Es habitual pensar que las empresas pequeñas y los autónomos no resultan atractivos para los hackers. Pero la mentalidad de “no hay mucho que se puedan llevar” es tan común como errónea si tenemos en cuenta la realidad de ahí fuera. Por ejemplo, en 2017 más de la mitad de las pymes españolas sufrieron algún ciberataque, por tanto es necesario conocer unos mínimos sobre ciberseguridad para pymes y autónomos.
¿Por qué las empresas pequeñas sufren tantos ataques (o más) como las grandes? Por regla general, las empresas más pequeñas tienen menos medidas de seguridad, lo que las convierte en más vulnerables. Es decir, los atacantes no tienen que esforzarse demasiado para romper las barreras de pymes y los autónomos. Es más, algunos de ellos incluso automatizan los ataques para lograr alcanzar más objetivos.
Si tienes una pyme o eres autónomo y te falta presupuesto o conocimiento para implementar ciertas medidas de ciberseguridad en tu negocio, sigue leyendo.
Cuáles son los tipos de ataques más comunes a pymes
Como repasaremos a lo largo de este artículo, es importante no solo implementar medidas de seguridad para evitar ataques sino también poner en marcha acciones que garanticen, en caso de sufrir un ataque, una rápida vuelta a la normalidad.
Estos son los tipos de ataque más comunes que pueden sufrir las pymes y los autónomos.
Suplantación de identidad
También conocida como phishing, este método fraudulento consiste en pescar datos personales (contraseñas, datos de tarjetas de crédito, claves o números de cuentas bancarias, entre otros) utilizando como cebo una identidad falsa en internet.
Esta estafa se camufla bajo un correo electrónico enviado, supuestamente por un banco o una gran empresa. En este correo se nos pide que accedamos al área de cliente de la web para actualizar nuestros datos, participar en promociones especiales o mejorar tu seguridad (irónico, ¿verdad?). En realidad, lo que están haciendo es robando nuestros datos bancarios y operar en nuestro nombre.
Utilizamos el correo para todo, y muchas veces, también navegamos en la red corporativa para asuntos personales. Por esto, si tus empleados no están concienciados con lo que podría suponer un ataque para tu empresa, es importante que comiences a formarlos.
Rootkit
Un rootkit es un tipo de software que permite a quien lo instala tener acceso a un sistema sin que el propietario lo detecte ya que, precisamente, corrompe las aplicaciones que deberían detectarlo.
Se utiliza para muchos propósitos, como instalar puertas traseras para entrar en más ocasiones o realizar tareas sin el conocimiento del propietario, entre otros.
A pesar de que existen muchos tipos de rootkits, te interesa saber que son muy difíciles de detectar porque la mayoría de las veces pasan desapercibidos.
Denegación de servicio o DdoS
Aunque este tipo de ataques no suelen ser comunes entre las Pymes, sí que pueden suponer una importante pérdida de recursos para la empresa.
Un ataque de denegación de servicio consiste en sobrecargar un sistema con peticiones hasta bloquearlo.
Son muy conocidos los que han sufrido empresas de gran tamaño que dejan a millones de usuarios sin poder ver su serie favorita o sin acceso a su correo electrónico. Pero nadie, ni las pymes ni los autónomos, está a salvo de este tipo de ataques.
La buena noticia es que un buen firewall –te hablamos de qué es más adelante– es capaz de detener un ataque de este tipo.
Medidas de ciberseguridad para pymes y autónomos
Nadie está libre de sufrir un ataque y, desgraciadamente, los datos avalan que las pymes y los autónomos creen que la ciberseguridad es un más un gasto que una inversión.
A pesar de que tú creas que no hay mucho que robar, algunos ataques podrían impedir que tu empresa siga funcionando, lo que es lo mismo que perder dinero. ¿Te imaginas tener parados los pedidos de tu tienda porque no puedes emitir facturas o que tus archivos estén secuestrados y te están pidiendo un rescate?
Quizás lo que tenga tu empresa te puede parecer poco, pero el coste de no poder seguir operando con normalidad es muy alto.
1. Usa un cortafuegos
Un cortafuegos o firewall (en inglés) es la parte de un sistema informático que está diseñada para permitir las comunicaciones autorizadas y, al mismo tiempo, bloquear los accesos no autorizados. Y también es la primera línea de defensa en un ciberataque.
Aparte del firewall estándar que incluye cualquier sistema operativo, muchas compañías optan por instalar cortafuegos internos para brindar protección adicional y tener una buena ciberseguridad para pymes.
2. Documenta tus políticas de ciberseguridad
Imagina que estás trabajando tranquilamente en tu puesto y que aparece un mensaje en tu pantalla que afirma que has sido atacado y que debes pagar un rescate para recuperar tu información. ¿Sabrías que hacer? ¿Desconectar el ordenador de la red? ¿Apagar el router? ¿Llamar a la policía?
Contar con un protocolo de actuación es algo que deberías tomarte en serio. De esta forma tendrás una lista con todos los pasos que deberán seguir tus empleados en una situación comprometida.
3. Educa a tus empleados
Los errores humanos también son la causa de que un ataque prospere. Una persona que no sigue los protocolos de seguridad, alguien que se conecta a una red que no debe o un empleado descontento pueden ser tu mayor amenaza de ciberseguridad –y no un hacker en la otra punta del mundo–.
Por eso es importante que los empleados de tu empresa cuenten con formación periódica, ya que las técnicas y tipos de ataques cambian se actualizan con mucha frecuencia y es muy importante reciclar y actualizar conocimientos.
4. Ten cuidado con los móviles
Debes prestar especial atención a los móviles, tabletas o smartwatches. Al contrario de lo que pueda parecer, estos dispositivos son más vulnerables que los ordenadores genéricos.
Si vas a permitir el acceso a la red de la empresa a este tipo de dispositivos, es esencial que lo hagas con planificación. Una solución puede ser crear diferentes redes VLAN para proteger unas redes de otras.
Por ejemplo, puedes crear una VLAN para dar acceso a los invitados a tu red corporativa –como clientes esporádicos que visiten tu oficina– y otra para los trabajadores de la empresa.
5. Haz cumplir las prácticas de contraseñas seguras
A todos nos resulta tedioso cambiar la contraseña de nuestros dispositivos. Sin embargo, según un estudio, los datos indican que más de la mitad de los robos de datos se produjeron precisamente por culpa de contraseñas perdidas, robadas o débiles.
Por eso, tener una contraseña fuerte y segura y cambiarla con frecuencia son las dos mejores medidas preventivas que puedes llevar a cabo.
6. Instala antivirus y software antimalware
No tienes por qué dar por sentado que tus empleados saben que no deben abrir correos electrónicos sospechosos. De hecho, este tipo de ataque no sería tan efectivo si no fuera porque mucha gente pica.
Para minimizar el riesgo, es importante incluir dentro del plan de ciberseguridad de tu empresa un antivirus e instalarlo en todos los dispositivos.
7. Haz una copia de seguridad de todos tus datos de forma regular
Aunque es importante adoptar todas estas medidas de seguridad, no siempre es posible prevenir un ataque. Por eso, una vez que un ataque ha prosperado, lo más importante es tener las herramientas para recuperarse cuanto antes.
Para esto es imprescindible que dispongas de una copia de seguridad periódica de todos los datos que manejáis en la empresa: documentos de texto, hojas de cálculo, bases de datos, archivos financieros, archivos de recursos humanos o archivos de cuentas por cobrar o por pagar, entre otros.
Si quieres tener una buena copia de seguridad, así es como debería ser:
- Periódica. De nada sirve tener una copia si no la mantienes actualizada. Establece los días para hacerla, ¡y no lo pospongas!
- En distintos soportes y lugares. Guardar una copia en la nube y otra en un disco duro externo sería una buena opción.
- Automática. Si no tienes tiempo para hacer la copia de seguridad, ¡usa algún programa que lo haga por ti!
- Cifrada. Si albergas información confidencial es muy importante que la cifres. Si pierdes el dispositivo o te hackean, esos datos tan cruciales no se verán comprometidos.
La seguridad es una inversión en tu negocio, seas una pyme o un autónomo, ya que los ciberataques son cada día más sofisticados. Por eso, debes centrar tus esfuerzos en adoptar medidas preventivas, formar a los empleados y realizar copias de seguridad.