4 cosas que la PyME debe saber sobre cibercrimen y amenazas web

De un año para acá, la actividad de los hackers se ha disparado, no sólo en cantidad sino en sofisticación.

De mediados de 2010 a la fecha se han hecho públicos ataques graves a la infraestructura de información de diversas instituciones públicas y privadas (Sony, RSA, el Fondo Monetario Internacional, Citibank y WordPress son sólo unos ejemplos), así como países; tal es el caso de Irak, cuya planta de uranio fue atacada por Stuxnet, conocida como la primera arma hecha en código malicioso.

Al hablar de ataques cometidos por el cibercrimen organizado, suele pensarse en estas grandes organizaciones. Pero en realidad, el sector de las pequeñas y medianas empresas (PyME) no está exento; basta el interés de parte de alguna organización criminal o un hacker independiente de robar datos que puedan estar en manos de estas compañías para ser una víctima más de estos atacantes.

Por eso, no está de más echar un ojo a la siguiente lista. Se trata de las cinco cosas que toda empresa debe saber sobre cibercrimen y amenazas web, la cual elaboró Trend Micro:

1. 1. Cualquier organización, sin importar su tamaño o tipo, puede ser víctima del cibercrimen. Como se comentó arriba, existe el mito entre los pequeños empresarios de que sus compañías no son objeto del hacking. Así lo demuestra una encuesta de Visa Inc. y la National Cyber Security Alliance, en la que 85% de los 1,000 dueños de PyMEs encuestados dijeron que las grandes empresas son más atractivas para el cibercrimen. Lo cierto es que no hay nadie que sea prioritario. Los más pequeños también están en el radar si son empresas rentables y lucrativas de algún modo para los hackers.
2. 2. La PyME maneja información de interés para el cibercriminal. Un dato frío lo sustenta: 7.4% de los pequeños empresarios ha sido víctima de fraude, según un estudio de Council of Better Business Bureaus. Esto, porque hay datos –como direcciones físicas, números de seguro social, transacciones bancarias online, NIPs de tarjetas crediticias y demás– que las PyMEs manejan y que sin duda es de interés para los cibercriminales.
3. 3. Cada segundo, el cibercrimen lanza 3.5 nuevas amenazas dirigidas a pequeños negocios. La cifra de ataques para la PyME aumentó en un año casi 600%. ¿A qué se debe el exorbitante crecimiento? Trend Micro refiere, por un lado, a que las grandes organizaciones han aumentado su inversión en seguridad IT, lo que mueve a los hackers a nuevos terrenos más vulnerables, y por otro lado, a que este sector de la industria representa un enorme mercado (al ser la mayoría al considerar número de empresas). Los ataques reportados son, entre otros, bots, phishing y explotación de vulnerabilidades dirigidas.
4. 4. La PyME que se está moviendo hacia la Nube está adoptando la seguridad en la Nube, pero hay que tener en cuenta que los hackers no se están quedando atrás. Ahora es menor el número de PyMEs en México que están adoptando el modelo del Cloud Computing, pero eventualmente irá creciendo. Hoy día el mercado de Nube para este sector está valuado en $8,600 millones de dólares, y se prevé que para 2014 llegará a los $100,000 millones. Asimismo, mientras en 2010 14% de la PyME planeaba aumentar su inversión en software de Nube, este año la cifra es de 74%, lo que muestra un avance importantísimo. El tema es que estas empresas aún no invierten lo suficiente en seguridad en la Nube: Forrester menciona que mientras 84% de las PyME considera la seguridad de los datos como prioridad alta en la empresa, sólo 36% planea elevar su inversión en este rubro, y sólo lo haría por un factor de 5% (según datos de 2010).

De no tomar las medidas necesarias, la PyME corre el riesgo  de perder datos, productividad, ventas e incluso su reputación. Ante la situación, lo que pueden hacer las pequeñas y medianas empresas es, en principio, estar atentas a las nuevas amenazas, informando a sus empleados de las mismas. Es necesario estar al tanto de los esquemas de fraude recientes y buscar las mejores prácticas para evitar caer en las redes de éstos (como no abrir adjuntos con links sospechosos, evitar proporcionar contraseñas, etc.).

También es recomendable aplicar políticas de seguridad para el personal que contenga planes de contingencia en caso de ataque, e invertir en la seguridad de la red.