La mayoría de los ciberataques van contra pymes, no importa el tamaño, porque suelen tener menos defensas que las grandes corporaciones (Imagen Ilustrativa Infobae)

Estamos transitando una época maravillosa, con la tecnología aplicada a cada aspecto de la vida diaria, a cada rutina, en todo momento. Transaccionar con el banco, comprar una entrada al cine, leer un libro, operar y administrar una pyme, todo esta digitalizado, todo está en el ciberespacio. Lo digital nos atraviesa.

En este mundo digital también se mueven los delincuentes, personas y organizaciones inescrupulosas que se aprovechan de nosotros para dañarnos. Estos delincuentes han construido un negocio que es el más grande y rentable, por mucho, de todos los negocios ilegales que se desarrollan en el mundo.

Debemos protegernos de estos delincuentes cibernéticos, debemos contar con ciberseguridad. Debemos incorporar la ciberseguridad a nuestros procesos, a nuestras vidas.

Se ataca por dinero, para llegar a algún contacto que sea más valioso que la propia pyme, para espiar, para dañar o por el solo hecho de obtener un triunfo como hacker

En este mundo de peligro digital y cibernético, los objetivos más expuestos son las pymes.

Vamos a tratar de derribar algunos mitos que las pymes tenemos sobre la ciberseguridad.

Mito 1: “A mi empresa no la van a atacar porque es chica”, “Nunca hemos tenido incidentes, así que estamos seguros”, “Mis datos no son valiosos”.

Verdad 1: La mayoría de los ciberataques van contra pymes, no importa el tamaño, porque suelen tener menos defensas que las grandes corporaciones. La mayoría de los ataques son por deporte y no contiene un fin económico. Se ataca por dinero, para llegar a algún contacto que sea más valioso que la propia pyme, para espiar, para dañar o por el solo hecho de obtener un triunfo como hacker. No haber detectado un ataque no significa que no haya ocurrido, muchas intrusiones permanecen ocultas durante meses. Todo dato tiene valor: clientes, proveedores, cuentasbancarias, correos y credenciales. Los ciberdelincuentes usan estos datos para extorsionar, vender a competidores o a otros delincuentes.

Mito 2: “Para qué me voy a proteger si igual me van a atacar y me van a dañar”.

Verdad 2: No hay duda de que todos fuimos, somos o seremos atacados por ciberdelincuentes, el tema es cómo enfrentamos ese riesgo y, en caso de suceder, cómo sobrellevamos el evento y qué hacemos para dificultar el accionar de los atacantes. Si éstos tienen éxito y logran vulnerarnos, cuánto tiempo estaremos inactivos? cómo será la operatividad luego del ataque? cuáles son nuestros procesos de defensa y de recupero?

El 60% de las pyme cierra dentro de los 6 meses posteriores a un ciberataque

Los datos son abrumadores. El 60% de las pyme cierra dentro de los 6 meses posteriores a un ciberataque. La pérdida promedio por ataque de ransomware es de USD 200.000. El 29% de las empresas argentinas fueron atacadas. Las consecuencias son: sistemas dañados, pérdidas de datos, pérdida de reputación y confianza, y graves multas por incumplimiento.

Mito 3: “Con un antivirus estoy protegido”, “Si hago un backup, ya estoy seguro”, “Si estoy en la nube, estoy cubierto”

Verdad 3: La seguridad va mucho más allá de un antivirus, backups y la magra seguridad de los servicios en la nube. Por ejemplo, los antivirus protegen de virus conocidos y se sabe que a diario aparecen cientos de virus que no están en el inventario, por eso, existe una batería de herramientas y medidas de defensa como EDR/XDR, firewalls, autenticación multifactor y, sobre todo, capacitación al personal. Para estar seguro con los backups se deben respetar varios factores: integridad, confidencialidad, disponibilidad, regularidad y aislamiento. Además, deben probarse en situaciones de desastre, y nada de esto ocurre. Son todas medidas mínimas que no se cumplen.

Respecto a la loca idea de que los servicios en la nube protegen nuestros datos les ruego que vayan a las condiciones de contratación y lean los aspectos referentes a la seguridad. Estos servicios apelan al concepto de responsabilidad compartida y descubrirán que solo, y como mucho, están protegidos en un 30% de los riesgos inherentes a un ciberataque.

Si las pymes quieren crecer hacia el exterior deberán cumplir con normas de ciberseguridad estrictas

Mito 4: “La ciberseguridad es muy cara, no puedo invertir en eso”

Verdad 4: La prevención es mucho más barata que el costo de un ataque (pérdida de datos, reputación, clientes, multas legales o incluso, la quiebra).

Hay una creencia generalizada que la ciberseguridad es onerosa y no tiene el ROI adecuado. Esto viene de antaño cuando los servicios se desarrollaban solo para corporaciones. Hoy, la oferta es amplia, variada y para todos los bolsillos. Las cifras están en niveles súper acomodados y al alcance de las pymes. Es entendible que la financiación a la que las pymes acceden se enfoca principalmente en el desarrollo de sus negocios: marketing, ventas, ampliación de la operación, adquisición de tecnología, etc. Pero sus negocios también dependen de la operatividad, y un ciberataque las puede dejar fuera del mercado. Si las pymes quieren crecer hacia el exterior deberán cumplir con normas de ciberseguridad estrictas, como la GDPR en Europa, la LGPD en Brasil, la LFPDPPP en México ó la nueva Ley de Protección de Datos de Chile (Ley 21.719). El cumplimiento de las normas constituye un requisito esencial para poder participar en mercados digitales regulados y protegidos. Sin este compromiso, resulta inviable establecer relaciones comerciales sostenibles y competitivas en dichos entornos.

Mito 5: “Mi personal está capacitado”, “La gente sabe cómo debe actuar en estos casos”

Verdad 5: Un error humano puede abrir la puerta a los ciberdelincuentes. La mayoría de las veces que los atacantes acceden a nuestros sistemas es a través de las personas. Estas son el eslabón más débil en la cadena de protección.

En términos de ciberseguridad las personas somos vulnerables: nuestras contraseñas son débiles o repetidas, tenemos falta de conciencia y capacitación al respecto, somos muy permeables a la ingeniería social, entre otros. Es por esta razón que una capacitación estratégica y diseñada ad hoc, es importantísima para asegurar la concientización del personal.

Cumplir con la ley es una verdad que también debemos tener presente en este caso. La Ley 25.326 (Protección de Datos Personales) obliga a todas las empresas a garantizar la seguridad, la confidencialidad y la actualización de los datos propios y de los clientes, entre otras obligaciones. Esto hace necesario contar con planificación y estrategias de ciberseguridad adecuadas a los marcos regulatorios existentes.

En resumen, es importante tomar conciencia y saber que el cibercrimen no es un riesgo futuro, ya es una amenaza real y en crecimiento.

Los riesgos crecen cada día, pero también las soluciones. Hoy las pymes pueden elegir entre ser vulnerables y sufrir, o estar protegidas.

Para las pymes , la ciberseguridad ya no es opcional: es parte del camino al crecimiento y estar protegido es la clave para seguir compitiendo.

El autor es socio fundador y CEO de Platinum Ciberseguridad