Normalmente cuando hablamos de ataques informáticos nos enfocamos en gobiernos, en grandes corporaciones o en ataques de denegación de servicio a páginas web. Sin embargo, las Pymes se están convirtiendo en un blanco muy atractivo para los ladrones digitales, que están aprovechando la poca seguridad de estas empresas para adquirir secretos industriales y demorar los planes de la competencia.

ENTER.CO habló con Diego Gómez Sevilla, gerente de territorio para Pymes en la región norte de Latinoamérica de McAfee, para conocer cómo se está comportando este mercado en temas de seguridad.

Lo más evidente, según Gómez, “es que las empresas no invierten en seguridad sino que reaccionan a un ataque”. En otras palabras, las Pymes le echan candado al negocio después de que se metieron los ladrones. Según McAfee, solo el 8% del gasto en TI de las pequeñas y medianas empresas está destinado a la seguridad informática. Teniendo en cuenta que el 73% de las Pymes colombianas sufrieron por lo menos un ataque informático, y que estas compañías mueven el 96% de la economía del país, es preocupante la falta de aseguramiento informático.

“La tendencia de atacar a las Pymes empezó con un incremento de amenazas sofisticadas en 2012, y está dirigida a vulnerar las bases de datos y los sistemas productivos de gestión empresarial”, agregó Gómez. A medida que las empresas van incrementando su dependencia a los sistemas de tecnología, también incrementan los riesgos informáticos.

En Colombia, específicamente, se han identificado cinco tendencias que pueden afectar la integridad tecnológica de las Pymes durante los próximos años.

La ingeniería social será más prominente. Esta consiste en extraer información del sistema por medio de las redes sociales y el correo electrónico, por ejemplo. Los ataques de phising son una forma de ingeniería social muy popular por estos días. McAfee también asegura que las amenazas internas tendrán que ser contrarrestadas. “Cada día son más frecuentes los casos donde el robo de la información se da desde el interior de la compañía”, explicó la compañía de seguridad. La tecnología tiene que proponer soluciones para que los mismos empleados no puedan extraer información confidencial de la empresa.

Dos de los conceptos más populares en el mundo enterprise –BYOD y la nube– también plantean importantes retos para la integridad de una empresa pequeña o mediana. Con Bring Your Own Device, la cantidad de terminales y puntos de acceso está incrementando, lo que pone más presión sobre los sistemas de seguridad. Además, con el ingreso de diferentes sistemas operativos y miles de aplicaciones, cada día es más complicado mantener altos niveles de seguridad. La nube agrega retos similares, ya que el encargado de TI no tendrá control físico sobre la máquina que aloje los datos y no necesariamente sabrá con quién comparte el servidor.

Como si no fuera poco, las Pymes tendrán que enfrentar amenazas persistentes avanzadas. De acuerdo a Gómez, estas “consisten en ataques dirigidos a sistemas informáticos de uso específico que afectan la estación de trabajo y a los sistemas informáticos”. 

La situación de las Pymes es complicada. Obviamente tienen recursos limitados y la seguridad en TI no está entre las prioridades. Sin embargo, las empresas deberían entender que la realidad es diferente. Los piratas informáticos son lo suficientemente inteligentes para saber dónde hay menos resistencia, y por ahí atacan.

Normalmente, los ataques informáticos empresariales son asociados con grandes corporaciones. Estas son las que más información almacenan, lo que hace que los ataques, de ser exitosos, traigan más ‘beneficios’. Sin embargo, al tener un botín más jugoso, la protección también es mayor, lo que dificulta los ingresos no autorizados.

Esto ha hecho que los criminales informáticos busquen otro perfil de empresas para sus actividades ilícitas. Según PCWorld, el porcentaje de ataques a pequeñas y medianas empresas se ha doblado en 2012. Las cifras provienen del Intelligence Report de mitad de año elaborado por Symantec, que dice que un tercio de los ataques a negocios están dirigidos a empresas de 250 empleados o menos.

La metodología preferida por los criminales para las pequeñas empresas es diseñar ataques dirigidos, así aumentando la probabilidad de éxito. Por medio de la ingeniería social y de la recolección de información, los criminales crean correos electrónicos específicamente personalizados para una empresa. Un tercio de los ataques están dirigidos a Pymes.

Las pequeñas y medianas empresas se han vuelto un objetivo apetecido por los piratas informáticos por su bajo presupuesto para invertir en seguridad de TI y porque en varios casos puede servir de trampolín para entrar a empresas más grandes. “Las PYMES tienden a no tener los recursos para implementar los sistemas de seguridad que las grandes empresas tienen”, aseguró Eric Maiwald, un analista de Gartner en una entrevista con PCWorld. Según Symantec, las industrias más atacadas, en Estados Unidos, son la de defensa, químicos, farmacéuticos y manufacturera.

“Las PYMES no están tan preparadas porque piensan que no es necesario y eso las ha dejado vulnerables”, explicó Kevin Haley, director de la unidad de respuesta de seguridad de Symantec.

A pesar de no tener el dinero suficiente para implementar grandes soluciones de seguridad, las pymes se pueden proteger siguiendo pasos básicos. Cómo explica PCWorld, este tipo de negocios se puede proteger siguiendo mejores prácticas, como tener todo el software actualizado y restringir algunos tipos de tráfico. Los ‘hackers’ casi siempre aprovechan alguna vulnerabilidad conocida y tener el software al día es un gran primer paso para evitar ataques.