Un criminal del siglo XXI no necesita ir por la calle realizando actos vandálicos. Un ordenador y conocimientos sobre informática son suficientes para dañar los equipos informáticos de una empresa y, con ello, todo su trabajo e información. Se trata del ransomware que, en cuestión de pocos años, se ha convertido en una de las palabras más temidas por los dirigentes.

La dinámica, aparentemente, es sencilla. Un empleado recibe un supuesto correo electrónico de una empresa de mensajería y entra en el enlace para comunicarle donde recibirá su paquete. Sin saberlo, ha descargado un programa de encriptación de datos, quedando éstos totalmente inservibles. Los piratas informan a la compañía de que para recuperarlos deberán pagar un rescate en divisas virtuales y, a cambio, los afectados reciben la clave de cifrado empleada por los ciberdelicuentes.

Si hace cinco años, los ciberataques a pymes se situaban en los 18.000, en 2017 (la última cifra disponible) alcanzaron los 123.000 ataques informáticos, según los datos recopilados por el presidente de la Confederación Española de la Pequeña y Mediana Empresa (Cepyme), Gerardo Cuerva. Una diferencia que deja entrever no solo el crecimiento exponencial que han experimentado este tipo de prácticas en los últimos años, sino también, que se trata de una de las áreas empresariales más expuestas a este tipo de amenazas.

Cualquier fallo de seguridad, aunque sea minúsculo, será rastreado por los hackers con un objetivo: adueñarse de los datos de su ordenador para que se pague el rescate. Con el objetivo de mitigar esta situación y sus riesgos, así como de servir de guía, Cepyme ha elaborado un informe sobre los ciberriesgos y su impacto en las pymes.

“¿Son de interés para alguien mis datos y la información que almaceno en mis dispositivos?, ¿Está adecuadamente protegido mi sistema de información?, ¿He implementado un plan de respuesta a incidentes o de continuidad del negocio si sufro un ataque?, ¿Quépasará si no puedo acceder a los datos o a mis equipos?”. El documento establece que si un usuario no obtiene respuestas satisfactorias a este tipo de preguntas es porque su empresa es vulnerable. “Las fugas de datos son un grave problema hoy en día. Cualquier informe reciente calcula que se tardan casi 200 días en detectar una brecha de seguridad y más de 60 en contenerla”, asegura a DIRIGENTES el Ceo de Countercraft, DavidBarroso.

El experto hace hincapié en los costes económicos derivados de esta brecha y la importancia que juega la seguridad dentro de las organizaciones. Los cibercriminales responden a un perfil muy variado que abarca desde bandas organizadas criminales, lobos solitarios o grupos minoritarios de hacktivistitas y dispone de motivaciones específicas, añade Barroso.

Debe saberse que la contratación de un sistema contra riesgos cibernéticos no aseguran la total protección del sistema. De hecho, los hackers pueden igualmente atacar los sistemas de contabilidad, los ficheros de personal e, incluso, las instalaciones de seguridad y protección.

¿CÓMO PROTEJO A MI EMPRESA?

El informe divide la política de protección de la empresa en tres pilares: factores humanos y organizativos, herramientas de protección y la capacidad de recuperación a través de herramientas de resiliencia. Grosso modo, los aspectos que recoge incluyen la sensibilización del personal en plantilla sobre la importancia de los ciberriesgos, el establecimiento de una política de utilización segura del correo electrónico o la creación de una contraseña con un nivelmínimo de seguridad. Con este último se entiende claves con ocho caracteres que combinen mayúsculas, minúsculas, cifras y símbolos. Sin olvidarse de cambiarla cada cierto tiempo. "En casa no abres la puerta a cualquiera. En el ciberespacio, ¡No abras tus sistemas de información a cualquiera!”, añaden con el objetivo de concienciar del traslado del mundo real al virtual.

¿PUEDO ASEGURAR MI EMPRESA?

Por regla general, los contratos cibernéticos cubren las mismas consecuencias que los seguros de daños materiales (gastos de investigación, recuperación de datos o pérdidas de explotación consecutivas, entre otros) y los divide en accidentales (originados por el ser humano) o voluntarios, que son provocados por actos malintencionados como virus, acceso ilícito a datos personales o confidenciales, ataques por denegación de servicio o programas de encriptación, así como cualquier tipo de intrusión digital no autorizada para robar datos personales o cualquier otra intrusión digital. Además, como complemento, los contratos cibernéticos pueden cubrir otros gastos como los originados por la denuncia del incidente o los ocasionados para gestionar la crisis como la preservación de la reputación y la imagen de la sociedad.

¿QUÉ DEBO HACER EN CASO DE SUFRIR UN ATAQUE CIBERNÉTICO?

Lo primero que recomiendan en este tipo de situaciones, además de denunciarlo en la comisaría más próxima, pasa por recoger pruebas informáticas mediante comprobaciones técnicas. El nuevo Reglamento General de Protección de Datos 2016/279RGPD), estipula que aquellas organizaciones que gestionen datos de carácter personal de ciudadanos europeos tienen la obligación de informar de los ataques informáticos en un plazo de 72 horas. La única excepción que recoge es que el responsable pueda demostrar que dicha violación de la seguridad no constituye un riesgo para los derechos y libertades de las personas físicas.