Según el Estudio de Cibercriminalidad en España del Ministerio del Interior, la ciberdelincuencia en nuestro país crece a ritmos superiores al 35%, especialmente en lo que se refiere al fraude informático, que representa casi un 90% de los delitos. De hecho, según el Sistema Estadístico de Criminalidad, los ciberdelitos suponen ya un 9,9% del total de infracciones penales, comparado con tan solo un 4,6% de 2016. Frente a estas cifras, las infracciones penales en 2020 se redujeron un 19,4% si las comparamos con 2019, probablemente debido al confinamiento. Es decir, los cibercriminales están trasladando su campo de acción al mundo virtual. Y, sin embargo, de acuerdo con un estudio llevado a cabo por Fujitsu, el 45% de los ejecutivos afirma que la mayoría de las personas de su organización cree que la ciberseguridad no les afecta. En el estudio se resalta que muchas organizaciones pueden haber creado accidentalmente una cultura en la que los empleados son más reacios que nunca a informar sobre posibles problemas de seguridad, especialmente tras la introducción del trabajo a distancia, ya que muchas organizaciones aún no han revisado su seguridad adecuadamente.
Ante esto el gabinete Soler GDI, especializado continuidad de negocio y gestión de crisis informáticas, lanza una serie de preguntas que toda Pyme debe hacerse para valorar correctamente los riesgos a los que se expone en caso de no contar con una protección adecuada o con un plan de continuidad de negocio adaptado a sus necesidades.
1. ¿Qué riesgo tenemos de ser atacados por los ciberdelincuentes?
Para responder a esta pregunta debemos cuestionarnos si tenemos algún equipo conectado a Internet, ya sea un ordenador de sobremesa, una tablet, un teléfono móvil o un portátil. Si no tenemos ningún equipo conectado, no corremos riesgos en principio (el peligro podría llegar desde la conexión de discos duros externos o de USB infectados). Pero “si alguna de nuestras herramientas de trabajo se encuentra conectada”, tendremos que preguntarnos si utilizamos correo electrónico, si navegamos por la web o si usamos alguna aplicación. De nuevo, si la respuesta es negativa, el riesgo de ser atacados es bajo, pero si usamos estas herramientas y estamos conectados a Internet, ya existe una vía de entrada para los ciberataques.
2. ¿Qué riesgos puede sufrir mi organización?
Los ordenadores, tabletas o teléfonos se utilizan normalmente para almacenar información útil para el desempeño de las funciones del negocio. Si no lo usamos para ello, el riesgo ante un ataque es bajo, pero si el ataque puede provocar que se pierdan o se manipulen los datos de empleados, facturación, clientes, propuestas, estrategias… el riesgo existe. El conflicto se puede agravar si esa información no es propia sino de terceros, ya que existen responsabilidades penales si no se custodian adecuadamente los datos.
3. ¿Cuánto me puede costar resolver un ciberataque y volver a la normalidad?
En el caso de que los ciberdelincuentes hayan destruido o modificado los archivos, el coste puede ser muy alto si no se dispone de copias de seguridad. Y según Acens, solo el 27% de los españoles realiza copias periódicas de seguridad.
Si el ataque supone el secuestro de los datos, de nuevo, sin copia de seguridad, la única forma de recuperarlos será pagando el rescate que soliciten los ciberdelincuentes, aunque las Fuerzas y Cuerpos de Seguridad del Estado recomiendan no pagar nunca esos rescates porque no se garantiza la recuperación de la información.
Finalmente, si lo que ocurre es que se roba información, el coste puede ser muy elevado si se trata de datos sensibles (contraseñas, PIN de tarjetas, CIF o DNI…). El objetivo de estos robos suele ser reutilizar esa información para cometer delitos en nombre de la víctima por lo que nos podemos ver en unos meses acusados de haber cometido un delito del que ni siquiera teníamos constancia.
Las pymes son el objetivo del 70% de los ciberataques
“Los ciberdelincuentes aprovechan cualquier situación para ‘hacer negocio’. En 2020, de repente, tuvimos que trasladar prácticamente todos los negocios al mundo virtual y no todas las empresas estaban preparadas para ello. Esto fue aprovechado por los criminales, que han impulsado sus operaciones de robo de identidades, de secuestro de la información o ataques de denegación de servicio”, afirma José María Soler, director general de Soler GDI.
Según la Guardia Civil, las Pymes son el objetivo del 70% de los ciberdelitos en España. “Por eso, es fundamental que las empresas, especialmente las medianas y las pequeñas, se adapten lo antes posible a esta situación que perdurará en el tiempo. Para muchas es tarde ya, pero para otras una buena decisión ahora puede salvar su futuro”, concluye Soler.
Para reducir los riesgos -Soler GDI recuerda que el riesgo nulo no existe-, es necesario realizar estudios de la red y confiar en servicios de mantenimiento y actualización permanente, así como instalar soluciones de seguridad perimetral, realizar copias de seguridad periódicas, contar con un sistema de protección ante intrusiones y establecer un plan de continuidad de negocio para tener previsto cómo actuar y mantener operativo el negocio en caso de sufrir un ataque.