“El 71% de las pymes del país han sufrido un ciberataque durante la pandemia”

Ocho de cada diez compañías españolas tiene al menos el 30% de sus empleados trabajando en remoto, como consecuencia de la crisis sanitaria del Covid. “Muchas pequeñas y medianas empresas han encontrado en las redes la única forma de trabajar con sus clientes y proveedores y esquivar así la crisis económica de la mejor manera posible”, aseguran los expertos. Pero esta forma de trabajar puede acarrear grandes riesgos, como es el caso de la ciberdelincuencia.

“Los ciberdelincuentes suelen atacar a empresas más anónimas y pequeñas porque no disponen de tantas medidas de seguridad como las grandes. Si se tiene en cuenta que se tarda una media de dos meses en descubrir y luego tapar la brecha de seguridad abierta es fácil entender porque hay negocios que no vuelven a recuperarse tras un ciberataque. Invertir en ciberseguridad es proteger el futuro de un negocio”, explica Carlos Prieto, director de SSH TEAM consulting, empresa de seguridad informática y de desarrollo software.

Según explica este directivo “durante la pandemia hemos triplicado el número de clientes”. Y añade que “aunque se ha elevado en estos últimos años el gasto de las pymes en ciberseguridad, la mayoría sigue teniendo una cultura reactiva. Solo se da cuenta de la necesidad de un plan para proteger tecnológicamente a su empresa, cuando ya ha sido atacado”. El coste medio de un ciberataque a una pequeña empresa supone unos 75.000 euros.

“Más de la mitad de las empresas atacadas no son capaces de superar las pérdidas”, explica este ejecutivo, cuya startup, creada en 2018 en La Rioja obtiene beneficios desde su creación. El pasado año sumó unas ganancias de 180.000 euros, que reinvierte en tecnología. “Ya hemos recibido ofertas de compra de un grupo francés, pero no nos interesó”, recalca.

Prieto explica que el 71% de las pymes han sufrido 66 ataques en el último año durante la pandemia. “Han aumentado los ataques tipo ingeniera social dirigidos a los CEO de las empresas. Son un desafío porque cada vez son más sofisticados y difíciles de esquivar si no cuentas con personal concienciado y un plan director de seguridad informática. Se trata de ataques que utilizan y engañan al usuario para que realice una acción que termina por infectar con un virus a la compañía". Otra vía es la de encriptar la información de la empresa “y pedir un rescate en criptomonedas para liberarla”.

La tercera forma es a través del espionaje industrial para copiar los productos a través de colarse en el ordenador”, subraya Prieto.

Prieto destaca sobre todos los ataques tipo ingeniería social. Algunos empresarios han visto como su identidad era suplantada consiguiendo engañar a sus propios empleados para que dieran información sensible sobre la compañía o hicieran alguna transferencia económica fraudulenta.

Un ejemplo de este tipo de estafa es la de un bodeguero riojano que vendió varios pales de vino a un supuesto cliente de toda la vida. Perdiendo así el fruto de su esfuerzo de todo el año y sin recibir un duro a cambio porque cuando llama al cliente para que le abone la deuda, se percata de que había hecho tratos con un ciberdelincuente.

Los emails son tan realistas y veraces que han tenido el caso de otro empresario que ingresó dinero en una supuesta cuenta de uno de sus proveedores. Una cuenta que había sido falsificada también y redirigida de manera que el dinero también desapareció

Javier Orte es gerente en una empresa de Logroño con un equipo de gente especializada en proyectos y direcciones técnicas. En menos de una hora los ciberdelincuentes les encriptaron el trabajo de 4 años y los nuevos proyectos en los que estaban trabajando desde hacía meses. Su seguro valoró las pérdidas entre 60.000 y 90.0000 euros. Además, consiguieron su clave de paypal y le robaron también.

Otro tipo de ataque es el llamado ransomware, que consiste en el secuestro de la información del negocio para posteriormente exigir un rescate. Consiguen encriptar todos los archivos y dejas de poder acceder a ellos. Además de no poder recuperarlos, amenazan con compartir estos datos con la competencia o incluso su divulgación pública…

"¿A quién le va a importar la información que tenemos aquí? Eso les pasa a las grandes compañías. Esta es la teoría de pequeñas y medianas empresas, pero son el objetivo del 71% de los ataques. Existe un gran mercado dedicado a la compra-venta de nuestros datos. Si vulneran la seguridad de una empresa se pierden en reputación de cara a tus colaboradores, proveedores, clientes…”, advierte Carlos Prieto.

SSH TEAM Consulting tiene intención de iniciar su primera ronda de financiación por 500.000 euros. La firma ha conseguido el proyecto CDTI Neotec, el sello de Pyme Innovadora del Ministerio de Ciencia e Innovación y los certificados ISO 27001 y Esquema nacional de seguridad.