Un ciberataque puede vaciar la cuenta bancaria de un autónomo
Los ciberatacantes se aprovechan cada vez más de la desinformación de los negocios para estafarles. Un criminal informático puede hacerse con los datos de la cuenta bancaria de un autónomo y vaciarla por completo, según nos explican dos expertos en ciberseguridad.
Durante 2018, el número de ciberataques a pequeñas y medianas empresas se incrementó en un 47%, lo que se traduce en 38.000 casos. Tanto las pymes como las startups son las entidades que más expuestas se encuentran ante este tipo de incidentes debido, principalmente, a la falta de recursos para protegerse. No obstante, a pesar de esta exposición a los cibercriminales, España es el sexto país más seguro de Europa en este sentido, según VPNOverview.
Existe cierta desinformación sobre lo que realmente significa un ciberataque para un negocio, además de una falsa creencia de que los criminales informáticos no sienten interés por las empresas de menor tamaño. “Las pymes no son inmunes a sufrir ciberataques, aunque a menudo este tipo de empresas tienden a pensar que son ‘peces pequeños’ en comparación con otras organizaciones y, por tanto, creen que no merecen la pena como objetivo”, explica Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal.
¿Cuánto dinero puede perder un autónomo con un ciberataque?
La realidad es que un ataque informático puede causar perjuicios muy graves a un negocio. Frédédic Dubout, Consultor de Fraude a nivel EMEA de Experian, señala que solamente a nivel financiero se puede perder grandes importes de dinero. “Por ejemplo, a través de una transferencia, el defraudador puede vaciar totalmente una cuenta bancaria. No puedo dar un dato exacto de lo que puede perder una empresa porque el importe del robo depende del dinero disponible”.
Anaya, por su parte, sostiene que al dinero que se pierde directamente en el robo hay que sumarle los daños en infraestructura de TI (redes informáticas); esto supone que estos fraudes puedan llegar a superar los 1,2 millones euros, de acuerdo a un informe de Ponemon Institute sobre ciberseguridad en pequeñas y medianas empresas. Además, los pequeños negocios “pueden verse especialmente afectadas por la normativa RGPD, ya que, de no cumplir sus requisitos, pueden afrontar sanciones financieras”, añade.
Según Dubout, otro de los grandes problemas se produce cuando se trata de un robo de datos de la tarjeta de crédito, con los que el criminal puede realizar compras con el dinero del negocio estafado. El experto en fraude de Experian explica que los bancos son capaces de encontrar las tiendas en las que se han realizado las compras y recuperar el dinero. No obstante, si el autónomo no tiene correctamente autentificados los datos de la tarjeta, la entidad bancaria se quedará el dinero recuperado.
Pero otro gran problema, señala Dubout, es la pérdida de credibilidad del negocio, que puede suponer la merma de clientes y, por ende, una caída masiva de las ventas. Además del descenso de la confianza de las empresas que trabajan con el autónomo, como los proveedores, que no verán con buenos ojos trabajar con un negocio que no está protegido ante un ciberataque.
¿Qué pretende conseguir un cibercriminal?
Los ciberdelincuentes han encontrado nuevas maneras de aprovecharse del denominado "factor humano", es decir, de la confianza y la curiosidad que lleva a personas bien intencionadas a entrar en el juego de los atacantes, señala Fernando Anaya. Las ciberamenazas pueden ser de diferentes tipos, desde engañar a usuarios para que hagan click en enlaces maliciosos y consigan instalar malware, hasta correos electrónicos que suplantan la identidad de un miembro de confianza de la organización para convencer a los empleados de que envíen fondos o revelen datos confidenciales.
Frédédic Dubout explica que un estafador informático puede tener varios objetivos. Unos quieren hacerse con datos como la base de clientes de la empresa, los bienes que venden a través de sus sitios web; otros atacan directamente al aspecto financiero, transfiriendo dinero directamente de la empresa a sus cuentas.
“En principio, apuntan al eslabón más débil a través de la ‘ingeniería social’, que consiste en suplantar la identidad de una persona que parezca de confianza y pedir información para tener acceso al sitio que les interesa. La ingeniería social intenta manipular a la gente para conseguir información”, dice Dubout; que añade que en los últimos 15 años ha aumentado mucho el phishing, una modalidad de ingeniería social cuya particularidad es que se hace a gran escala. Se trata de enviar millones de e-mails pidiendo información sobre la persona y sus credenciales de acceso a cuentas. Una vez obtenido, el ciberdelicuente puede entrar en las cuentas del negocio a placer.
¿Cómo puede protegerse un autónomo ante un ciberataque?
Normalmente, los pequeños negocios suelen contar con menos margen de maniobra que organizaciones de mayor tamaño respecto al impacto financiero que pueda tener una transferencia fraudulenta o errónea, o bien en cuanto a fondos para reparar o recuperarse frente a posibles daños, explica Anaya. También es menos probable que tengan acceso a herramientas técnicas avanzadas que les ayuden a prevenir que esos ataques lleguen a sus empleados.
“Todo esto significa que, en general, los errores de los usuarios tendrán mayor coste y afectarán en mayor medida su sostenibilidad como organizaciones. Hemos llegado, por tanto, a un punto en que las habilidades en ciberseguridad no son algo que esté simplemente bien que tengan los empleados, sino que han pasado a ser un imperativo dentro de las empresas”, explica el experto de ProofPoint.
Algunas tecnologías de defensa, como antivirus o firewalls, resultan fundamentales en cualquier estrategia de ciberseguridad, señala Anaya. Es de vital importancia garantizar su actualización a medida que los atacantes desarrollan y adoptan nuevas formas de estafa. Sin embargo, “esto solo es una parte de lo que debería ser una defensa óptima en ciberseguridad para una pequeña o mediana empresa”. En la actualidad, los ataques se dirigen cada vez más a las personas, y no únicamente a las infraestructura del negocio, “ya que es mucho más sencillo explotar la vulnerabilidad humana mediante tácticas de ingeniería social simples, pero sofisticadas, en correos electrónicos de phishing”.
No obstante, a la hora de protegerse de este factor humano, “son muy pocas las pymes que dan valor a formar a sus empleados para hacerlos más resistentes a las tácticas de ingeniería social”, señala Anaya; y, “sin un mayor nivel de concienciación en este sentido, siempre habrá alguien en la empresa que haga clic donde no debe”. Por este motivo, los programas de formación deben ir más allá de un simple curso online a realizar por los empleados, deben conseguir que éstos sean cada vez menos vulnerables a las ciberamenazas y puedan detectar cualquier intento de ingeniería social. De modo que los correos electrónicos fraudulentos puedan ser identificados a tiempo antes de que causen daños significativos.
En definitiva, para que los negocios de menor tamaño puedan prevenir de forma proactiva un incidente de ciberseguridad, “es clave que elaboren una estrategia que proteja en primer lugar a sus empleados en vez de a su infraestructura tecnológica”, concluye Fernando Anaya.
