Hace poco tiempo, una empresa española estaba sufriendo una de sus mayores crisis. ¿La razón? Su sistema informático no hacía más que fallar: lo hacía constantemente, cada 3-4 horas, paralizando toda su actividad y afectando seriamente a su negocio, que empezaba a sufrir graves pérdidas económicas. Y por más que miraban, nadie daba con el problema: todo estaba bien, pero el sistema, inexplicablemente, fallaba cada dos por tres.
Pasado un tiempo, cuando la situación ya era casi insostenible para su negocio, llegaron a pensar que estaban sufriendo algún tipo de ciberataque, pero no encontraban nada, así que la empresa decidió acudir a la Guardia Civil. Allí le contaron lo sucedido al equipo de César Lorenzana, que recuerda lo que se encontró al principio: «Cada cada tres, cuatro o cinco horas el sistema se venía abajo, lo restauraban, volvía a funcionar… y a las pocas horas volvía a fallar. La empresa ya había hecho un montón de análisis, pero no encontraba ninguna pieza de malware ni rastros de ningún posible atacante».
Fue entonces cuando comenzó la investigación: «Nos preguntábamos quién podía tener el motivo, porque estaba claro que algo raro estaba pasando. En la empresa nos hablaron de ciertos trabajadores del departamento de IT que habían despedido porque estaban descontentos y empezamos a indagar». A partir de ahí fueron avanzando, ya que «sospechamos que uno de esos trabajadores se había llevado tarjetas SIM de la empresa que estaban mal catalogadas y con ellas estaba enviando código para provocar las paradas«. Pero era algo difícil de probar: «Hicimos un estudio comparativo de las tarjetas, de los dispositivos que se habían utilizado, miramos las localizaciones de señales… y al final pudimos demostrar que efectivamente era esa persona, desde su domicilio, la que enviaba los códigos de parada».
«Un informático colocaba bombas lógicas para que el sistema fallase y le llamasen. Se conectó a lo que él pensaba que era una de sus víctimas… y era nuestro propio equipo»
César Lorenzana, guardia civil
No es el único caso de este tipo al que se ha enfrentado Lorenzana: «Tuvimos un caso parecido de una persona que se dedicaba a dar soporte informático para varias empresas y colocaba bombas lógicas para que el sistema fallase y tuviesen que volver a llamarle. Nadie en la empresa se explicaba qué estaba pasando, pero en los análisis encontramos una pieza de malware. Lo más curioso fue que, cuando estábamos en pleno laboratorio, el atacante se conectó a lo que él pensaba que era una de sus víctimas… y era nuestro propio equipo, con lo que cogimos los trazos de comunicación, grabamos el tráfico y pudimos identificarlo».
Conocer de cerca estos casos nos puede resultar llamativo por conocer de cerca cómo es una investigación, pero lo cierto es que, como veremos a continuación, las situaciones de este tipo se producen a diario.
La batalla más desigual de la historia: grandes empresas Vs. pymes
A la hora de analizar cómo protegen las empresas su ciberseguridad hay que hacer de entrada una clara distinción: grandes empresas y pymes. Para empezar, analicemos su presencia en España: según los datos del Ministerio de Industria, Comercio y Turismo, las pymes (hasta 250 empleados) son abrumadora mayoría en España, representando al 99,9% de las empresas.
No parece baladí que cualquier tipo de empresa proteja su ciberseguridad, ya que, como vimos en su momento, España es el país más ciberatacado del mundo según el informe de Imperva y el segundo según el de CyberEdge.
Y a la hora de recibir ataques, ¿qué tipo de empresas se ven más afectadas? Un estudio de Tecteco, citando al Incibe como fuente, lo pone negro sobre blanco: en España, el 70% de los incidentes de ciberseguridad van dirigidos a las pymes.
Así pues, la diferencia de preparación entre unas empresas y otras es abismal. El informe Hiscox Cyber Readiness Report 2020 realiza un análisis en función no solo de las capacidades de las empresas españolas, sino también de su tamaño. Las grandes empresas, como vemos, están por encima de pymes y micropymes.
En términos porcentuales, de hecho, el gasto también. El informe de Hiscox también analiza el porcentaje del presupuesto de IT que las grandes empresas destinan a ciberseguridad. En España no solo está creciendo, sino que además supera la media europea.
El drama de la pyme: ni sabe, ni puede invertir ni se siente amenazada
¿Y qué pasa entonces con las pymes? Que, a tenor de los datos expuestos, están muy poco protegidas, especialmente si tenemos en cuenta que, como vimos antes, son las receptoras del 70% de los ciberataques en nuestro país. ¿A qué se debe su escasa protección? Podemos dibujar tres factores principales:
1.- Poca sensación de amenaza
Según un estudio de The Cocktail para Google, el 99,8% de las pymes españolas no se consideran un objetivo atractivo para los ciberdelincuentes. Las cifras son devastadoras y hablan por sí solas (tendrás que afinar el ojo para ver ese 0,2% del ‘Sí’):
2.- Pocos recursos
Por mucho que se insista a las pymes en la necesidad de ciberprotegerse, no nos engañemos: sería ilusorio pensar que una microempresa que sufre para llegar a fin de mes pueda disponer de recursos para tal fin. Según el Hiscox Cyber Readiness Report 2020, las micropymes españolas (de 1 a 9 empleados) dedican el 6,5% su presupuesto de IT a ciberseguridad, significativamente por debajo de otros países europeos:
Además, el informe de The Cocktail nos ofrece otro dato relevante: el 20% de las pymes delegan su ciberseguridad en un familiar o un amigo, mientras que el 12% ni siquiera destina un solo recurso a ello:
3.- Poca concienciación
Siempre se habla mucho de la concienciación de los empleados como freno al cibercrimen, pero aún queda mucho, muchísimo por hacer. The Cocktail revela que la mayoría de empleados de las pymes españolas no sabe o no puede reaccionar ante un incidente de ciberseguridad:
¿Cómo se convence a una pyme?
Todos somos conscientes de que debemos concienciar más a las pymes para que inviertan en ciberseguridad pero, si tiramos de empatía, podemos llegar a entender que para un pequeñísimo negocio esa sea la menor de sus preocupaciones. ¿Hay alguna forma de convencerlas? Los expertos con los que hemos hablado nos dan tres claves:
1.- El cibercrimen sí va a afectar a tu negocio
Es evidente que, en caso de ciberataque, el núcleo del negocio de una pyme no se va a ver tan afectado como el de una gran empresa. Pero eso no quiere decir que no afecte en absoluto: «Las pymes pueden a tener una pérdida de unos 35.000 euros por una brecha de seguridad o un ciberataque», nos cuenta Icíar López-Vidriero, de ICEF Consultores, «y con esas cantidades… igual la empresa no se repone y acaba no teniendo viabilidad económica».
«Las pymes pueden a tener una pérdida de 35.000€ por un ciberataque, y con esas cantidades… igual no son viables»
Icíar López-Vidriero, ICEF Consultores
Las consecuencias económicas también pueden venir derivadas de otro factor a tener muy en cuenta: las sanciones. La Asociación Española de Protección de Datos (AEPD), por ejemplo, impuso 907 sanciones a empresas españolas en 2018 y 338 en 2019.
2.- Tus datos son más valiosos de lo que crees
Si cualquier pyme no se considera un objetivo atractivo para el cibercrimen es porque realmente no cree que sus datos puedan ser relevantes para el delincuente. Sin embargo, la abogada Elena Gil recuerda que «el robo de información y la venta de datos es un negocio lucrativo, y eso ya te pone en la diana de ciberatacantes que saben que ciertas organizaciones están muy protegidas y son muy difíciles de atacar, pero que el gran tejido empresarial de un país –las pymes– están poco protegidas».
Pero vayamos más allá y asumamos que, efectivamente, los datos de una pyme no son especialmente relevantes para un ciberdelincuente. Da igual: el caso es que seguirán siendo relevantes para la propia pyme, de modo que «te pueden pedir un rescate en criptomonedas. Y si encima pagas, es probable que vuelvan a pedirte dinero», insiste Elena Gil.
3.- Subcontrata lo que puedas y, si no puedes, pide ayuda
Andrés Calvo, de la AEPD, reconoce que «más del 95% de las micropymes en España tienen menos de nueve trabajadores: ¿cómo puede una empresa de este tamaño dedicar esfuerzos a la ciberseguridad? Es complicado». Por tanto, «hay que pensar en la ciberseguridad como un servicio más, tienes que contratar a un experto. No para tenerlo todos los días en la empresa, pero sí para que haga una pequeña política de ciberseguridad y de protección de datos».
Y si una empresa no puede gastarse dinero en esto, siempre puede tirar de recursos públicos y gratuitos. Luis Álvarez Satorre, CEO de SIA, una compañía de Indra, recuerda iniciativas como «la de la Cámara de Comercio de España, que ha creado un plan de ciberseguridad para ayudar a las pymes que quizás son las más débiles, las que menos fuerza tienen para ser capaces de protegerse adecuadamente». Otros organismos, como Incibe, ofrecen un amplio abanico de herramientas de ciberseguridad para pymes, la mayoría de ellas gratuitas, y también contiene un listado de soluciones gratuitas desarrolladas por empresas españolas.
