Las principales vulnerabilidades de una pyme en materia de ciberseguridad
La ciberseguridad continúa siendo una asignatura pendiente para la mayoría de las empresas españolas. Según el reporte de Hiscox, se estima que la mitad de las empresas españolas ha sufrido algún tipo de ciberataque en el año 2023. Además, destaca el exponencial crecimiento de los ciberataques a pymes, las cuales son las que más han aumentado en proporción el número de incidentes de seguridad registrados.
Un aspecto relevante al respecto es la preparación y la percepción de la ciberseguridad en estas empresas. Solo el 61% de las empresas con menos de 250 empleados se sienten seguras de su preparación en ciberseguridad. Esto sugiere que las pequeñas empresas pueden estar menos equipadas, tanto en términos de recursos como de formación, para enfrentar los retos de la seguridad digital.
Las estadísticas de INCIBE refuerzan esta tendencia, dado que durante el año 2022 se gestionaron un 9% más de incidentes que el año anterior, un total de 118.000. Gran parte de esos ataques fueron dirigidos a pymes. 1 de cada 3 de estos fueron filtraciones de datos.
¿Qué es lo que falla? ¿Hacia dónde camina la ciberseguridad en España?
Los informes señalados ponen de manifiesto el talante y la entereza con que los autónomos y pymes españolas afrontan el reto de mejorar su cultura de la ciberseguridad. Las empresas españolas están incrementando sus esfuerzos por ponerse al día en esta materia, pese a que aún queda un largo camino por recorrer.
Según un estudio publicado por Trend Micro, un 53 % de las empresas españolas tuvo entre sus planes aumentar los presupuestos en ciberseguridad durante el año 2023. Si bien el porcentaje es inferior en comparación con la tendencia mundial (64%), esta demostración de intenciones por parte de las pymes de mejorar su ciberseguridad arroja un alto grado de compromiso.
Así pues, existe voluntad por parte de las empresas españolas de resolver las carencias. Son de las más activas de Europa en la colaboración con empresas dedicadas a la ciberseguridad, tal como sostiene en un informe publicado por Sopra Steria, según el cual el 51% de las colaboraciones que se hacen con este tipo de organizaciones tiene que ver con el ámbito de la ciberseguridad.
Estos datos revelan que las pymes, a menudo, buscan agentes externos para delegar sus departamentos de ciberseguridad, con la finalidad de crecer en este ámbito. Esta colaboración con empresas emergentes dedicadas a la ciberseguridad ayuda a crecer digitalmente, desarrollando nuevas soluciones y destacando frente a la competencia gracias a las innovaciones que ofrecen.
Por tanto, la externalización se da como una solución recurrente para aquellas pymes que no cuentan con los recursos o con la experiencia suficiente para hacer frente a determinadas materias de seguridad.
La formación y concienciación en ciberseguridad de todos los empleados es fundamental y debe ser una prioridad para las empresas, actuando como la primera línea de defensa. Aunque la subcontratación de servicios es una estrategia válida para pymes que carecen de recursos o experiencia específica, debe considerarse como un complemento a una sólida formación interna y no como un sustituto de la misma.
Según un informe elaborado por PwC España, el 86 % de las organizaciones españolas considera que sus empleados carecen de una cultura de ciberseguridad acorde a las necesidades. Ello explica que muchas compañías no hayan puesto el foco suficiente en la formación y concienciación de sus empleados.
INCIBE ayudó a formar a más de 100.000 personas en materia de ciberseguridad durante el año 2022. Mediante iniciativas como los MOOC de ciberseguridad para micropymes y autónomos, ENISE o Academia Hacker, se ha contribuido a mejorar el panorama de formación existente en los autónomos y pymes españoles.
La formación en materia de ciberseguridad es un elemento crucial para resolver la problemática a la que se enfrentan los autónomos y pymes de nuestro país.
Principales amenazas para las pymes españolas
- Phishing/suplantación de identidad. El phishing es una técnica mediante la cual los atacantes se hacen pasar por entidades legítimas para engañar a las víctimas y obtener información confidencial, como nombres de usuario, contraseñas y datos bancarios. Generalmente, esto se hace a través de correos electrónicos, mensajes de texto o sitios web falsificados que parecen legítimos. Visita el siguiente enlace para conocer mejor esta amenaza.
- Ransomware/secuestro virtual de información. El ransomware es un tipo de software malicioso que cifra los archivos de un dispositivo, impidiendo al usuario acceder a ellos. En este tipo de ataque los ciberdelincuentes demandan a posteriori un rescate a cambio de la clave de descifrado. Visita el siguiente enlace para conocer mejor esta amenaza.
- Ataque a la cadena de suministro. Los ataques a la cadena de suministro son tácticas maliciosas dirigidas a infiltrarse en una organización a través de sus proveedores o socios comerciales. Estos ataques explotan las relaciones de confianza entre empresas y sus proveedores, lo cual puede derivar en un robo de datos, la interrupción de las operaciones, etc. Visita el siguiente enlace para conocer mejor esta amenaza.
- Falta de formación/políticas de seguridad. Tal y como se ha desarrollado a lo largo de este artículo de blog, se trata de uno de los elementos primordiales para mejorar la ciberseguridad de las pymes. La formación educa a los empleados sobre las mejores prácticas de seguridad, cómo reconocer y responder a amenazas cibernéticas, y la importancia de seguir protocolos de seguridad. Las políticas de seguridad, por su parte, proporcionan un marco claro y directrices sobre cómo manejar y proteger la información y los activos de la empresa. Visita el siguiente enlace para conocer más acerca de estos recursos.
- Contraseñas débiles. Las contraseñas débiles son aquellas que son fáciles de adivinar o descifrar debido a su simplicidad o previsibilidad. Estas contraseñas, que carecen de variedad en caracteres (como mayúsculas, minúsculas, números y símbolos) y a menudo utilizan palabras comunes, fechas de nacimiento o secuencias simples, como “123456”, representan un riesgo de seguridad significativo, ya que permiten a los atacantes acceder más fácilmente a cuentas y sistemas protegidos. Visita el siguiente enlace para conocer mejor esta amenaza.
- Actualizaciones de seguridad. Las actualizaciones de seguridad son un elemento crítico, ya que corrigen vulnerabilidades y fallos de software que pueden ser explotados por atacantes para realizar actividades maliciosas. Mantener el software actualizado es una medida de prevención clave para proteger los sistemas y los datos. Visita el siguiente enlace para conocer mejor esta amenaza.
Medios para ayudar a implementar medidas de ciberseguridad de forma fácil
Con el fin de afrontar el gran reto del siglo XXI, la ciberseguridad, se han creado multitud de organismos para ayudar y orientar a la ciudadanía, así como a las pymes y autónomos, de manera que puedan afrontar las amenazas y caminar hacia una Red segura.
INCIBE es el organismo idóneo al que pymes y autónomos pueden recurrir en caso de cualquier duda relacionada con la ciberseguridad.
En Protege tu empresa se puede hallar una gran cantidad de información y recursos gratuitos que dan respuesta a las necesidades de los distintos tipos de pymes existentes en España.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).