Los autónomos ante el ciberriesgo

Estamos inmersos en la era de la digitalización. Las tecnologías de la información están facilitando el crecimiento de los negocios. Sin embargo, las grandes ventajas que conlleva este fenómeno que permite agilizar los procesos y vender en cualquier punto del planeta también supone la apertura a nuevos escenarios de riesgo que antes no existían y que los autónomos deben conocer. Por ello, la Fundación MAPFRE ha elaborado la “Guía para proteger tu negocio frente a los ciberriesgos”.

“Constituye un error frecuente el afirmar que los ataques informáticos sólo los sufren las grandes empresas, cuando la realidad demuestra que, al margen del tamaño que tengan, ninguna está a salvo”, señalan desde la Fundación.

“Poco a poco nos damos cuenta de a qué nos enfrentamos”. Las estadísticas cibercriminales son cada vez más alarmantes. Las pérdidas de las empresas, grandes o pequeñas, se cifran ya “en millones de euros”.

En solo dos años, la cifra de ataques cibercriminales se ha disparado en un 140%. Además, el pasado año batió el récord situándose en más de 120.000 incidentes registrados, según el Instituto Nacional de Ciberseguridad de España (Incibe). Unos datos sumamente alarmantes teniendo en cuenta que en 2014 solo se registraron 18.000 ciberataques.

El objetivo de esta guía es concienciar tanto a autónomos como a pymes de la existencia de los ciberriesgos, además de aportar las medidas preventivas que pueden adoptar para protegerse de ellos.

¿Qué es un ciberriesgo?

Un ciberriesgo es cualquier amenaza que puede afectar a un sistema informático, así como al conjunto de datos contenido en el mismo. Se puede producir como consecuencia de acciones intencionadas de personas, los llamados ciberdelincuentes, o por errores y fallos de sistemas no diseñados a priori para causar un perjuicio, como un fallo de alimentación eléctrica en un servidor.

• Las consecuencias pueden ser diversas, Fundación MAPFRE señala unos ejemplos de los efectos que producen estos ciberriesgos:
• Robos de datos que pueden comprometer la integridad del negocio, o datos sensibles de los clientes.
• Los virus o la manipulación de información, como la modificación de movimientos contables o transferencias a entidades financieras.
• Modificaciones del contenido web del negocio, “que no solo pueden dañar la reputación de nuestra empresa, sino también la de nuestros clientes y visitantes web”.
• Robos de identidad de personas físicas para su uso posterior por delincuentes en diferentes tramas de delitos.
• Pérdidas de información sensible almacenada en portátiles, ordenadores o dispositivos de almacenamiento portable.
• Robo de propiedad intelectual o comercial para su posterior uso, así como supuestos de venta a la competencia o extorsión a la empresa afectada.

¿Quién está expuesto al ciberriesgo?

Prácticamente toda la sociedad está expuesta a estos riesgos. “Podemos incluir tanto a las familias como a las empresas dentro de los sujetos potenciales, si bien las empresas presentan una mayor exposición a este riesgo, ya que los modelos operativos han ido evolucionando, generalizándose el uso de los sistemas informáticos y convirtiendo en muchas ocasiones el uso de la tecnología en un punto crítico para el buen funcionamiento del negocio”, señala Fundación MAPFRE.

Cualquier empresa o negocio, con independencia de su tamaño o el sector en el que opere, que maneje datos y use sistemas de información está expuesto al ciberriesgo.

¿Cuáles son los riesgos más comunes?

Los riesgos más comunes a los que están expuestos los profesionales autónomos y las pymes son los siguientes:

• Problemas de accesibilidad o disponibilidad: Dificulta a los usuarios de la red de la empresa el acceso a la información, inhabilitando el sistema que los alberga.
• Accesos no autorizados o confidencialidad: Alguien accede a información para la que no tiene permiso. Por ejemplo, “realizando copias o extracciones no autorizadas mediante el robo de ficheros o bases de datos, o visualizando información sin contar con los permisos pertinentes”.
• Modificación deliberada de la información o integridad: Alguien sin autorización modifica los sistemas de información o los datos que albergan estos, de forma que no reflejen la realidad.

¿Qué métodos usan los ciberdelincuentes?

Los ciberdelicuentes son aquellas personas cuya actividad delictiva se centra en internet y en los sistemas informáticos. “Las variables de métodos usados por los ciberdelincuentes aumentan de forma exponencial, tanto por el propio incremento del uso de las tecnologías como por la complejidad de los mismos”, señala Fundación MAPFRE.

Entre los métodos que más usan los ciberdelicuentes para cometer sus crímenes, Mapfre destaca los siguientes.

• Ataque de fuerza bruta: Se trata de un procedimiento para averiguar una contraseña. El ciberdelincuente analiza de manera secuencial todas las combinaciones posibles hasta encontrar la combinación correcta para el acceso a una aplicación o sistema de información.
• Denegación de servicio: Mapfre lo define como “el conjunto de técnicas que tienen como objetivo dejar un servicio inoperativo”. La intención de este ataque es modificar o sobrecargar un servidor para impedir que los usuarios legítimos puedan acceder al servicio.
• Phishing: Es una estafa en la que el criminal pretende conseguir información confidencial (contraseñas, datos bancarios, etc.) de forma fraudulenta. El estafador suplanta a una persona o empresa de confianza para que el receptor perciba al ciberdelincuente como una fuente oficial o legítima. De este modo, facilita los datos privados “que resultan de interés para el estafador”.
• Ransomware: En este caso, se lanza un ataque que restringe el acceso al sistema y exige el pago de un rescate para eliminar la restricción. Los ataques más peligrosos los han causado ransomware como WannaCry, Petya, Cerber, Cryptolocker y Locky.
• Suplantación de identidad: “Es la actividad maliciosa por la que un atacante se hace pasar por otra persona para cometer algún tipo de fraude”.

“La razón fundamental por la que una empresa se puede ver atacada reside en la capacidad que tenga el ciberdelincuente de obtener un beneficio del ataque perpetrado. Existen sectores que son más proclives a los ataques informáticos, como el bancario y el retail, o incluso el comercio minorista. La razón es que lo que pueden obtener es muy valioso, como la venta de números de tarjeta o la obtención de saldos bancarios”, señalan desde la Fundación.

Los autónomos en riesgo de ciberextorsión

En algunos casos, los ciberdelincuentes “hacen uso de la violencia o de la intimidación a través de los medios informáticos, con el objetivo de que la víctima realice un pago o compensación económica a favor del delincuente”.

El mayor problema es que no existe ningún contacto entre el extorsionado y el extorsionador además del que acaece en las redes. La guía detalla algunos ejemplos de ciberextorsión que pueden sufrir los autónomos:

• Bloqueo de la información o de programas informáticos que impida la realización normal de la actividad.
• Secuestro de acceso a teléfonos móviles.
• Bloqueo de cuentas personales en diferentes redes sociales.
• Amenazas de publicación de información obtenida de la víctima.
• Envío de comunicados solicitando información personal bajo amenazas.
• Amenazas de saturación de los servidores web para evitar que puedan prestar servicios a los clientes.

“Lo normal es que un ciberdelincuente entre en un ordenador personal sin que el usuario se dé cuenta, bien a través del correo electrónico, bien al descargar algún archivo de un sitio malicioso”, señala la entidad.

Los ciberdelincuentes se usan de un programa informático que tiene efectos no deseados o maliciosos, conocido como ‘Malware’. Por lo natural, actúan sin que el usuario del equipo se dé cuenta. Suelen entrar a través del correo electrónico, la mensajería instantánea, descargas de software en sitios maliciosos o mediante la copia de ficheros en medios extraíbles, el más habitual es el dispositivo USB.

El programa malware se encarga de encriptar los archivos y de dejar un mensaje a la víctima con los pasos a seguir para el rescate, adjuntando la dirección o monedero electrónico donde debe depositar el dinero para que, posteriormente, se le entregue una herramienta o clave de descifrado que le sirva para poder recuperar los ficheros encriptados.

El sistema o los archivos encriptados son liberados si el usuario le paga un “rescate”, normalmente en moneda “bitcoin”, al ciberdelincuente. En este sentido, la criptomoneda –un método de pago al alza- también se está convirtiendo en un problema. Según datos de Trend Micro, en la primera mitad del año se han disparado un 956% los ataques de minado de criptomonedas.

¿Cuáles son las principales consecuencias de un ciberataque?

Fundación MAPFRE avisa de que las consecuencias de un ciberataque pueden ser muy graves para el autónomo o la pyme. A través del acceso a los sistemas de información, se puede estar expuesto a las siguientes situaciones:

• Pérdida de datos: Los ataques cibernéticos normalmente intentan el robo de información sensible como datos de clientes, investigaciones, estrategias empresariales o informes financieros. Perder esta información privada puede suponer la quiebra de muchas empresas.
• Desembolso económico: No solo conlleva un desembolso importante el propio pago de la extorsión, en multitud de ocasiones los costes de reparación y limpieza de las infraestructuras afectadas conlleva un impacto económico.
• Cambio en el modelo de negocio: “en ocasiones es necesario replantearse la forma en que se tratan, almacenan y protegen los datos y la información sensible para asegurarse de que los sistemas informáticos existentes no vuelvan a ser vulnerables”.

A veces, el autónomo incluso opta por no volver a almacenar los datos personales especialmente sensibles o los datos financieros de sus clientes, tales como tarjetas de crédito o fechas de nacimiento, “por el riesgo que ello conlleva de cara a las potenciales multas y sanciones”.

- Pérdida de confianza: Tras haber sufrido un ciberataque, los empleados suelen sentirse inseguros. Pero, más importante, los clientes pueden abandonar la empresa, ya que se ha violado, aunque sea por medio de personas ajenas a la empresa, su privacidad al acceder a sus datos.

Permanece atento a nuevos artículos que publicaremos sobre este tema, en los que trataremos las consecuencias y obligaciones legales relacionadas con los ciberriesgos, cómo proceder si recibes un ciberataque, o qué medidas preventivas puedes implantar para evitarlos.