La ciberseguridad en Pymes de España

Sin duda alguna, la ciberseguridad es uno de los principales aspectos que deben cuidar las empresas. Es importante en cualquier empresa, grande o pequeña, pues los daños ocasionados a nivel interno pueden ser enormes. Más aún cuando se trata de empresas con reducidos recursos, ya que un ataque malicioso podría suponer su fin. Por ello echamos hoy un vistazo a la situación de las pymes españolas y cómo pueden mejorar en este aspecto.

Una empresa, sea del tamaño que sea, debe protegerse ante el crecimiento que están experimentando los ciberataques. Para conseguirlo tendrán que tomar un importante número de medidas y realizar cambios en su manera de trabajar, algo que puede resultar engorroso, pero a su vez estrictamente necesario.

Dentro de este panorama, las empresas no se encuentran solas en su lucha contra la ciberdelincuencia, sino que cada vez más cuentan con el apoyo de los organismos nacionales y también a nivel continental, aportando constantemente medidas como nuevas leyes u organismos especializados.

De ahora en adelante nos sumergimos en la situación que están viviendo las pymes españolas en cuanto a ciberseguridad. Para ello nos apoyaremos en el estudio realizado por Google, Panorama actual de la Ciberseguridad en España. Retos y oportunidades para el sector público y privado.

La Administración española y la ciberseguridad

Ante el auge de la ciberdelincuencia, las diferentes entidades estatales y europeas han puesto en funcionamiento medidas para su freno, tanto en forma de leyes como de creación de organizaciones expresamente dedicadas a ello.

Según este estudio de Google, los partidos políticos españoles cada vez tienen más en consideración el tema de la ciberseguridad en sus campañas electorales, recogiendo la mayoría de ellos propuestas claras a este respecto.

Más allá de promesas electorales, sí que hay definido un claro marco legal europeo y español en lo que a ciberseguridad se refiere, quedando éste conformado por las siguientes leyes y directivas:

Una de las principales dificultades que encuentran los expertos a la hora de legislar en ciberseguridad es el hecho de que los ataques pueden provenir de cualquier rincón del planeta, suponiendo un obstáculo importante desde el punto de vista de la jurisdicción. Además, sigue siendo realmente complejo detectar el origen de muchos de estos ataques.

En cuanto a los principales estamentos especializados en ciberseguridad, tenemos:

  • El Centro Criptológico Nacional del Centro Nacional de Inteligencia (CCN-CERT), que se encarga del Sector Público.
  • El Instituto Nacional de Ciberseguridad de España (INCIBE-CERT), especialmente destinado a ciudadanos particulares y empresas
  • El Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), para las empresas de suministros, como luz, agua, gas, etc.
  • El Mando Conjunto de Ciberdefensa (ESPDEF-CERT), para los sistemas del ejército español.

Aunque cada organismo tenga unas competencias más o menos definidas, su coordinación es clave para un adecuado nivel de ciberseguridad de todo el país.

Los principales ciberataques a las pymes de España

Cambio de tendencia en los ciberataques

Se observa un cambio de tendencia en los ciberataques, pasando de ser objetivos las grandes empresas y multinacionales a serlo las pymes. Esto deriva en que la naturaleza de estas ofensivas también se está modificando. Ahora se realizan masivamente y tienen menos complejidad técnica, puesto que las pymes suelen tener un nivel más bajo de preparación para enfrentarse a ellos. 

Otras aspectos reseñables es que cada vez son menos los hackers que lanzan ciberataques por pura diversión, sino que la mayoría buscan sacar algún rédito del mismo. Una característica muy importante a resaltar es que la mayoría de ciberataques requieren de la intervención de las víctimas, aprovechándose así los delincuentes del escaso conocimiento o destrezas en ciberseguridad de estas.

Algunas cifras significativas

Según las últimas estadísticas recogidas por el INCIBE, en 2018 en España tuvieron lugar un total de 102.414 incidentes de ciberseguridad contra ciudadanos y empresas, los cuales fueron el 92% de las víctimas totales de los ciberdelincuentes.

En lo que a las pymes respecta, los ataques más numerosos se correspondieron con:

  • Ransomware.
  • Secuestro de sistemas.
  • Fugas de información y ciberestafas.

¿Qué consecuencias económicas tienen los ciberataques para las pymes?

Un ciberataque puede ocasionar pérdidas de en torno a unos 75.000 euros de media por cada uno de ellos. En el total nacional, esto se tradujo en unos 14.000 millones de euros en pérdidas, incluyendo grandes compañías y pymes.

En el caso exclusivo de las pymes, el coste promedio del ciberataque es de 35.000 euros, un gasto que supone el fin del 60% de estos negocios a lo largo de los siguientes 6 meses. Pero no sólo debemos hablar de pérdidas económicas, sino que un ciberataque también desemboca en una bajada del prestigio de la empresa, viéndose más vulnerable de cara a sus clientes y entorno.

Ciberseguridad en Pymes de España

Grado de ciberseguridad en pymes españolas

A lo largo de este informe se recurre a algunos estudios para conocer el nivel de ciberseguridad de las pymes españolas. Por ejemplo, el de la consultora tecnológica estadounidense BitSight, que manifiesta que las empresas españolas se sitúan por debajo de la media europea en ciberseguridad. También se recogen datos del “The Vodafone Cyber Ready Barometer 2018”, que califica a España como “reactiva” en ciberseguridad, pero con mucho que mejorar.

Aunque son unas conclusiones útiles para hacernos una idea del nivel de seguridad digital de la sociedad española, no servían para estudiar el caso preciso de las pymes, por lo que realizaron una encuesta a 720 de ellas.

De estas, las principales medidas de protección que tomaron frente a ciberataques fueron:

  • Sistema de verificación en 2 pasos.
  • Protocolo https.
  • Actualización de dispositivos.
  • Cambio de contraseña.
  • Certificado SSL (e-commerce).
  • Doble factor de autenticación en el pago (e-commerce).
  • Almacenamiento en la nube.

Un aspecto importante a mejorar que se recoge es la falta de normas concretas sobre ciberseguridad, así como una política específica, con protocolos de actuación bien definidos.

Cómo se comportan los trabajadores en lo referente a ciberseguridad

Anteriormente hemos hablado sobre la necesidad de la colaboración involuntaria de los propios empleados para el éxito de un ciberataque. Por tanto, será importante analizar cómo actúan ellos frente a posibles amenazas o cuál es su grado de preparación.

La encuesta de Google a pymes a la que hemos hecho referencia recoge las siguientes conclusiones al respecto:

  • El 30% de los responsables informáticos cree que los trabajadores están debidamente concienciados.
  • El 60% de las pymes restringe el acceso a información sensible.
  • En el caso de teletrabajar, esto se realiza empleando escritorios remotos en el 48% de los casos, y tecnología en la nube en el 44%. 
  • Existe una clara falta de formación en ciberseguridad para los trabajadores.
  • Como consecuencia de estas lagunas formativas, muchos no sabrían cómo actuar ante una incidencia.

Firma digital y ciberseguridad en pymes

Una vez analizado el panorama de las pymes españolas en lo que a ciberseguridad se refiere, se estima claramente necesaria la toma de medidas que potencien su protección frente a la multitud de amenazas digitales existentes.

Una de estas soluciones en pro de la ciberseguridad es la firma digital, un recurso que dificultará en gran medida el éxito de los ciberataques relacionados con la identificación y la gestión de documentos

La firma digital supone un refuerzo contra los delitos de falsedad documental, ya que se trata de un recurso extremadamente difícil de falsificar, al tratarse de un procedimiento criptográfico complejo.

Además de evitar la suplantación de la identidad, la firma digital también protege a sus usuarios de la manipulación de documentos una vez hayan sido firmados, aportando pruebas irrefutables que permiten su anulación. De esta forma, por ejemplo, será imposible cambiar las cláusulas de un contrato o acuerdo una vez se haya estampado la firma digital en él, de modo que nunca saldremos perjudicados en el caso de que alguien lo intente.

Por otra parte, permite el uso de la tecnología en la nube para su custodia, así como de los certificados digitales que en algunos casos son necesarios para llevarla a cabo. De esta manera será posible establecer rígidas medidas de autenticación para su acceso, la conocida como autenticación robusta.

En definitiva, nos encontramos en una coyuntura en la que las pequeñas y medianas empresas españolas deben ser muy cuidadosas respecto a su ciberseguridad. Un aspecto en el que aún les queda mucho por mejorar. Una evolución que esperamos se acelere como consecuencia de la actual situación sanitaria, que ha hecho crecer los ciberataques hasta unas cotas que a estas alturas aún son difíciles de cuantificar.

Desde Viafirma podemos aportar a pymes soluciones de firma digital y autenticación 100% seguras, de manera que cubran muchas de sus necesidades de ciberseguridad adaptándose por completo a sus necesidades y procesos.