Los cibercriminales fijan su objetivo en las pymes

Aunque es cierto que los incidentes de ciberseguridad más notorios se han dirigido a grandes corporaciones, la mayoría de los ataques a compañías españolas van dirigidos a la pymes, de las cuales, menos de la mitad cuenta con las medidas de seguridad adecuadas. Solo en 2014 se produjeron alrededor de 70.000 ataques, una cifra estimada, ya que algunos ataques quedan sin registrarse.

Tal y como explica Francisco José Mateos Ballesteros, consultor de seguridad de Vector Pyme, perteneciente a Vector ITC Group, “las pymes españolas en su mayoría invierten pocos recursos en seguridad, convirtiéndose por tanto en un blanco fácil para los ciberdelincuentes, que buscan principalmente recursos financieros”.

Según un estudio de la organización Anti-Phishing Working Group (APWG), durante la última parte del año se detectaron cerca de 255.000 nuevas amenazas cada día.  El sector del retail y servicios fue el más castigado, al sufrir el 29,37% de los ataques, seguido de los servicios de pago con un 25,13% y de los servicios financieros con un 20,79 %.

Los motivos y métodos a emplear son muy diversos.  Se han producido ataques de robo de información mediante phising, XSS, SQL Inyection… para posteriormente subastar o vender esta información al mejor postor, sin olvidar los ataques puramente vandálicos (DoS, defacement, virus...).

Otro factor por el que las pymes están en el punto de mira de los ciberdelincuentes es porque, según el Directorio Central de Empresas (DIRCE), en 2014 había en España 3.114.361 empresas, de las cuales 3.110.522 (99,88%) eran pymes (entre 0 y 249 asalariados). Es decir, lo que en seguridad informática se conoce como la superficie de ataque, es muy amplia.

Un atacante tendrá en su balanza un 0,12 % de grandes empresas, con buenas medidas de seguridad a las que atacar, pudiendo conseguir grandes beneficios, o bien un 99,88% con malas medidas de seguridad a las que robar poco, pero que en conjunto puede suponer un beneficio mucho mayor. De ahí que la mayoría de los atacantes se inclinen por el objetivo más fácil, las pymes.

Las consecuencias de estos ataques pueden ser muy graves para una pequeña o mediana empresa. Desde la pérdida de reputación corporativa y empresarial, a tener que incurrir en costes de reparación del daño recibido, que a menudo son tan grandes que pueden llevar al cierre de la empresa.

En este contexto, ¿qué puede hacer una pyme para protegerse contra estos ciberdelincuentes? Podría optar por no aplicar las medidas de seguridad adecuadas y confiar en la suerte, una mala decisión empresarial según Vector ITC Group, ya que implica grandes riesgos, y aun no recibiendo ataques, la empresa está sujeta a la legislación vigente y puede estar obligada a cumplir diversos aspectos de seguridad derivados de la LOPD o PCI DSS si maneja datos bancarios.

En menor medida, esto también podría conllevar problemas de posicionamiento, puesto que Google penaliza los resultados de búsqueda de aquellas empresas que descuidan su seguridad por carecer de los certificados correspondientes.