Hace cinco años, Elana Graham emprendió un negocio: se dedicó a vender software de ciberseguridad a pequeñas empresas, el negocio iba relativamente lento.
Sin embargo, la rápida expansión del trabajo remoto, que ha dejado a estas compañías vulnerables a los ataques, ha ampliado la demanda.
Graham dice que el volumen de negocio de su empresa ha aumentado drásticamente desde el 2022, alcanzando un máximo histórico.
“No me va a pasar a mí. Somos demasiado pequeños”. Ese era el mensaje que escuchaba como un mantra hace cinco años.
Los delitos cibernéticos le costarán al mundo cerca de USD 10,5 billones para 2025, según la firma de investigación de seguridad cibernética Cyber Ventures.
Por su parte Barracuda Networks, indica que de seguir la trayectoria actual, las pequeñas empresas absorberán la mayor parte de este impacto, pues tienen tres veces más probabilidades de ser atacadas por los hackers o cyber delincuentes, en comparación con las grandes empresas.
El impacto de los confinamientos
RiskRecon, una empresa de Mastercard que evalúa el riesgo de ciberseguridad de las empresas ha indicado que entre 2020 y 2021, los ataques cibernéticos a pequeñas empresas aumentaron más del 150%.
“La pandemia creó un conjunto completamente nuevo de desafíos, y las pequeñas empresas no estaban preparadas”, dice Mary Ellen Seale, directora ejecutiva de la National Cybersecurity Society, una organización sin fines de lucro que ayuda a las pequeñas empresas a crear planes de ciberseguridad.
En marzo de 2020, en el punto álgido de la pandemia, una encuesta entre pequeñas empresas realizada por la cadena CNBC descubrió que solo el 20% planeaba invertir en protección cibernética.
Luego entraron en vigor los confinamientos por la covid-19 y las empresas se apresuraron a mover sus operaciones en línea.
Trabajar de forma remota significó que las personas manejaran más información corporativa confidencial con sus dispositivos personales como teléfonos inteligentes, tabletas y computadoras portátiles.
Sin embargo, los confinamientos tensaron los presupuestos y limitaron lo que las empresas podían gastar para protegerse. Contratar costosos expertos y adquirir un software de seguridad cibernética a menudo estaba fuera del presupuesto.
El resultado fue una infraestructura de seguridad cibernética débil que estaba lista para ser hackeada.
Pocos riesgos, grandes ganancias
La mayoría de los ataques se dirigen a las empresas más pequeñas porque los delincuentes saben que las organizaciones grandes han hecho un trabajo bastante bueno para proteger su infraestructura. Son el eslabón más débil y por ello es más fácil entrar allí.
Para los ciberdelincuentes, los ataques implican un bajo riesgo y una alta recompensa, ya que es menos probable que llamen la atención de las autoridades y, a menudo, de las propias empresas.
Generalmente se tardan cerca de 200 días desde el momento en que realizan el hackeo hasta que son descubiertos. En muchos casos, las quejas de los clientes son las que alertan a las empresas sobre un problema.
Con un proveedor que ha sido hackeado, los delincuentes pueden acceder a redes de organizaciones situadas más arriba en la cadena de suministro.
Las grandes empresas dependen de las pequeñas, representan más del 99% de las empresas en EE.UU. y emplean a casi la mitad de los estadounidenses, por lo que desempeña un papel fundamental en la economía global.
Son el “talón de Aquiles” de la economía, pues los ataques cibernéticos pueden ser devastadores para las pequeñas empresas. Alrededor del 60% de las pequeñas empresas cierran dentro de los seis meses posteriores a un ataque. El costo podría llegar a miles de dólares. Algunas empresas simplemente no pueden pagar esa cantidad de dinero dentro de sus presupuestos.
Las más vulnerables
Aunque las pequeñas empresas son las más vulnerables, la mayoría de las herramientas de seguridad cibernética se han creado para grandes empresas y, a menudo, se necesita de la asesoría y seguimiento de un experto en ciberseguridad.
El gran desafío para las pequeñas empresas es mejorar sus protecciones y crear planes de respuesta básicos e identificar qué y dónde están los datos fundamentales.
También es importante educar a los empleados sobre cómo evitar y detectar ataques, ya que la gran mayoría de las filtraciones de datos ocurren por un error humano.
Los ataques en los que los ciberdelincuentes piratearon correos electrónicos comerciales fueron la amenaza cibernética más costosa durante la pandemia, con pérdidas por USD 1800 millones, según el Buró Federal de Investigaciones (FBI).
El spear phishing es un hackeo dirigido de forma específica, a diferencia del spam, que llega a un gran número de personas.
Lo más importante es transmitir a las pequeñas empresas la noción de que la protección de sus sistemas es fundamental y que tampoco una tarea insuperable.