¿En qué punto se encuentra la ciberseguridad en las pymes?

Prácticamente la totalidad del tejido corporativo español está conformado por pequeñas y medianas empresas. Sin embargo, pese a su enorme trascendencia en la economía del país, muchas de ellas tienen una asignatura pendiente: la ciberseguridad. Pero ¿por qué este tipo de compañías se han convertido en uno de los principales objetivos de los ciberdelincuentes? ¿En qué aspectos deben mejorar? ¿Qué medidas de planificación, prevención, protección y reacción han de implantar? Conocer la respuesta a estas preguntas es de tal magnitud que un dictamen erróneo puede incluso suponer la desaparición de la empresa.

Ciberseguridad pymes
Marta Serrano

La ciberseguridad es un elemento más en la agenda de las empresas españolas. De hecho, en los últimos años, su aplicación se ha visto incrementada debido a la obligatoria llegada de la transformación digital, de las nuevas tecnologías y del teletrabajo, así como del aumento de las ciberamenazas. Sin embargo, su inmersión en el tejido corporativo no se ha producido de manera uniforme, lo que ha originado un mapa asimétrico en función del tamaño y recursos de cada compañía.

Todo ello, pese a la enorme trascendencia que tienen las pymes en nuestro país. Si tomamos como base el Directorio Central de Empresas del Instituto Nacional de Estadística, en España existen, a 1 de enero de 2022, 3.430.663 compañías. Y de ellas, apenas el 0,1 por ciento están consideradas como grandes organizaciones. Es decir, la práctica totalidad del tejido empresarial español está constituido por pequeñas y medianas empresas. De ahí que sean, entre otras muchas razones, un objetivo más que atractivo para los ciberdelincuentes.

¿Por qué las pymes?

La ciberseguridad debe entenderse como una inversión y no como un gasto en todas las organizaciones, independientemente de su tamaño. Pero ¿por qué también debe ser así en las más pequeñas? Si nos fijamos en los últimos datos del Balance de Ciberseguridad 2022, elaborado por el Instituto Nacional de Ciberseguridad (Incibe), este organismo gestionó durante el año pasado 118.820 ciberincidentes; es decir, un nueve por ciento más que en 2021. Y del total de esta cifra, más de 110.000 de los incidentes afectaron a ciudadanos y empresas.

Esto demuestra, entre otras cosas, que las amenazas están a la orden del día. Un hecho que motiva la necesidad de que las pymes estén preparadas para hacer frente a este mapa repleto de riesgos de ciberseguridad. De hecho, según advierte Miguel Ángel Rojo, CEO de Botech, siete de cada diez ciberataques producidos en España tuvieron a las pymes en la diana. Incluso muchas de ellas se han visto obligadas a cerrar debido a que no lograron superar un ciberataque. «Seis de cada diez pymes atacadas tuvieron que echar el cierre medio año después de haber sufrido un incidente de seguridad, con el consecuente desgaste a la imagen y reputación corporativa. Además, el coste medio alcanza los 35.000 euros», completa este profesional.

Las amenazas a las que se exponen las pymes no difieren en demasía de las que sufren las grandes corporaciones

Sin embargo, las pymes no son uno de los grandes objetivos de los ciberdelincuentes debido únicamente a su amplia representación en nuestro país. Existen otros motivos como los presupuestos reducidos, la falta de concienciación, la externalización de los servicios, la escasa actualización de software, el bajo índice de monitoreo de intrusiones o el amplio riesgo de sufrir un ransomware, tal y como explica Alberto Tejero, CEO de Arexdata.

Concienciación y capacitación

De ahí que la concienciación y la capacitación de los empleados sobre la importancia de la protección de datos y de implementar las mejores prácticas de seguridad sea uno de los puntos clave para este experto. Esto incluye la educación sobre el manejo adecuado de los datos, la identificación de posibles riesgos y contar con una respuesta adecuada a los ciberincidentes.

En una línea similar, Ricardo de Ena, Area Sales Manager de la zona norte de WatchGuard España, afirma que otro de los factores que incrementan la probabilidad de las pymes de recibir un ciberataque recae en la escasez de personal especializado. Y es que este tipo de compañías pueden tener dificultades para contratar y retener a profesionales de ciberseguridad cualificados debido a la fuerte competencia existente en el mercado laboral, sobre todo procedente de las grandes empresas.

«Esta falta de recursos se traduce en que tengan medidas de ciberseguridad menos sofisticadas y prácticas de seguridad más débiles. Por tanto, los ciberdelincuentes ven esto como una oportunidad al poder explotar las posibles brechas de seguridad y las debilidades en la protección de datos de las pymes», completa el representante de WatchGuard.

A ello también se le une la cada vez mayor dependencia tecnológica y el aumento de la potencial superficie de ataque, así como la incompleta cultura de ciberseguridad con la que cuentan estas entidades.

Ciberseguridad, ransomware, phishing, malware

Principales amenazas de ciberseguridad de las pymes

A pesar de esta situación, las amenazas de ciberseguridad a las que se exponen las pymes no difieren en demasía de las que sufren las grandes corporaciones. Para Ricardo de Ena, de WatchGuard España, las principales son el phishing, el ransomware, las vulnerabilidades de software y sistemas o el acceso no autorizado. «Esto puede incluir intentos de robo de credenciales de inicio de sesión, realizar ataques de fuerza bruta o aprovechar debilidades en los sistemas de autenticación», completa el profesional.

En una línea similar, Rojo, de Botech, coincide en que existen unas tipologías de incidentes que se han disparado en los últimos años y que afectan a todas las organizaciones: el ransomware, los ataques phishing y el malware. «Estos tres tipos de incidentes de ciberseguridad son los que más afectan a las pymes y, por lo tanto, es importante conocer su modus operandi para poder protegernos», advierte.

Además, las amenazas que sufren las pequeñas y medianas compañías pueden ser más perjudiciales debido a la menor capacidad de esta clase de organizaciones para implementar medidas de seguridad sofisticadas y su falta de recursos para responder rápidamente a los ataques.

No obstante, Tejero, de Arexdata, añade que es importante tener en cuenta que las amenazas cibernéticas están en constante evolución y que pueden afectar a cualquier tipo de organización, independientemente de su tamaño. Y recuerda que, pese a su menor envergadura, las pymes deben cumplir con las leyes y regulaciones de protección de datos, como el Reglamento General de Protección de Datos de la Unión Europea. Esto implica «implementar medidas técnicas y organizativas adecuadas para proteger los datos personales y garantizar el consentimiento adecuado para su procesamiento, así como saber en cada momento cómo se mueven los datos», añade el experto.

¡Sigue leyendo!

Aquí te hemos mostrado tan solo una parte de este contenido.

¿Quieres leer el reportaje completo?

Leer Completo
Contenido seleccionado de la revista digital
Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad