Los ciberataques que se dirigen contra las grandes empresas son los que tienden a atraer a los titulares importantes por las grandes cifras involucradas en su impacto colosal.

Solo el año pasado pasó lo siguiente:

• SolarWinds: puso en peligro a 250 agencias federales y empresas.
• Twitter: 130 usuarios fueron un blanco, incluidas las cuentas de perfil de Joe Biden, Barak Obama, Elon Musk, Jeff Bezos, y más.
• Virgin Media: Los datos de 900 000 usuarios estuvieron expuestos.
• EasyJet: tuvo una demanda colectiva de $24,7 mil millones que se presentó en contra de ellos por una filtración de datos.
• Marriott: Hubo una filtración de datos de 2 millones de huéspedes.

Y la lista continúa.

Las pymes también son blancos importantes

Sin embargo, no dude de ello; las grandes empresas no son los únicos objetivos.

Las pequeñas y medianas empresas (pymes) no están lejos de la mira de los ciberdelincuentes. Las cifras asociadas a estos ataques probablemente no figuren en primera plana, pero no por eso son menos dañinas para la organización objetivo. De hecho, se considera que el costo promedio por incidente de una pyme es de $3,9 mil millones, de los que $7,68 millones son el promedio de ataques ejecutados por personas de la misma empresa.

Contrariamente a lo que muchos creen, las pymes son blancos muy atractivos para los ciberdelincuentes: el 71 % de los ataques de ransomware (secuestro de datos) apuntan a las pymes, por ejemplo. Y este es solo uno de los tantos tipos de ataques que se dirigen contra dichas organizaciones todos los días.

El motivo detrás de este fenómeno es que muchas de estas organizaciones no piensan que son un blanco lo suficientemente atractivo y, por lo tanto, no implementan las mismas medidas, controles y tecnologías que las empresas más grandes suelen implementar.

Por ejemplo, muchas pymes:

• No usan protocolos de seguridad como una autenticación de dos factores (two-factor authentication, 2FA).
• No actualizan las contraseñas de manera regular.
• No crean copias de seguridad de manera regular, lo que es fundamental para recuperarse de un ataque.
• No implementan procesos ni controles de cumplimiento de regulaciones de seguridad.

Hay 2 aspectos más: Los atacantes que atacan a las pymes como parte de un ataque de cadena de suministro en una empresa más grande. El hecho de que algunas pymes están sujetas a regulaciones que no necesariamente tienen en cuenta (casi todas las empresas de aquella época tenían algunas bases de datos grandes).

Sin embargo, como hemos visto, ninguna pyme puede tomar una actitud relajada ante la seguridad, ya que, de lo contrario, serían muy vulnerables a los ataques. Y el daño puede ser incluso más abrumador, con una recuperación mucho más difícil de alcanzar que la de las empresas más grandes.

El gran problema de seguridad para las pymes

Tomar medidas de ciberseguridad sólidas y exhaustivas es una responsabilidad principal de cada organización, ya sea pequeña, mediana o grande.

Sin embargo, el camino de las pymes para lograrlo está lleno de varias dificultades, como estas:

Costos: Las organizaciones más pequeñas no tienen el mismo presupuesto a su disposición que las empresas grandes y, por lo tanto, no pueden usar las mismas tecnologías ni prácticas.

Experiencia: Encontrar y contratar personal experimentado que tenga habilidades de seguridad perfeccionadas es difícil y costoso. Como resultado, las pymes no suelen tener las capacidades requeridas a nivel interno. Y con los hackers que se vuelven cada vez más sofisticados todos los años, esta debilidad se convierte en una responsabilidad mayor todo el tiempo.

Complejidad: La gran variedad de soluciones y tecnologías que se requieren para una protección integral, por no mencionar la complejidad de la migración de datos a la nube y del mantenimiento de operaciones híbridas, permiten entornos de seguridad que requieren el tipo de experiencia y conocimientos técnicos que los equipos más grandes no suelen tener.

Los 4 pasos para tener una ciberseguridad digna de las empresas grandes

Como nadie puede afrontar la parálisis económica y operativa que causa un ciberataque, hemos descrito los cuatro pasos que las pymes pueden seguir para garantizar el mismo nivel de protección que el de las grandes empresas.

Paso 1: Promover la consciencia

Como las acciones de los empleados suelen ser la esencia de los ciberataques exitosos, es fundamental implementar capacitación en conocimientos que ayude a garantizar que los empleados:

• Nunca abran documentos adjuntos de fuentes desconocidas, particularmente porque el 92 % del malware (software malicioso) de todo el mundo proviene del correo electrónico.
• No conecten un dispositivo de USB desconocido, ya que está en riesgo de contener malware que podría dirigir un ataque contra la empresa.
• Actualicen las contraseñas de manera regular, ya que incluso si una contraseña se filtra, la exposición disminuirá tan pronto como se restablezca.

Paso 2: Proteger los vectores principales

Aunque es posible que las pymes no tengan el presupuesto para adquirir, controlar y mantener el alcance total de los sistemas y las aplicaciones de ciberseguridad, sí necesitan asegurarse de no ignorar estos tres vectores de ataque principales:

• Aplicaciones para prevenir que aplicaciones maliciosas o malware que están integrados en aplicaciones aparentemente inofensivas ejecuten ataques maliciosos.
• La red para prevenir ataques que aprovechen las conexiones de red o la actividad del usuario, como ataques de phishing (suplantación de identidad) y de intermediario (Man-in-the-Middle, MitM).
• El sistema operativo del dispositivo móvil para prevenir la vulnerabilidad de la seguridad, como el jailbraking (proceso de eliminar limitaciones de un sistema operativo) avanzado.

Para garantizar dicha prevención, las pymes deben asegurarse de tener, como mínimo, lo siguiente:

• Protección contra malware que se infiltre a través de un archivo infectado, al visitar un sitio web infectado y al abrir un documento adjunto infectado del correo electrónico.
• Protección de puntos de conexión para prevenir el daño de ataques en computadoras portátiles, teléfonos móviles, tablets, dispositivos del Internet de las cosas y cualquier otro dispositivo que se conecte inalámbricamente a las redes de la organización.
• Detección y respuesta de puntos de conexión para controlar y garantizar una respuesta y la mitigación de las amenazas de manera continua.

Paso 3: Implementar las mejores prácticas

Entre las mejores prácticas que las pymes tienden a pasar por alto, pero que no pueden ignorarse, se incluyen:

Puertas de enlace y firewalls (cortafuegos) de Internet para controlar el tráfico entrante y saliente, y bloquearlo cuando sea necesario según las normas predefinidas.

Configuraciones seguras para evitar las configuraciones listas para usarse que ejecutan contraseñas predeterminadas que son de conocimiento público.

Revisión del software para garantizar que el software de la organización esté siempre actualizado con los últimos parches.

Aseguramiento de que los teléfonos móviles y las tablets están dentro de los parámetros y que usan sistemas operativos financiados por el fabricante.

Control de acceso al darles a los usuarios acceso solo a los recursos y los datos que necesitan para su trabajo diario.

Limitación de las cuentas de administrador que tengan privilegios de acceso especiales.

Selección de contraseñas sólidas, ya que las contraseñas poco seguras son una de las vulnerabilidades más comunes que aprovechan los ciberdelincuentes.

Paso 4: Adquirir protección al nivel de un SOC

Una vez que haya anotado los aspectos básicos, si realmente quiere llevar su juego de seguridad a las Grandes Ligas, lo que debe hacer es encontrar una manera de acceder a las capacidades avanzadas de un centro de operaciones de seguridad (security operations center, SOC) para:

• Identificar y bloquear un ciberataque sin tener que adquirir tecnología costosa.
• Comprender las amenazas y responder a ellas de manera eficaz, sin tener que contratar talentos costosos y difíciles de encontrar.
• Controlar las operaciones de seguridad sin tener que subcontratar a costosos proveedores de servicios de respuesta a incidentes.

Y la manera de que todo esto suceda es con un SOC como servicio, que funciona como un mando central y un control de ciberseguridad, y aporta todos los beneficios de la seguridad al nivel de una empresa grande, pero sin todos los gastos generales.

Resumen

Con un ciberincidente que se prevé que sucederá cada 11 segundos en 2021, nunca ha sido tan importante asegurarse de que las operaciones de seguridad tengan el máximo rendimiento, incluso si los recursos y los presupuestos son limitados.

Y la clave para lograrlo es:

• Garantizar el conocimiento de todos los empleados de las organizaciones.
• Obtener cobertura para los tres vectores de ataque principales.
• Implementar las mejores prácticas.
• Obtener acceso a las capacidades avanzadas de un SOC, pero sin el costo ni los gastos generales.

Esta es su mejor apuesta para anticiparse a los ciberdelicuentes, mantener la protección de los recursos de datos y garantizar una operación pujante en 2021 y en adelante.