Durante este verano hemos tenido la suerte de poder tomar vacaciones desde que iniciamos la aventura de montar METAFRASE. Y durante las mismas, hemos podido desconectar y tener conversaciones con gente de diferentes ámbitos, pero todos ellos ajenos al sector de la ciberseguridad.
Fue realmente refrescante y en nuestro caso, nos sirvió -entre otras cosas- para tomar el pulso a la actualidad contrastándola con las experiencias vividas por otros profesionales del sector, y de fuera del sector, reafirmando nuestra sensación sobre ciertas tendencias como la que preside este artículo: Que la Pyme es una perita en dulce para los ciberdelincuentes y se posiciona como blanco favorito de los ciberataques. Si a esto le sumamos que España es un país de Pymes, creo que en España tenemos un serio problema de ciberseguridad. En este artículo vamos a tratar de analizar por qué.
Lo primero que debemos comprender quiénes están detrás del malware y cuál es su objetivo
Si bien hace unos años, se solía tratar más bien de ejercicios intelectuales, o de gente con ganas de demostrar a las grandes corporaciones de software (sobre todo a Microsoft) que debían trabajar mejor a la hora de escribir programas informáticos, pero hoy en día esto apenas si es residual.
En la actualidad las amenazas cibernéticas que afectan a las pymes en su mayoría, proceden de la delincuencia, que ha encontrado métodos menos violentos que el típico atraco de película para lograr sus fines.
Los delicuentes lo que realmente quieren es ganar dinero de la forma en que saben hacerlo: robándolo. Debemos ser conscientes de que a día de hoy, en su inmensa mayoría, el objetivo del malware es robar dinero.
Desde los timos como las cartas o estafas nigerianas, en las que mediante el engaño acabamos siendo timados, hasta software que se instala en nuestros equipos sin que en principio notemos nada, y nuestro ordenador se acaba convirtiendo en un zombi, junto con otros miles, formando lo que se llama una botnet, todos ellos controlados por organizaciones criminales.
¿Por qué nos van a atacar a nosotros si no somos importantes y no tenemos gran cosa?
Precisamente la mayoría de los pequeños empresarios y profesionales, nos consideramos objetivos poco importantes. Tendemos a pensar que la información con la que trabajamos (nuestras facturas, bases de datos de clientes, contabilidad, o presentaciones de producto, por poner ejemplos) son información poco valiosa.
Solemos considerar que al ser pequeños y/o poco importantes, no tiene mucho sentido que podamos ser víctimas de un ciberataque. Por lo tanto, y con demasiada frecuencia, esto nos hace razonar que no vale la pena invertir en ciberseguridad, que por otra parte, es algo incómodo, y al fin y al cabo, un gasto.
Es posible que así sea, pero para nosotros esta información es vital: ¿Qué pasaría si mañana no podemos cerrar la contabilidad, o consultar las facturas recibidas ante un requerimiento de la Agencia Tributaria? – ¿Y si tampoco podemos enviar una oferta a un cliente? – En realidad los que tendríamos el problema seríamos nosotros, ¿verdad?
Precisamente porque no consideramos que vayamos a ser víctimas de un ciberataque, no nos concienciamos de ello ni tomamos las medidas necesarias, y por esta razón es que la Pyme y el pequeño profesional se convierten en un objetivo mucho más fácil que una mediana o gran empresa, y no digamos que un banco.
Trasladando un símil al mundo «físico»: ¿Qué es más fácil atracar? ¿Una sucursal bancaria o un pequeño comercio del extrarradio que ni tiene alarma ni cerraduras de seguridad ni vigilancia, ni cámaras, ni conexión con la policía?
Pues esta es la cuestión: Si bien todas las medidas de seguridad que tomemos no nos garantizan estar a salvo, no tomarlas, está garantiza que seremos víctimas de los ciberdelincuentes.
Parece conveniente que desde las instituciones como INCIBE -que nos consta que ya lo hace- pero no sólo de ella, sino de otras muchas, se haga mucho más para concienciar a todo el mundo de cómo funciona este mundo hiperconectado, y que muchos gerentes y usuarios de empresa tomen conciencia de que hay que cambiar de forma de trabajar.
Medidas que desde YA, consideramos imprescindibles adoptar por parte de cualquier -ya no PYME- sino incluso microautónomo, que base gran parte de su trabajo en documentos, hojas de cálculo, o aplicaciones sectoriales:
- Copias de Seguridad de toda su información en sistemas ajenos al PC
- Un buen software antimalware, con gestión profesional como el que presta Metafrase
- Protección perimetral adecuada, con UTM, con protección web y del correo electrónico
- Sentido común: saber que nadie regala nada, ni en la vida real ni en Internet
