La coyuntura económica y la rápida digitalización de la sociedad han propiciado que las startups se hayan multiplicado como esporas en los últimos años.
Si, además, tenemos en cuenta que el 70% del tejido empresarial en países como España está formado por trabajadores autónomos o pequeñas y medianas empresas (pymes), podemos concluir que tanto pymes como las startups suponen un ‘golosísimo pastel’ para los hackers.
Principalmente, porque ni las startups ni los autónomos ni las pymes suelen contar con las mismas medidas de ciberseguridad que las grandes empresas. De hecho, las compañías de gran envergadura, aunque puedan parecer más ‘interesantes’ para los ciberdelicuentes por la cantidad de ‘ingresos’ que pueden obtener, suelen ser las más complicadas de vulnerar.
Sin embargo, generalmente los hackers prefieren hacer pequeños ataques a muchos usuarios a la vez, en lugar de intentar vulnerar una única estructura muy defendida. Esto se debe a que supone una inversión de tiempo y de recursos muy elevada.
“Los ciberdelincuentes utilizan la filosofía de la economía de escala llevada al crimen. Es decir, les resulta más rentable robarle 100 euros a mil empresas, que intentar sustraer 100.000 euros de una gran empresa”, matiza Hervé Lambert, Retail Global Product Manager de Panda Security.
Vigilar a las personas
Por todo ello, las startups y pymes deben poner mucha atención al elemento más débil de su ciberseguridad: las personas. Aunque, desgraciadamente, se están haciendo habituales las noticias sobre ciberataques a grandes corporaciones o vulnerabilidades globales que afectan a millones de personas, en la mayoría de los casos, los cibercriminales ni siquiera necesitan inyectar un código malicioso para atacar una compañía.
En muchos casos se sirven de la ‘ingeniería social’ para hacerse con las contraseñas y usuarios de los correos electrónicos con los que acceden a las redes sociales. Aunque pueda parecer algo poco relevante, muchas personas utilizan las mismas contraseñas o pequeñas variaciones entre las que utilizan para su vida privada y sus temas laborales. Esto hace muy fácil para un ciberdelicuente vulnerar la seguridad de una pyme. Con solo acceder a una cuenta de Facebook, se puede tener la llave para entrar en los servidores de una empresa.
Cuidado con cómo y qué se almacena en la nube
Por otro lado, todavía hay muchos trabajadores autónomos y pymes que utilizan servicios en la nube como Drobpox o Google Drive desde sus cuentas personales, mezclando así su vida privada y profesional. Se trata de otro grave error, porque aunque estos servicios suelen ser muy seguros, si un hacker accede a la cuenta privada de Dropbox, podría entrar con relativa facilidad a toda la inteligencia de su negocio alojada en la nube.
Es decir, no solo podría acceder a sus cuentas corrientes, además podría hacerse con sus bases de datos de clientes y con todos los datos que tenga almacenados en ellas.
Por ello, una sencilla pero rápida solución a esta situación de inseguridad es la de crear una cuenta en la nube específica para el negocio en la que no haya acceso desde las cuentas personales. No obstante, “nuestra recomendación es contar con un plan de seguridad que se adapte a cada necesidad de cada empresa como los que ofrece Panda Security”, añade Hervé Lambert.
Medidas a adoptar
Tras el ataque Wannacry que dejó sin servicio a miles de empresas en todo el mundo, ya fueran grandes o pequeñas, la realidad es que en la actualidad todos los negocios, ya sean grandes, medianos o pequeños, deben velar por la seguridad de sus sistemas. No solo por mantener su negocio alejado de hackers, si no también por velar por la privacidad y la seguridad de sus clientes.
- Desarrollar una cultura de ciberseguridad en la compañía: hay que formar y entrenar en materia de seguridad a todos los empleados. Cualquier persona con un móvil, un ordenador y una conexión a Internet es susceptible de ser ciberatacado. Todos los trabajadores tienen que ser capaces de advertir si un correo electrónico o un whatsapp contiene phishing o si es un mensaje confiable.
- Sólo usar redes seguras: esta cultura de la seguridad tiene que basarse en una actuación responsable por parte de todos los trabajadores. Todos deben usar contraseñas complejas y deben estar muy concienciados sobre el uso de redes wifi abiertas. Si no se cuenta con un VPN que encripte las comunicaciones entre un equipo y un router, las empresas no deberían conectarse a Internet.
- Cuidado con las políticas de ByOD (por sus siglas en inglés “usa tu propio dispositivo”: aunque esta metodología es muy habitual en el entorno startup y entre los trabajadores autónomos, es aconsejable que se cuente con un dispositivo para cada parte de la vida. Si perdemos el ordenador o el móvil personal con todas nuestras claves y datos sobre nuestros clientes o nuestros datos financieros, podríamos tener un problema muy serio.
- Asignación de permisos en función de los empleados: No todas las personas que trabajan en una empresa tienen por qué tener acceso a todos los archivos de la compañía. Por ello, es muy recomendable asignar permisos a cada usuario en función del trabajo que desempeñe en la empresa. De esta manera y, por poner un ejemplo, si la persona que lleva las finanzas sufre un ataque, no se verán comprometidos los datos de los clientes, pues a estos solo tienen acceso el CEO y el director comercial.
- Protocolo de actuación en caso de ataque: quizás pueda sonar exagerado para una empresa con menos de diez trabajadores, pero al igual que todas las oficinas cuentan con un plano del edificio en caso de incendio, todas las pymes y startups deben estar preparadas para un ciberataque.
Para ello, se debe mantener actualizada una copia de seguridad de los datos confidenciales en un servidor seguro. Esta medida de seguridad es un requisito ‘sine qua non’ para cualquier empresa que se tome en serio la protección de sus datos frente a potenciales amenazas. En caso de un ataque de ransomware, la compañía no tendrá nada por lo que preocuparse si la seguridad de sus servidores está bien cuidada.