Davide Amato es un cántabro por el mundo ahora instalado en Madrid. Trabaja en el sector de la ciberseguridad y tras años de experiencia en diferentes multinacionales, acaba de incorporarse como Sales Manager a Ironchip, una startup española que viene dispuesta a revolucionar el mundo de la seguridad haciéndola asumible para empresas de todo tamaño. Se suma hoy a la lista de colaboradores de Influyentes.
Pongamos que hay una pequeña empresa en nuestro barrio llamada Librería González. La dueña, Paula, se dedica a vender libros y revistas especializadas en el centro de la ciudad. A pesar de la pandemia, su negocio ha ido bien y ha conseguido crecer y contratar más gente.
Pero, un día, todo cambia.
Paula recibe un correo de una de las editoriales con las que normalmente trabaja. En el correo, la editorial solicita que actualice sus datos de facturación en un formulario que le han adjuntado porque han cambiado el sistema interno. Paula, confiada, rellena el formulario y lo envía.
Lo que no sabe es que el correo electrónico era un phishing, es decir, un correo electrónico fraudulento que tenía como objetivo robar sus datos. Estos correos cada vez son más sofisticados y a veces lo que cambia es un pequeño detalle del que no siempre resulta fácil darse cuenta. Si además se diese una serie de casualidades favorables a esa situación, el engaño está asegurado.
Este era el caso de Paula, que al día siguiente al intentar acceder a la cuenta bancaria de la empresa para realizar el pago de sus proveedores se encuentra con la sorpresa de que la cuenta de su banco ha sido vaciada. Además, al revisar su correo electrónico, se da cuenta de que ha recibido varios correos fraudulentos en los últimos días que no había detectado como tales.
Paula se encuentra en una situación desesperada: no sólo ha perdido todo su dinero, sino que también ha visto comprometida la información confidencial de su empresa y sus clientes.
Lamentablemente, la historia de Paula no es una excepción. El dato más reciente que he encontrado dentro del Centro Criptológico Nacional refiere de un coste medio para PYMES de estos ataques que ronda los 35.000€.
El informe también menciona que menos de un 60% de las empresas que recibe estos ataques consigue sobrevivir más de seis meses después de ellos. Este dato corresponde al informe del año 2020, pero sabemos que durante los últimos tres años la industria del cibercrimen se ha multiplicado exponencialmente, por lo que cabe esperar datos mucho más preocupantes.
La realidad es que las PYMES son objetivos muy jugosos para los ciberdelincuentes, que son conocedores de que muchas veces estas empresas no cuentan con los recursos suficientes para prevenir estos ataques. En base a mi experiencia, creo que esto choca frontalmente con la percepción de muchos de los directivos de estas empresas, que piensan que los grupos de Ransomware se centran en atacar mayoritariamente al IBEX 35.
Esto se debe probablemente al hecho de que en las noticias escuchamos solo los grandes ataques a multinacionales. Pero la realidad es que simplemente no nos enteramos de todos los ataques que, día a día, reciben miles de empresas que no salen en medios de comunicación.
Es curioso porque nadie hoy en día tendría dudas sobre invertir en puertas, cerraduras, cajas fuertes e incluso cámaras de videovigilancia o sistemas de alarma para sus negocios, pero, en realidad, salvo contadas excepciones, esos negocios no guardan en sus locales más que stock y pocas cantidades de liquidez. A la gran parte del patrimonio de esas empresas se accede a través de un smartphone, de una página web o de los datos de una tarjeta de crédito.
Los delincuentes ya no necesitan medias de rejilla y una pistola de fogeo para robarle el futuro a una empresa: lo pueden hacer sin ni siquiera moverse de casa, con una silla, un ordenador y una bolsa de Cheetos para matar el hambre.
Así que tenemos que concienciarnos lo antes posible de que la ciberseguridad de una empresa sea pequeña o sea grande, es una cuestión de vida o muerte empresarial que necesita ser entendida y enfocada como tal.
Muchas veces el problema es que parece todo muy complejo y es difícil saber cómo empezar. Pero la solución no es mirar para otro lado, sino que de la misma manera que le pedimos a los expertos que nos instalen cerraduras, cajas fuertes y cámaras de seguridad en función del presupuesto que tengamos, debemos preguntar a expertos del sector qué pasos son los que deben tomar para poder protegerse de los ciberdelincuentes en función de su casuística y por supuesto presupuesto.
