Los ciberdelincuentes atacan a grandes empresas a través de sus proveedores autónomos, alerta Incibe

Si bien es cierto que la digitalización ha traído infinidad de cosas buenas para las empresas, también ha provocado la creación de nuevos riesgos. En los últimos años, los ciberataques han aumentado de forma exponencial, provocando, en muchas ocasiones, el cierre de muchos negocios. Principalmente los de menor tamaño, ya que son los que suelen tener menos recursos para protegerse. 

Los ciberdelincuentes han encontrado en esta debilidad de las pequeñas empresas y negocios una vía para conseguir atacar a las grandes corporaciones. Según advirtieron desde el Instituto Nacional de Ciberseguridad (Incibe), dependiente del Ministerio de Asuntos Económicos y Transformación Digital, en los últimos años ha aparecido una nueva forma de atacar al tejido empresarial: el Island Hopping, una estrategia bélica utilizada en la actualidad para hacer daño a grandes empresas a costa de atacar digitalmente a las pequeñas empresas y autónomos que trabajan para ellas. 

Los ataques se centran en los pequeños negocios con el fin de hacer daño a las grandes empresas

Actualmente, España se encuentra entre los cinco países a nivel mundial dónde se producen más fraudes y estafas en internet, según un informe presentado por el antivirus AVAST el pasado año. “En España, la probabilidad de que un trabajador por cuenta propia se encuentre con cualquier tipo de malware en su ordenador es de más del 20%, según recoge el informe. Un porcentaje “alarmante” en comparación con la media mundial.

La mayor problemática es que, según diversos estudios, cerca del 60% de las pequeñas y medianas empresas que cierran lo hacen como consecuencia de un ciberataque. 

Por ello, y con el objetivo de que las empresas de menor tamaño puedan tener conocimientos sobre las distintos tipos de ciberataques y, en consecuencia, puedan prevenirlos, el Instituto Nacional de Ciberseguridad (Incibe) ha publicado una nueva guía informativa. En esta ocasión, para hablar del conocido como Island Hopping, un ataque que “puede representar” una verdadera amenaza para los negocios. 

“El término Island Hopping es más antiguo de lo que parece, ya que proviene de la Segunda Guerra Mundial. En aquella época hacía referencia a una estrategia militar del ejército estadounidense, cuyo fin era llegar a Japón para terminar por fin con la guerra, pero, en vez de atacar directamente al Japón continental, decidieron centrarse en algunas de sus islas aliadas con una capacidad de defensa menor (como la isla Marshall o Guam), aunque estratégicamente importantes para el país”, recoge la nueva guía de Incibe. 

Según explica el instituto, los ciberdelincuentes han empezado a utilizar esta técnica bélica. “Al igual que el ejército de Estados Unidos, los ciberdelincuentes usan esta estrategia hoy en día, pero en estos tecnológicos tiempos Japón sería una empresa grande y asentada en seguridad de la información, y las islas serían sus proveedores más pequeños”. 

En otras palabras, la base de este ciberataque no es centrarse en el objetivo principal, sino en sus afiliados. Es decir, aquellos autónomos, pequeños negocios y pymes que trabajen con la gran empresa en cuestión, ya sea porque sean proveedores o tengan acuerdos.

Normalmente, según Incibe, las empresas más grandes “están dotadas de herramientas de ciberseguridad y un equipo de personas expertas en la materia que es más difícil de quebrantar”. Por ello, en estos casos, “atacarlas no tendría sentido” y, por eso, deciden tomar la estrategia Island Hopping. 

“Los ciberdelincuentes empiezan primero por sus proveedores u otras empresas más pequeñas que su objetivo, ya que no tienen tantas medidas de seguridad y son más fáciles de dominar. De este modo, recaban la información necesaria para llegar a ‘’su Japón’’, es decir, su principal objetivo”, explica Incibe en su guía. 

Qué puede hacer un pequeño negocio para protegerse ante esta estrategia de ciberataque

Según explicaron desde Incibe, uno de los pasos más importantes para evitar un ciberataque, independientemente del tipo del que se trate, es la formación y concienciación de los empleados. “Contar con unas políticas y procedimientos adecuados y que los empleados las conozcan y las apliquen es la base que ayudará a disminuir la posibilidad de ser atacados”, según Incibe.

No obstante, hay una serie de recomendaciones que desde el Instituto Nacional de Ciberseguridad (Incibe) comparten en su guía con el objetivo de que los negocios y pequeñas empresas puedan evitar una violación y mantener su información a salvo: 

• Implantar la autenticación multifactor que, ante la poca robustez de las contraseñas que en ocasiones son genéricas, predecibles y fácilmente vulnerables, “se ha convertido en una necesidad para mantener los dispositivos de una empresa seguros”.
• Contar con copias de seguridad de los datos de la empresa en una ubicación diferente.
• Reforzar la seguridad de correo electrónico, ya que es “uno de los puntos de entrada más comunes en el Island Hopping, a través de técnicas como el Phishing”.
• Proteger todos los dispositivos, ya que el riesgo no está solo en ordenadores de mesa y portátiles, sino también en teléfonos móviles, tabletas, impresoras y otros dispositivos conectados a la Red que los empleados usan habitualmente.
• Mantener siempre el software actualizado. 
• Contar con un sistema de respuesta ante incidentes sólido, para reaccionar a tiempo en caso de ataque.

Otros ciberataques que pueden afectar a los autónomos y pequeños negocios

En 2023, se espera que este tipo de ataques crezcan todavía más y sean cada vez más sofisticados. Los analistas de servicios de seguridad de la empresa de ciberseguridad Kaspersky tienen un informe sobre sus predicciones acerca de las tendencias en ciberamenazas a las que se enfrentarán empresas y administraciones públicas este año.

• Chantaje: los hackers publican un post con la cuenta atrás para una fuga de datos

Antes, los ciberdelincuentes se comunicaban directamente con la víctima, pero ahora publican de forma instantánea las brechas de seguridad en sus blogs, en los que, además, configuran una cuenta atrás. Si no se abona el rescate, amenazan con publicar la información cuando el cronómetro llegue a cero. 

• Los cibercriminales publicarán falsas fugas de datos para mejorar su reputación

Las publicaciones en blogs sobre extorsiones atraen la atención mediática y hay quien se beneficiará de ello en 2023. Algunos ciberdelincuentes informarán públicamente de que han pirateado una empresa. Haya o no ocurrido realmente, estos artículos pueden dañar al negocio, al tiempo que mejoran la ‘reputación’ del ciberdelincuente.

• Malware-as-a-service, ataques a través de la nube y datos comprometidos en la dark web

Los expertos también vaticinan el aumento de los ataques de ransomware por el incremento del Malware-as-a-Service. Los ataques aumentarán su complejidad, motivo por el que los sistemas automatizados no serán suficientes para garantizar la seguridad al 100%.