar por otro tipo de programa inofensivo que, al ser ejecutado, da entrada al ciberdelincuente al control remoto de tu equipo.
El gusano es otro software que una vez está dentro del equipo se propaga rápidamente, realizando copias de sí mismo y alojándolas en diferentes ubicaciones, afectando al mayor número de archivos posible. Esto hace que el rendimiento de tu equipo caiga .
Conclusión
A medida que la tecnología evoluciona y se convierte en la piedra angular del sistema de trabajo de nuestra empresa. La información es un valioso activo intangible. Tan preciada como peligrosa, asl menos si cae en malas manos.
El ciberriesgo ya no es algo propio que se asocia de forma casi exclusiva a las grandes empresas. Cada vez son más PYMES y autónomos los que, conscientes de la importancia del problema, deciden contratar con nosotros un seguro de ciberriesgo.