Ciberamenazas y pymes: predicciones para 2020

Comentarios (0) Noticias Seguros, Xenasegur

Según los expertos consultados por Xenasegur, el ‘ransomware’, el ‘phishing’, el BYOD y los dispositivos asociados al Internet de las Cosas serán, entre otras, algunas de las principales ciberamenazas para las pymes de la mediación de seguros en 2020.

Pantalla de ordenador con contraseña encriptada

Un año más, desde el blog de Xenasegur hemos consultado a expertos de empresas especializadas en ciberseguridad con el objetivo de preguntarles cuáles serán, a su juicio, las principales ciberamenazas para las pymes de la mediación de seguros durante 2020. Y, como punto de partida, se han referido a un asunto que continúa preocupando y del que ya nos hemos ocupado en otras entradas del blog: el factor humano.

El eslabón más débil de la cadena de seguridad

Al respecto, Néstor Angulo de Ugarte, analista de Seguridad de GoDaddy, recuerda que, principalmente, “las mayores ciberamenazas para las pymes vienen por el factor humano. El propio usuario, ya sea interno o externo, es el eslabón más débil de la cadena de seguridad. Es algo que siempre recuerdo en mis ponencias. El ser humano falla y no podemos garantizar que cuanto hagamos sea siempre perfecto”, observa.

Pero, ¿cuáles son los errores más comunes que cometen los trabajadores de las pymes en materia de seguridad informática? Según Mario García, director general de Check Point para España y Portugal, “por increíble que pueda parecer, muchas personas siguen siendo víctimas del phishing y clican en enlaces incluidos en correos electrónicos de destinatarios desconocidos. Y también descargan o abren los archivos adjuntos en esos emails, facilitando así que amenazas como el ransomware puedan afectar a uno o varios equipos”.

Además, el directivo repara en que “otro de los errores más comunes es obviar las recomendaciones de actualización de aplicaciones y servicios de seguridad. Al no ser actualizados, los equipos son más vulnerables frente a casi cualquier ciberamenaza”, advierte.

Pymes: ¿cuáles serán las principales ciberamenazas en 2020?

En sintonía con Mario García, Josep Albors, responsable de Concienciación e Investigación de ESET España, insinúa que en 2020 tendremos más phishing y ransomware. “Son dos amenazas que suponen un peligro considerable para las pymes, puesto que los ciberdelincuentes suelen engañar a sus víctimas y provocan tales daños que incluso pueden obligar al cese de la actividad comercial”, apunta.

Con el fin de protegerse de los ataques de tipo ransomware, Igor Unanue, director técnico de S21sec, explica que “la medida más efectiva para las pymes es tener los sistemas bien protegidos y siempre con un backup de los mismos. Pero este último no debe limitarse a una simple copia de un disco a otro, porque, en caso de sufrir un ataque de ransomware, nos podríamos encontrar con ambos dispositivos infectados. El backup tiene que hacerse en un sistema diferente al habitual, en un equipo separado y no conectado a la red ni al ordenador que usemos normalmente”, detalla.

Por su parte, Pedro González, desarrollador de Negocio de Kingston en España, coincide en que el phishing y el ransomware continuarán siendo dos grandes ciberamenazas para las pymes. Pero también se refiere a las brechas de seguridad que se producen debido a la falta de protección de los dispositivos o a fallos internos. “En nuestro informe Estado actual de la protección de datos corporativos en España de 2019 pusimos de manifiesto que el 59% de los empleados informó de la pérdida de algún dispositivo de almacenamiento con datos corporativos. Y que el 73% de las empresas españolas había sufrido, al menos, una brecha de seguridad en el último año”, revela.

En la misma línea, Néstor Angulo de Ugarte declara que, además del phishing y el ransomware, en GoDaddy tienen claro que una de las amenazas crecientes es el Internet de las Cosas (IoT, por sus siglas en inglés). “Si visualizamos nuestro núcleo de negocio y los datos como una fortaleza, el hecho de que cada vez haya más dispositivos conectados a Internet es sinónimo de que tenemos que proteger más puertas y ventanas”, razona. Y hace hincapié en que el IoT ha sido utilizado para poner en jaque a compañías multinacionales y al propio Ejército estadounidense.

Por último, Mario García señala que, más allá del phishing y el ransomware, “en Check Point consideramos que hay que preocuparse de tecnologías como el 5G o la nube. Nuestros informes indican que el 15% de las empresas ha sufrido algún tipo de vulnerabilidad relacionada con el cloud”, avisa.

¿El BYOD continuará siendo un riesgo para las pymes?

Junto a todo lo expuesto, el blog de Xenasegur también ha querido conocer la opinión de los expertos sobre una práctica muy habitual en el entorno laboral: la denominada Bring Your Own Device (BYOD). Es decir, la utilización de dispositivos personales como un ordenador portátil o una memoria USB en el ámbito profesional.

Al preguntarle si el BYOD es una amenaza para las pymes, Mario García no duda en responder afirmativamente. “Además, la mayoría de smartphones o tablets de uso personal no cuentan con sistemas de protección, por lo que son un objetivo fácilmente atacable por parte de los cibercriminales. Por lo tanto, el BYOD se mantiene como uno de los principales factores de riesgo para las pymes”, argumenta.

Respaldando dicho razonamiento, Josep Albors tiene claro que “los dispositivos móviles pueden suponer una más que probable puerta de entrada a amenazas que afecten a una pyme si no se toman las medidas adecuadas”. Y Néstor Angulo de Ugarte es categórico al afirmar que “tener un dispositivo de uso personal conectado a la red interna de tu empresa puede ser una verdadera bomba de relojería. Con el auge del IoT, el BYOD es más peligroso aún, puesto que el número de dispositivos personales conectados a datos o redes internas se multiplica”.

Sobre la práctica del BYOD, Pedro González esclarece que, según los estudios de Kingston, “en más de la mitad de las empresas españolas, los empleados utilizan dispositivos personales para almacenar datos corporativos, lo cual supone un riesgo”. Si se trata de grandes compañías, Igor Unanue opina que “es posible implementar una política BYOD con medidas específicas”. Pero en el caso de las pymes no se muestra tan optimista y opina que es “una asignatura pendiente”.

Teléfonos móviles: ¿nos importa su seguridad?

Por lo que respecta a esa extensión casi natural del ser humano que es el smartphone, Mario García se refiere a este dispositivo como “una de las principales ciberamenazas para las pymes debido, principalmente, a los bajos e incluso inexistentes niveles de seguridad”. Y añade que, en 2020, “los teléfonos móviles inteligentes pueden convertirse en un auténtico quebradero de cabeza por los riesgos asociados al 5G y vectores de ataque como el malware móvil”.

A la hora de proteger los smartphones, Josep Albors cree que “la concienciación ha aumentado levemente, pero sigue siendo insuficiente para proteger los activos de una pyme de posibles ataques”. Un juicio compartido por Néstor Angulo de Ugarte, quien estima que, más allá de la concienciación, en la protección de los teléfonos móviles inteligentes también incluye el factor económico. “A diferencia de las grandes compañías, muchas pymes no tienen la posibilidad de reservar parte de su presupuesto para utilizar dispositivos de uso exclusivamente profesional”, justifica.

Para finalizar, Igor Unanue insiste en que “los datos son el activo a proteger, tanto si están en el smartphone como en el ordenador o el servidor. Y una buena forma de protegerlos es no instalando aplicaciones que no conozcamos en el teléfono”. Y Pedro González anima a los usuarios a “tomar medidas de seguridad” y a instalar en sus smartphones “herramientas como antivirus”.

10 consejos para prevenir ciberamenazas y proteger los datos

Por último, con el objetivo de que las pymes, en general, y las corredurías de seguros, en particular, protejan sus activos, desde Check Point, ESET, GoDaddy, Kingston y S21sec brindan los siguientes consejos a los lectores del blog de Xenasegur:

  1. Prevención, concienciación y formación constante son tres pilares básicos que las pymes siempre han de tener en cuenta para protegerse de los cibercriminales. A la hora de defenderse de las ciberamenazas, los expertos aconsejan ser proactivos.
  2. En lo referente a la proactividad, es recomendable hacer copias de seguridad de forma periódica, limitar los permisos de usuarios, realizar cifrados de datos o llevar a cabo auditorías de seguridad.
  3. Relacionado con el consejo anterior, el cifrado ayuda a maximizar la seguridad de los datos en los supuestos de robo o pérdida de un dispositivo móvil. Para las memorias USB, se recomienda el cifrado en hardware.
  4. En materia de formación, estar informado de las tendencias en ciberamenazas y ciberseguridad ayuda a conocer qué tipo de ataques se están produciendo y cómo podemos actuar para prevenirlos. Las pymes tienen que estar familiarizadas con el modus operandi de los cibercriminales y las malas prácticas.
  5. El soporte técnico de Windows 7 finalizó el pasado 14 de enero y quienes continúen utilizándolo estarán exponiendo sus activos. La solución pasa por migrar a sistemas operativos más modernos. Asimismo, debe utilizarse un buen antivirus tanto en los ordenadores como en los dispositivos móviles. Y hay que mantener todas estas herramientas continuamente actualizadas.
  6. Para evitar riesgos, es muy importante separar los entornos tecnológicos profesionales de los personales.
  7. No conectarse a redes públicas y abiertas con los dispositivos profesionales. Utilizar siempre conexiones cifradas a través de VPN o comprobar que las aplicaciones están cifradas punto a punto o que se navega por sitios que utilizan un certificado SSL válido (protocolo https o conexión segura).
  8. Consultar siempre con expertos cuando se reciban llamadas, correos o peticiones en las que se solicite algún tipo de transacción, ya sea económica o de datos. En el caso de las corredurías de seguros, es esencial que cuenten con un departamento o servicio externo especializado en ciberseguridad y ciberdelitos.
  9. Al manejar datos de carácter personal, las corredurías de seguros tienen que invertir en la protección de los mismos. Para ello, es preciso que se dejen asesorar por expertos en ciberseguridad y compliance con el objetivo de prevenir riesgos cibernéticos y posibles sanciones.
  10. No entrar en pánico. Si se sufre un ciberataque, es clave coordinarse cuanto antes con los profesionales adecuados. Y en función de su gravedad, el ciberincidente debe ser puesto en conocimiento de las Fuerzas y Cuerpos de Seguridad y de la Agencia Española de Protección de Datos (AEPD).

Artículos de interés relacionados:

Ciberseguridad: cómo influye el factor humano

Phishing: ¿qué es y cómo prevenirlo?

BYOD: ¿qué riesgos entraña?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *