Pymes desnudas ante el ciberdelito

Las pequeñas y medianas empresas (pymes) caminan descalzas por ese camino plagado de cactus que es Internet. Hace algunas semanas unos hackers conseguían bloquear 400.000 archivos del recinto ferial de Madrid (Ifema) en cuestión de segundos. Un falso mensaje que parecía proceder de la empresa pública Correos bastó para desencadenar el caos. Esa infección masiva se expandió a través de un virus (malware) llamado CryptoLocker, un tipo de ataque que se popularizó en 2013 y que sigue causando estragos a través de versiones renovadas. Es lo que Alfonso Mur, socio director de Riesgos Tecnológicos de Deloitte, califica como “el fraude directo más común”, parecido a los secuestros reales de personas. “A través de una descarga imprudente entran en el ordenador de tu empresa, bloquean la información y piden un rescate en un breve periodo de tiempo mediante una cuenta de Paypal”, explica. Suelen exigir pequeñas cantidades, de 1.000 o 3.000 euros, a cambio de restablecer los archivos de sus víctimas si éstas acceden al chantaje, algo que afortunadamente no sucedió en el Ifema gracias a que conservaban los datos en copias de seguridad.

Según un estudio del fabricante de antivirus Symantec, en España las pérdidas anuales por robos de información en empresas alcanzan los 482 millones de euros (datos de 2013). La memoria de 2014 de la Fiscalía General del Estado recoge un aumento de las estafas informáticas en un 60% (se tramitaron más de 9.000 procedimientos). Sabotajes en la red, accesos sin autorización, descubrimiento y revelación de secretos y falsificación de documentos son otros delitos cada vez más comunes. Iñaki Ortega, director de programas de Deusto Business School, cree que las grandes multinacionales son conscientes de sus puntos débiles. “Su preocupación es buena, demuestra que están dispuestas a tomar decisiones”. Sectores como el financiero o empresas energéticas invierten enormes recursos en su seguridad.En cambio, las pymes, según la quincena de expertos consultados, ni están preocupadas ni preparadas. Incluso las que utilizan internet para vender sus productos y tienen en sus bases de datos información confidencial de clientes o proveedores.

“Si tienes una tienda pones una alarma, una verja, y quizá contrates un furgón de seguridad que retire el dinero de la caja. Si te tomas estas molestias, ¿por qué no haces lo mismo en el mundo digital?”, se pregunta Mario García, director para la península de Checkpoint. “La tecnología sobra, pero es necesario invertir en medios físicos y humanos, en procedimientos. Conozco a empresas pequeñas que se protegen de forma muy efectiva, todo depende de si se lo toman en serio o esperan a tener un problema”. Para él la cuestión no es si se va a producir un ataque, porque eso ocurrirá tarde o temprano, sino cómo reaccionará la empresa ante el acoso. Lo mismo piensa Alexandros Triantafyllou, director de fraude e identidad de Experian en España, que advierte de que “nada en Internet es realmente seguro”. Cree que las pymes se han centrado en tomar medidas para identificar a las personas que interactúan en sus páginas web, pero los procesos de identificación no son eficaces. “Si tu cliente es víctima de ingeniería social y sus datos acaban en manos de un defraudador, tu empresa no se podrá defender por mucho que hayas establecido largos procesos de autenticación”, reflexiona.

El negocio del sector que se dedica a ofrecer soluciones contra la ciberdelincuencia ronda, según varios expertos, los 150 millones de euros en España. Telefónica, Indra, Unitronics, Nextel, Dimension Data, HP o IBM se llevan la parte del león de este mercado junto a firmas más especializadas como Grupo Sia, Cisco, Checkpoint, Fortinet, Paloalto Networks, S21Sec y gigantes de los antivirus, amén de las big four: Deloitte, PwC, KPMG y EY. Siempre un paso por detrás de organizaciones criminales, afrontan las mil caras de la ciberdelincuencia: al día se identifican 160.000 webs que tienen puntos débiles de seguridad; más de 320.000 direcciones IP registran actividad maliciosa (la mayoría pertenecientes a botnets, redes de equipos infectados que actúan como robots para enviar mensajes de correo electrónico no deseados, propagar virus, atacar equipos y servidores o cometer otros fraudes). Los incidentes más habituales, según datos del Instituto Español de Ciberseguridad (Incibe) consisten en accesos no autorizados a información confidencial (un 37% de los casos) y fraudes tipo phishing(suplantación de identidad para robar datos o información personal como números de tarjetas de crédito, contraseñas o datos de cuentas bancarias). La Policía registró en 2014 hasta 70.000 ataques en España.