Una pyme podría perder 50.000 euros de media tras un ciberataque.

Solo el 20% de las empresas en España tiene un buen nivel de ciberseguridad. Aplicar medidas de control y prevención, formar a los empleados y buscar aliados son clave contra los ciberataques.

En 2024, los ciberataques a las pymes españolas se intensificaron, consolidándolas como uno de los sectores más vulnerables. Según el Informe de Ciberpreparación 2024 de Hiscox, el 96 % de las empresas españolas, incluidas las pymes, sufrió algún tipo de ciberataque en los últimos 12 meses, y el 66 % reportó un aumento en la frecuencia de estos incidentes.

No importa el tamaño o la actividad de la empresa, cualquiera puede sufrir un ciberataque ,las pérdidas pueden ir desde los 50.000 euros de media para las más pequeñas hasta los cinco millones de euros en las grandes.

En un entorno digital cada vez más complejo, la ciberseguridad es una pieza clave para la supervivencia y el éxito de las empresas. Es una inversión estratégica que puede marcar la diferencia entre la continuidad o no de un negocio. Según el estudio del Estudio del Estado de la Ciberseguridad en España,de Deloitte, solo el 20% de las empresas tienen un buen nivel de madurez en materia de ciberseguridad.

“Lo importante es que sean conscientes de que la ciberseguridad es una inversión, no un gasto. Las organizaciones mejor preparadas para gestionar los riesgos de seguridad serán las que tengan más probabilidades de sobrevivir en el mundo digital”, asegura Laura del Pino, responsable de Seguridad de Información de BBVA España, destaca la importancia de la concienciación y la prevención en ciberseguridad dentro de las decisiones empresariales.

El error más básico que se puede cometer en este aspecto es pensar que la empresa no va a ser objeto de un ciberataque, esta falsa sensación de seguridad es el primer obstáculo que deben superar las organizaciones. “Todo lo que está expuesto a internet es susceptible de ser atacado, desde ordenadores hasta dispositivos como cámaras de seguridad o sistemas de climatización. Muchos de estos aparatos vienen con contraseñas predeterminadas, lo que los convierte en objetivos fáciles para los ciberdelincuentes”.

Amenazas más frecuentes

La elección de una pyme como objetivo de un ataque es aleatoria, pero los ciberdelicuentes suelen dirigirse a las empresas más vulnerables. “Mediante la suplantación de identidad, realizan escaneos masivos de sistemas expuestos a internet que pueden ser una vía de entrada, como sistemas de teletrabajo, servidores de correo electrónico, páginas web…”, señala. 

A algunas empresas las atacan de manera indirecta a través de sus proveedores más pequeños y menos protegidos. “Es lo que se denomina ataque a la cadena de suministro. Aquí lo fundamental es exigir a nuestros proveedores el mismo nivel de seguridad que tenemos en la empresa”.

La responsable de Seguridad de Información de BBVA España explica que las amenazas más comunes para las empresas son la suplantación de identidad, el ransomware y el compromiso del correo electrónico corporativo, que también se denomina ‘fraude al CEO’ y que afecta especialmente a las pymes. 

“La amenaza más habitual es la suplantación de identidad o phishing, donde los ciberdelincuentes se hacen pasar por empresas, instituciones, la administración pública o incluso personas del entorno cercano de la víctima a través de comunicaciones electrónicas (SMS, correo electrónico o teléfono). Intentan ganarse su confianza y la víctima les proporcionan los datos requeridos o incluso llega a descargar archivos maliciosos”. 

También señala que el ransomware o secuestro de información es especialmente devastador para los negocios, “ya que los ciberdelincuentes bloquean los archivos de la empresa y exigen un rescate para recuperar esa información”.

Según el último Threat Landscape Report de la empresa europea de ciberseguridad S21sec, España ha escalado tres posiciones en el ranking mundial de países más afectados por ransomware, situándose en el quinto lugar. En este periodo, se registraron 58 ataques, lo que representa un incremento del 23 % respecto al mismo semestre de 2023.

La experta también recuerda que, de la mano del ‘fraude al CEO’, es posible acceder al correo de la víctima, revisar la dinámica de intercambio de facturación de pagos y, una vez que se emita una factura de alto importe, eliminar ese correo y crear uno nuevo cambiando la cuenta destino.

De hecho, el informe de Deloitte sobre el estado de la ciberseguridad en España subraya que las principales amenazas para las empresas incluyen el phishing (19%), el ransomware (18%), el malware (14%) y los ataques a aplicaciones web. 

Las amenazas también pueden provenir del interior de la empresa, ya sea por errores accidentales o acciones malintencionadas. “Es crucial trabajar en la formación y concienciación de los empleados y aplicar el principio de mínimos privilegios, donde cada persona solo tiene acceso a la información necesaria para su trabajo”, recomienda la experta.

Por otro lado, el uso de inteligencia artificial por parte de los ciberdelincuentes ha hecho que los ataques sean más precisos y difíciles de detectar. Estos datos resaltan la urgente necesidad de que las pymes inviertan en ciberseguridad para proteger su continuidad operativa.

Medidas preventivas

Frente a este panorama, es crucial que las empresas tomen medidas preventivas. “Lo primero es analizar los riesgos y aplicar un pack básico de seguridad, que incluya la formación de los empleados, el uso de antivirus actualizados y software legal, y la implementación de copias de seguridad”. También subraya la importancia de utilizar VPNs seguras para el teletrabajo y el doble factor de autenticación o la autenticación en dos pasos para proteger el acceso a los sistemas.

Hay que tener en cuenta que, en el sector bancario, la ciberseguridad es fundamental para mantener la confianza de los clientes. “El negocio de la banca es un negocio de la confianza, y confianza y seguridad siempre van de la mano”, asegura Del Pino, que recalca que BBVA trabaja a diario para proteger las finanzas de sus clientes y también sus datos: “Implementamos medidas como la autentificación en dos pasos y la monitorización 24/7 con inteligencia artificial para detectar y detener actividades sospechosas online”.