La PyMEs representan más del 90% de las empresas en todo el mundo, generan entre 60% y
70% de las fuentes de empleo y el 50% del PIB nivel mundial, por ello no es exagerado decir
que representan la columna vertebral de la economía global. Ello las hace muy interesantes
para quienes se dedican al fraude digital y, de hecho, existe toda una industria de estafas cuyo
objetivo son los emprendimientos. Por ello el 27 de junio, día de las Pequeñas y Medianas
Empresas, es la ocasión ideal para crear conciencia sobre la relevancia de la ciberseguridad
para este sector.
Los ciberataques no son exclusivos de las grandes empresas, de hecho, durante el último año,
expertos de Kaspersky detectaron un crecimiento en el número de ataques dirigidos a las
PyMEs, siendo Chile (371%) y Colombia (307%) las naciones que tuvieron el mayor
crecimiento porcentual. Sin embargo, fueron México (161%) y Brasil (140%) los países donde
se registraron el mayor número de ataques.
Este incremento en los ataques dirigidos a las PyMEs está directamente relacionado con la
digitalización que ha experimentado el sector y por la falsa creencia de que la ciberseguridad a
menudo puede parecer demasiado complicada y, a veces, innecesaria, especialmente cuando
los emprendedores se enfrentan a muchas responsabilidades. Sin embargo, esta indiferencia
está siendo aprovechada por los ciberdelincuentes que se valen de diversos vectores de
ataque que detallamos a continuación.
El primero es el robo de contraseñas corporativas mediante programas maliciosos
(troyanos). Se produce cuando un empleado descuidado instala un malware con solo hacer clic
en un archivo enviado por correo electrónico o en un enlace fraudulento que se disfraza de
cualquier tarea rutinaria: procesar una solicitud de presupuesto, descargar una factura o un
documento.
El objetivo final de ese malware es obtener acceso a la banca por Internet de la empresa y
obtener la mayor cantidad de dinero posible. Robar empresas es mucho más rentable para el
delincuente, ya que cualquier “PC” mueve más dinero que la mayoría de los consumidores
comunes.
El segundo ataque en línea más común que debe preocupar a las PyMES y se produce al
navegar por Internet. Técnicamente, los delincuentes fuerzan la inserción de código malicioso
(web skimmers) en páginas populares, como tiendas y servicios en línea que necesitan
solicitar detalles de tarjetas de crédito. En esta estafa, el “virus” se oculta mediante la
recopilación de datos de pago de los visitantes para enviárselos al delincuente. Nuevamente,
las tarjetas de crédito corporativas son mucho más rentables, ya que el límite diario es más
alto.
La tercera amenaza son las intrusiones en la red por contraseñas débiles (que son
explotadas en ataques de fuerza bruta – RDP brute force, en inglés) es un problema reciente y
cobró importancia al inicio de la pandemia con la masificación del trabajo remoto tanto para
grandes como para pequeñas empresas. Este ataque implica intentos repetidos y exhaustivos
de adivinar las contraseñas corporativas para acceder a la red. Una vez dentro, el delincuente
buscará datos confidenciales para robar y luego instalará ransomware.
Las estafas de ingeniería social son la cuarta amenaza contra las PyMEs; los formatos más
comunes son el robo de WhatsApp corporativo y las llamadas fraudulentas de delincuentes que
se hacen pasar por empleados del banco para intentar obtener los datos financieros de la
empresa o engañar a los colaboradores para que realicen operaciones bancarias que
beneficien a los estafadores.
La quinta amenaza está dentro de las propias empresas: el robo de datos corporativos por
parte de empleados que abandonan la compañía y que extraen información confidencial.
Un estudio de la compañía reveló que solo el 51% de los líderes de las PyMEs confía en que
sus antiguos empleados no tienen acceso a información de la empresa, mientras que solo el
53% está seguro de que sus excolaboradores no pueden usar las cuentas corporativas.
Una de las causas de esta estafa es el Shadow IT, un fenómeno que ocurre cuando los
empleados usan servicios personales en línea en el trabajo, por ejemplo, para acceder a la lista
de clientes en línea y terminan llevándose esta información cuando se van o son despedidos.
Para protegerse, las PyMEs necesitan encontrar alternativas efectivas que tengan en cuenta
sus necesidades. Por ello, es importante que las tecnologías de protección para este sector
sean fáciles de instalar y administrar pero que al mismo tiempo aseguren la protección
corporativa.
Las tácticas de ciberdelincuencia son cada vez más complejas y sofisticadas. Por lo tanto, con
la transformación digital y la introducción de numerosas tecnologías avanzadas en las
operaciones diarias, incluso de las pequeñas empresas, las medidas de seguridad también
deben evolucionar. Para las pequeñas empresas de hoy, no se trata de si ocurrirá un incidente
de ciberseguridad, sino de cuándo. Contar con personal capacitado, educar a especialistas en
TI y utilizar las últimas herramientas de protección profesional ya no es un lujo; es una parte
imprescindible del desarrollo continuo de cualquier PyME.