Ciberseguridad durante la emergencia sanitaria: ¿Por qué es importante estar preparado para los ataques cibernéticos?

Por: Jason Acuña*

El trabajo remoto y la migración de los procesos hacia entornos digitales se incrementaron durante el período de emergencia sanitaria. Muchas empresas han transformado sus operaciones para adaptarse a la situación actual y seguir brindando sus productos y servicios. Sin embargo, hay algo que no ha cambiado: las amenazas a la seguridad informática. Los cambios vertiginosos que experimentan las empresas provocan que, en algunas ocasiones, la ciberseguridad pase desapercibida, en especial en las pequeñas y medianas empresas, uno de los segmentos más vulnerables y que presenta mayores dificultades para recuperarse luego de un incidente.

El uso de la nube, la digitalización de procesos y el manejo de documentos en línea facilitan la adaptación de las pymes al teletrabajo, pero también representan importantes riesgos en el contexto actual. Un cambio radical en el manejo de las actividades de una empresa representa múltiples riesgos, como la vulneración de su información, comprometiendo la estabilidad de un negocio.

La seguridad cibernética es un factor clave en las empresas de distinta escala, pero un gran número de propietarios de negocios no lo asumen con la seriedad que exige esta amenaza. Esta situación es más notable entre las pymes. En 2019, casi el 30% de los propietarios de pequeñas y medianas empresas en la región no se preocupaban en absoluto de las amenazas a la seguridad cibernética, según los resultados de la encuesta anual Visión Pymes, realizada por Brother International Corporation[1].

Al menos uno de cada siete propietarios de negocios encuestados experimentó vulneraciones en su seguridad cibernética, según el estudio Visión Pymes de 2019. Esta cifra representa un 25% más que la edición anterior de la encuesta[2]. Actualmente, los riesgos son mayores, pues los delincuentes cibernéticos podrían aprovechar la situación actual para atacar a las empresas, a través del personal que labora de forma remota desde sus hogares.

Como propietario de una pequeña empresa y alguien con experiencia en el manejo de aspectos de ciberseguridad, considero que todos los líderes empresariales o dueños de un negocio emergente deberían estar muy preocupados en estos momentos por la seguridad cibernética y considerarla como una de sus prioridades. Las nuevas dinámicas de trabajo amplían los riesgos de sufrir vulneraciones y comprometer datos, información y activos esenciales de nuestro negocio.

Muchos dueños de pymes creen falsamente que están a salvo de ataques cibernéticos porque son demasiado pequeños para que los delincuentes piensen en ellos. En realidad, las pequeñas empresas tienen igual o mayor riesgo de ser víctimas del delito cibernético durante la emergencia sanitaria. Los ciberdelincuentes reconocen que las pequeñas empresas no invierten tanto en seguridad tecnológica como las grandes organizaciones, lo que las convierte en blancos fáciles. De hecho, atacar a pymes en este contexto puede ser una práctica lucrativa, ya que se encuentran más expuestas.

Según el Informe de Amenazas de Seguridad de Internet realizado por Symantec[3], un nombre o fecha de cumpleaños puede valer hasta USD$1,50 en el mercado negro. Un pasaporte escaneado o una licencia de conducir pueden alcanzar hasta USD$35. Un paquete de identificación completo (nombre, dirección, número de identificación o de seguridad social, dirección de correo electrónico y cuenta bancaria) puede costar hasta USD$100.

El dueño de un negocio con un pequeño número de empleados podría creer que su información privada es insignificante, pero el crimen resulta lucrativo cuando se agrega la información sobre clientes y proveedores. Si una pyme es un proveedor de confianza para una gran empresa u organización, un ciberdelincuente puede atacar a esa empresa a través de la pequeña empresa. Esto le sucedió a un distribuidor líder en los Estados Unidos.

En ese caso, los delincuentes robaron los detalles de las tarjetas de crédito de decenas de millones de personas, infiltrándose en la red de la corporación a través de su proveedor de calefacción y ventilación, al robar las credenciales de acceso de esta empresa a la red del cliente. ¿Querría un dueño de una empresa pequeña ser responsable de que un cliente clave sea hackeado? Si no es así, la seguridad cibernética justifica la inversión.

Invertir en ciberseguridad empieza desde un cambio de mentalidad. Los propietarios de pequeñas empresas deben cambiar su creencia de que los ataques cibernéticos no sucederán y estar alerta es la primera línea de defensa contra los ataques cibernéticos. Una vez que se desarrolla la mentalidad adecuada, los propietarios de pequeñas empresas deben capacitar a sus empleados sobre cómo anticipar y reconocer posibles ataques cibernéticos. Una tarea que representa muchos desafíos, pues la emergencia sanitaria ha elevado el número ataques y las posibilidades de sufrir una vulneración.

Esto implica evaluar los correos electrónicos antes de abrirlos, aprender el uso adecuado de los equipos informáticos y los teléfonos móviles, reconocer cuándo no proporcionar información a terceros. Con este tipo de capacitación, los empleados sabrán qué acciones evitar para proteger la información de la empresa, como abrir un correo electrónico o página web que inicie un ataque cibernético, o proporcionar información a un cibercriminal, que pueda ser utilizada para infiltrarse en su red. Este nivel de seguridad es indispensable mientras una empresa continúe sus operaciones por medio del trabajo remoto.

Es un desafío enorme para una pequeña empresa recuperarse del daño causado por un ciberataque y todavía más en el contexto que estamos atravesando, en donde la factores económicos podrían complicar esta recuperación. Luchar por recuperar la confianza de los clientes y las pérdidas inmediatas, la cantidad de tiempo y recursos necesarios para abordar los problemas resultantes de un ataque, podrían ser significativos. Por ejemplo, la información bancaria y crediticia de una organización podría ser robada, resultando en el desfalco de fondos de la cuenta. Una brecha en la seguridad también puede poner a una pequeña empresa en una gran responsabilidad legal si los clientes y proveedores los demandan por pérdidas, especialmente si no ha implementado y no cumple con las medidas y estándares de seguridad satisfactorios.

Para los propietarios de pequeñas empresas, ya no se trata de considerar si surgirán o no amenazas de seguridad cibernética, sino de pensar en cuándo ocurrirán y tomar las precauciones necesarias. La amenaza está creciendo, junto con las consecuencias, durante la emergencia sanitaria actual. La tecnología moderna es nuestra gran aliada y nos provee formas simples de administrar la protección de datos y la seguridad de la información, que pueden ser muy fáciles de implementar en nuestras nuevas rutinas de trabajo y protegernos de las amenazas que surgen a diario durante la emergencia sanitaria.


*Jason Acuña es fundador y CTO de Outer Space Coders, una empresa de tecnología con sede en Costa Rica centrada en el desarrollo web y móvil, fundada en 2012. También es miembro del Grupo Asesor de Pequeñas Empresas de América Latina para Brother International Corporation.

[1] La encuesta anual, realizada por Brother International Corporation, se llevó a cabo por teléfono con 800 propietarios y gerentes de pequeñas y medianas empresas en Costa Rica, Panamá, Colombia y Ecuador. Las entrevistas fueron completadas entre el 10 de diciembre de 2018 y el 22 de enero de 2019.

[2] La encuesta anual, realizada por Brother International Corporation, se llevó a cabo por teléfono con 801 propietarios y gerentes de pequeñas y medianas empresas en Costa Rica, Panamá, Colombia y Ecuador. Las entrevistas fueron completadas entre el 4 de diciembre de 2017 y el 16 de enero de 2018.

[3] Symantec. Internet Security Threats Report (ISTR). Volumen 24, febrero 2019.