Los ataques dirigidos serán una de las principales amenazas empresariales en 2015
El pasado 2014 nos dejó una nueva cifra récord en el número de empresas atacadas, con un incremento superior al 100 por 100 con respecto al año anterior. En total, el Equipo Global de Investigación y Análisis de Kaspersky Lab, GREAT, descubrió siete campañas dirigidas de ciberataques. Entre todas, se llegaron a 4.400 objetivos del sector empresarial en más de 50 países, frente a los 1.800 de 2013.
Las pérdidas económicas derivadas de estos ataques se cifran en millones de euros. Entre las empresas atacadas se encontraban grandes corporaciones del sector de la energía, la comunicación, financiero, salud e, incluso, gubernamentales. Campañas como La Máscara, Darkhotel, Epicturla o Regin han copado páginas de periódicos por la cantidad y/o calidad de los objetivos atacados, y sobre todo porque, aunque algunos llevaban activos varias décadas, se trataba de ataques innovadores cuando fueron descubiertos.
Sin embargo, lo que el pasado año constituyó una novedad, en 2015 será una tendencia al alza. Las APTs o ataques persistentes avanzados evolucionarán de tal forma que permitirán comprometer totalmente, por ejemplo, la red de un banco y utilizarla para manipular cajeros automáticos en tiempo real. Las grandes empresas seguirán siendo objetivo de los ciberdelincuentes en busca de grandes beneficios económicos.
Las pequeñas empresas corren grandes riesgos de ciberseguridad
Sin embargo, el número de pequeñas y medianas empresas que sufren ataques dirigidos es igual de preocupante que el de corporaciones más grandes. Y las estadísticas nos dicen que esto seguirá siendo así en los próximos tiempos. Las razones principales para que ocurra así son dos.
En primer lugar, el número de pymes existentes es muchísimo mayor que el de macroempresas. Por ejemplo, en nuestro país, el Directorio Central de Empresas publicó el pasado mes de enero que el 99,88% de las empresas que forman el tejido empresarial español son pymes y, de estas, el 95,8% son microempresas con entre uno y nueve empleados, contando al empresario. Por ello, es sencillo predecir que a mayor número de pymes, más ataques concentrarán.
La segunda razón tiene que ver con la conciencia de riesgo y el presupuesto dedicado a seguridad TI. Los pequeños empresarios suelen pensar que los ciberdelicuentes no se fijan en ellos debido a su tamaño o creen que no tienen ningún dato que pueda interesar a estos. Se equivocan, cualquier empresa que maneje datos personales de clientes es un objetivo potencial. Los hackers logran la mayor parte de sus beneficios de la venta de este tipo de datos.
Es más, pequeñas empresas pueden ser la puerta de entrada a empresas mucho mayores con las que mantienen relaciones como, por ejemplo, de proveedores.
Esta falta de percepción de riesgo se traduce en una escasez de seguridad tecnológica en las pymes. De hecho, según una encuesta llevada a cabo por Kaspersky Lab junto a B2B International en empresas de todo el mundo, sólo el 19% de los negocios con menos de 25 empleados sitúa la seguridad TI en el top de sus preocupaciones, mientras que este porcentaje aumenta hasta el 35% si nos referimos a empresas de mayor tamaño.
No obstante, en lo que se refiere al uso de las tecnologías móviles en las empresas, estas pymes muestran una tasa de adopción muy similar a la de las grandes corporaciones (34% frente al 35%), según esta misma encuesta. Y en este apartado, el porcentaje de preocupación por la seguridad en el uso de móviles, tabletas y otros dispositivos móviles es más alto, el 34%.
Esta inquietud choca con otra de las grandes dificultades a la que deben hacer frente las pequeñas empresas: la falta de presupuesto, un enemigo contra el que es complicado luchar. Sin embargo, invertir una pequeña cantidad contra las amenazas más comunes que son a las que estos negocios están más expuestos les reportará beneficios a corto plazo y es una medida asequible para estar protegidos.
Así, e independientemente del tamaño de la organización, todas las empresas están bajo la amenaza de un ciberataque. Puede ser un ataque especulativo, al azar, o un ataque dirigido más sofisticado. Los riesgos son variados y se deben tomar las medidas adecuadas para evitar poner en peligro nuestra propia seguridad, así como la de la empresa para la que trabajamos o con la que colaboramos. Debemos estar atentos, prevenidos y protegidos.
Alfonso Ramírez, director general de Kaspersky Lab Iberia
Alfonso Ramírez de Kaspersky Lab Iberia