Los ciberdelincuentes ponen el foco en las pymes y los autónomos españoles: siguen creciendo los chantajes
El informe Cy-Xplorer 2024 de Orange revela un aumento alarmante del ciberchantaje, especialmente entre autónomos y pequeños negocios en España y Europa, destacando vulnerabilidades como la propia falta de concienciación ante el problema.
- Los negocios más pequeños sufren más ciberataques por su menor protección digital
- El chantaje digital se aprovecha de las vulnerabilidades tecnológicas y humanas de los pequeños negocios
- Vulnerabilidades comunes y estrategias para protegerse
La ciberextorsión se ha convertido en una de las amenazas en el ámbito digital con mayor crecimiento para las pymes, y especialmente para los autónomos y los pequeños negocios. Este segmento supone ya un tercio del total de víctimas registradas cada año. De hecho, en proporción, el impacto entre las pequeñas empresas equivale a más de cuatro veces el total del resto de organizaciones. Dichas cifras se extraen del reciente informe Cy-Xplorer 2024, publicado esta semana por Orange, que muestra el incremento de estos ataques y su impacto.
En este sentido, la división de ciberseguridad de esta operadora de telefonía ha estado observando de cerca las tendencias en chantaje cibernético desde el inicio de la década, y los resultados de la última edición del informe son contundentes: en los últimos 12 meses, el número de víctimas de las que se tiene constancia –y ahí está la clave– ha aumentado un 77%. Pero los autores del estudio estiman que la magnitud real del problema podría ser entre un 50% y un 60% mayor de los datos que se han registrado.
Los negocios más pequeños sufren más ciberataques por su menor protección digital
Como explicaron en el informe, los pequeños negocios son más propensos a sufrir ataques porque al ciberdelincuente le es más rentable enfrentarse a quienes muestran poca o ninguna resistencia. En este sentido, las microempresas, pymes y negocios de los autónomos suelen tener menos medidas de protección que las grandes.
En un contexto donde la digitalización avanza a pasos agigantados, los trabajadores por cuenta propia y los pequeños negocios se encuentran en una posición especialmente precaria. Estos resultan un blanco de los cibercriminales más a menudo en un fenómeno descrito en el informe como “cosecha indiscriminada”. Toda vez que los negocios más pequeños se ven arrasados por una avalancha de ataques debido a su mayor proporción y a sus, a menudo, insuficientes medidas de seguridad; estando menos preparados para detener este tipo de amenazas, lo que pone de manifiesto su desprotección.
A diferencia de otros tipos de ciberataques, la ciberextorsión no sólo busca robar información, sino que emplea tácticas para forzar a las organizaciones a pagar por la recuperación de sus datos o para evitar la divulgación de información sensible. Algo a lo que no pueden arriesgarse los pequeños negocios por su pérdida de credibilidad.
Así, el impacto de los chantajes no discrimina por el tamaño del negocio. Este enfoque masivo y aleatorio significa que ninguna pyme está a salvo, y cada vez más negocios se encuentran en la mira de estos ataques devastadores, que reflejan una tendencia ascendente sin signos de detenerse.
Siendo un fenómeno global, las cifras recogidas por Cy-Xplorer 2024 sitúan a España como el cuarto país europeo y el octavo a nivel mundial con mayor número de víctimas de ciberextorsión. Europa en su conjunto es la segunda región más afectada, habiendo experimentado un incremento del 60% en el último año.
El chantaje digital se aprovecha de las vulnerabilidades tecnológicas y humanas de los pequeños negocios
Los ciberdelincuentes emplean una variedad de técnicas y métodos para llevar a cabo delitos de extorsión, aprovechándose de las vulnerabilidades tecnológicas y humanas de los pequeños negocios. El informe detalla algunas de las tácticas más comunes y efectivas utilizadas por estos atacantes, proporcionando una visión clara de los riesgos a los que se enfrentan las organizaciones, especialmente las pymes y los trabajadores autónomos.
La obtención del acceso inicial a los equipos o entornos digitales de un negocio puede lograrse de diversas maneras. Una de las más simples y efectivas es el uso de contraseñas robadas o a través de ataques de fuerza bruta. Los ciberdelincuentes obtienen estas credenciales mediante diversas tácticas, incluyendo el phishing, donde se engaña a los usuarios para que revelen sus datos de acceso. Este sigue siendo una de las técnicas más prevalentes debido a su versatilidad y efectividad.
Otra técnica común es el SEO poisoning o campañas de malvertising, donde los atacantes utilizan plataformas de publicidad legítima para distribuir programas infectados. Las víctimas, al buscar software o servicios en línea, pueden hacer clic en enlaces publicitarios que las redirigen a versiones modificadas de estas aplicaciones, comprometiendo así sus sistemas.
En este sentido, la llamada ingeniería social sigue siendo una herramienta poderosa en el arsenal de los ciberdelincuentes. Manipulan a los profesionales para que realicen acciones que comprometan la seguridad, como proporcionar información sensible. Los atacantes pueden, por ejemplo, hacerse pasar por técnicos de soporte para favorecer el engaño.
Vulnerabilidades comunes y estrategias para protegerse
Los extorsionadores se aprovecha de varias vulnerabilidades y fallos comunes en la seguridad de los dispositivos. Éstas son algunas de las vulnerabilidades más críticas y las estrategias prácticas que se pueden implementar para mitigarlas, como propuso en este diario la especialista Encarnación Estévez, de Estrategia Digital.
Contraseñas y claves
Las contraseñas simples y que se emplean para múltiples cuentas facilitan que los ciberdelincuentes obtengan acceso a los sistemas. Por tanto, es fundamental utilizar claves fuertes y únicas para cada cuenta. Una forma de simplificar este proceso y aumentar la seguridad es utilizar un gestor de contraseñas, que no sólo sirve para almacenar las claves de forma segura, también para crearlas.
“Además, es deseable activar la autenticación multifactor (MFA) en todos los sistemas que lo permitan. La MFA requiere que los usuarios proporcionen dos o más formas de verificación antes de acceder, lo que dificulta considerablemente el acceso no autorizado”, continuó Encarnación Estévez.
Software no actualizado
El uso de programas desactualizados que se conectan a internet supone otra vulnerabilidad crítica, ya que son objetivos relativamente fáciles de atacar. Así, una buena idea es configurar las actualizaciones automáticas para todas las aplicaciones, además de sistema operativo; asegurando que siempre se esté utilizando la versión más segura.
Ingeniería social y falta de concienciación
La ingeniería social sigue siendo una táctica efectiva para los cibercriminales, especialmente debido a una falta de concienciación y formación en seguridad digital entre los usuarios. Puede que resulte complicado estar al día de todo lo que sucede en esta materia, pero existen multitud de recursos a los que se puede acudir; sin ir más lejos, ATA celebró el en mayo un curso de ciberseguridad para los emprendedores de Murcia.
Copias de seguridad
Muchas pymes y profesionales carecen de sistemas de respaldo robustos y actualizados, lo que no impide ser víctima de ciberextorsión, pero sí agrava su posible impacto. La solución pasa por realizar copias de seguridad completas y cifradas de los datos críticos de manera regular. Tanto Windows como MacOS tienen sus propias herramientas que permiten programar copias de seguridad automáticas diarias o semanales. Conviene que estos respaldos se almacenen en ubicaciones seguras, preferiblemente en dispositivos externos o servicios en la nube.
Estrategia de protección
La falta de medidas concretas de cara a la seguridad, como la ausencia de un antivirus o firewall en todos los dispositivos que se utilicen para el trabajo, representa una gran vulnerabilidad. De forma similar, hay que tener claro qué hacer cuando se nota algo sospechoso, como un comportamiento anómalo del ordenador o al recibir correos electrónicos fraudulentos.
Cuando se tienen sospechas de este tipo de delitos se puede acudir al Instituto Nacional de Seguridad (Incibe), que cuenta con una línea de ayuda en el teléfono 017. Mientras que la Brigada Central de Investigación Tecnológica de la Policía Nacional es el organismo adecuado para tramitar una denuncia.