22.000 ciberataques a autónomos y a pequeños negocios: 4,2 millones de dispositivos vulnerables

El Instituto Nacional de Ciberseguridad (INCIBE) ha publicado su Balance de Ciberseguridad anual que se cerró en 2023 y que recoge un incremento del 24% de ciberataques a los autónomos y negocios respecto al año anterior. En total, desde el centro de respuesta a incidentes de seguridad (CERT) se gestionaron 83.517 procedimientos, de los cuales, más de 58.000 afectaron a particulares y el resto (más de 22.000 casos) a empresas privadas, incluidas pymes, micropymes y autónomos.

“Una cifra que puede ser muy superior”, comentó a este diario el especialista en ciberseguridad Antonio Herrera, “puesto que es difícil saber qué número de pequeños negocios no quieren, no saben o no pueden denunciar su caso a las autoridades, bien porque la cuantía de lo estafado sea poco importante, por vergüenza al haber caído en una estafa, aunque sea sofisticada o por simple dejadez”.

El problema es que ese incremento de incidentes relacionados con la ciberseguridad va a más, año tras año. Y nos afecta a todos. No en vano, INCIBE advirtió de que en España hay casi 4,2 millones de dispositivos vulnerables, que define como “puntos de conexión a internet que han sido detectados como potencialmente expuestos, comprometidos o vulnerables”, dado que pueden estar afectados por algún software malicioso, por estar mal configurados o bien expuestos en internet de forma no indeseada. Además, se identificaron 183.077 sistemas vulnerables, es decir, aquellos en los que los ciberdelincuentes tienen más facilidades para acceder.

La extorsión y la suplantación de identidad son los delitos digitales que más sufren los autónomos y negocios

“Y si bien es cierto que, atacando a las grandes empresas, los ciberdelincuentes pueden obtener recompensas más sustanciosas, el elevado número de particulares y de pequeños negocios que caen en estas trampas es lo suficientemente grande como para merecerles la pena”, recordó Antonio Herrera. Así, el cibercrimen va a más, y mueve ya el mismo volumen de negocio ilegal que otras actividades delictivas.

Según este experto, existen diferentes tipos de amenaza para los autónomos o los pequeños negocios. El primero son los ataques de ransonware, o secuestro de datos, en los que la víctima recibe un texto con un documento anexo, que suscita la suficiente alarma como para que este sea abierto e infecte documentos importantes, de forma que el ciberdelincuente pueda posteriormente exigir un pago económico para desbloquearlos. “Te paraliza el negocio si dependes de esos documentos o de esa información para hacer tu trabajo”, explicó Antonio Herrera, por lo que es fundamental efectuar copias de seguridad frecuentes para poder restablecer el funcionamiento del negocio enseguida”.

Otro tipo de ciberdelito habitual es el phising, o captación de datos financieros importantes y contraseñas bancarias mediante webs que simulan ser las de la propia entidad bancaria o mediante un comercio electrónico legítimo. “También está quien se hace pasar por un proveedor de la empresa, que solicita que se le pague a una cuenta corriente diferente, que por supuesto pertenece al ciberdelincuente y no a la empresa solicitante. Lo que supone, además de la pérdida económica, el comprometer la credibilidad de cara al proveedor”, explicó.

El smishing es la captación de estos datos y contraseñas bancarias mediante webs recibidas por SMS y que simulan ser las del propio banco o un comercio electrónico legítimo. “Incluso por Whatsapp o redes sociales, con la pega añadida de que los mensajes son tan verosímiles, amenazando con que proceden a bloquear las cuentas, que hasta los expertos dudamos a veces de su veracidad”, reconoció Antonio Herrera.

Los bancos aseguran que nunca van a solicitar que un negocio verifique sus datos importantes por mensaje o llamada

“Siempre hay solución” es una máxima que le gusta aclarar al experto, quien imparte de la mano de SafeUser cursos de concienciación en ciberseguridad. Por eso, entre las soluciones que aporta este experto para que autónomos y pequeños negocios estén protegidos frente al ciberdelito, predomina el sentido común.

• La primera es interesarse por todos estos temas “y tratar de aprender en la medida de lo posible, porque vamos a convivir con ello toda nuestra vida”. Así, buscar información en Google de fuentes oficiales o fiables es muy recomendable. “Y no pensar que esas cosas siempre les suceden a otros. Es sorprendente todo lo que puede aprenderse, aun no dedicándose a la tecnología”.
• La segunda es no confiar de buenas a primeras en cualquier mensaje recibido, “y sobre todo que implique urgencia para evitar que no suceda algo terrible”, aclaró Antonio Herrera. “Si hay que pensarse dos veces el contestar un mensaje normal y corriente, mucho más uno que pone en jaque algún aspecto de nuestra seguridad personal y empresarial”.
• En tercer lugar, además de pensar, hay que analizar mínimamente qué pone en el mensaje, de dónde viene, qué supone cumplir con el contenido... “A veces basta con situar el ratón, sin pulsar, sobre una dirección web o de correo electrónico, para ver claramente que se trata de una ciberestafa, pues el enlace es diametralmente diferente al que enunciaba el texto visto”.
• En cuarto lugar, las entidades bancarias llevan tiempo repitiendo que nunca van a solicitar que un negocio o un particular verifique sus datos importantes, ni mediante mensajes, ni a través de llamadas telefónicas. “Por tanto, hay que desconfiar de unos y otras”.
• Y el quinto consejo de este experto es disponer de unas claves de acceso o contraseñas más robustas, evitando repetir números o secuencias de ellos; fechas señaladas para el propietario; nombres de ciudades, calles o, en general, palabras que aparezcan en el diccionario... “Lo ideal es combinar mayúsculas, minúsculas, cifras y símbolos, lo que añade complejidad a la hora de averiguarla y, lo que es más importante, desincentiva al ciberdelincuente que trabaja al descuido, esto es, al que le basta con aprovechar las fisuras de tantas y tantas cuentas”. Y no anotarlas de cualquier modo, ni en cualquier sitio, recomendó el experto.

Es importante no fiarse de las redes wifi de centros comerciales, estaciones o espacios de coworking, y emplear los datos de navegación propios

Por último, el lugar desde el que se efectúa la conexión también es fundamental. “Y más en estos tiempos de wifis abiertas en centros comerciales e incluso espacios de coworking. Merece la pena estar seguro de que no se trate de una red fraudulenta, y emplear los datos de navegación propios, sobre todo si vamos a efectuar transacciones comerciales. Porque incluso se ha dado el caso de adhesivos con un código QR pegados sobre la propia cartelería oficial del aeropuerto o estaciones”.

Si las superofertas con precios increíbles o las ofertas de trabajo fraudulentas en redes sociales afectan a los ciudadanos de a pie, ¿cómo no va a afectar a los autónomos?, concluye Antonio Herrera. “La buena noticia es que siempre hay solución para todo, con un restablecimiento del sistema completo o al menos parcial”. La mejor prevención es, para este especialista, “una buena copia de seguridad y un poco de criterio. Al fin y al cabo, contar con el apoyo de un experto pueden ser 100 euros, y rehacerse de un incidente en ciberseguridad, suponer miles”, concluyó.