“Si tu empresa invierte más en café que en seguridad, serás hackeado. Es más, mereces ser hackeado”. ¿Cómo te proteges de ciberataques?
Las Pymes nunca consideran que serán objetivo de ciberataques. Este escenario lo he visto una y otra vez a lo largo de mi carrera. Suele ser esa confianza lo que termina generando que sean el objetivo preferido de los ciberdelincuentes.
Estas empresas creen que su información no es de alto valor para los cibercriminales. Pero, ¿qué tan real es esta convicción? Si bien podemos decir que hay datos más valiosos que otros, quien piense que una filtración de información tiene poco valor, es porque no conoce el mercado de los datos.
Una empresa que es debidamente vulnerada podría caer en un ataque que se da muy a menudo: el ransomware. En el mismo, el criminal toma posesión del sistema de la compañía, liberándolo solamente a cambio de un rescate.
¿Qué tan complicados son los ciberataques?
A diferencia de lo que la mayoría de las personas creen, llevar a cabo uno de estos actos no es nada complejo. Tuve la oportunidad de aprender a hackear desde muy niño. A los pocos años ya me encontraba identificando vulnerabilidades importantes en juegos pero también en grandes empresas de renombre.
Si esas grandes compañías pueden ser afectadas tan fácilmente, ¿qué podemos esperar de las organizaciones cuya inversión en seguridad es casi nula? Eric S. Raymond, historiador de la cultura hacker, lo retrata brillantemente en su icónica frase:
“Si tu empresa invierte más en café que en seguridad, serás hackeado. Es más, mereces ser hackeado”.
¿Por qué las empresas no suelen priorizar la seguridad?
Siempre me pareció difícil concebir que existan organizaciones sin presupuesto asignado para invertir en protegerse. Sin embargo, se entienden los motivos. Para el emprendedor, existe un gran desafío a la hora de balancear las prioridades de una compañía: el equipo, el producto, las finanzas, la operación, entre otras cosas. En este escenario, la mayoría de las empresas no suelen darle gran relevancia a la seguridad ya que deben enfocarse en crecer, y pasan el aspecto de la protección a un segundo plano.
Sin embargo, esto suele dar un giro cuando un ataque ocurre. En Strike solemos vivir a menudo estas experiencias, cuando startups que no consideraban a la ciberseguridad como prioridad, cambian de parecer rápidamente al ser vulneradas.
Mi consejo es que coloquen a la seguridad en primer plano desde un principio, evitando reaccionar cuando es tarde y el daño ya está hecho.
Adquirir esta mentalidad puede ayudar a dejar de ver a la seguridad como un gasto y entender que realmente es una inversión. Según el Informe de Defensa Digital anual de Microsoft, se registró un aumento del 74% de ciberataques en Latinoamérica, de los cuales según FortiGuard Labs el 62% son dirigidos al mercado mexicano. Inclusive, según otro reporte publicado por Kaspersky y Ponemon Institute, el 60% de las Pymes desaparecen en los seis meses posteriores tras recibir un ataque. Definitivamente es una inversión más que relevante.
¿Qué hacer para prevenir ciberataques?
Desde mi experiencia, recomiendo a los emprendedores que sepan que en cualquier momento pueden ser vulnerados. Es decir, se debe dar por hecho que están en la mira de los cibercriminales.
Un buen punto de partida es aprender sobre buenas prácticas de seguridad a la hora de desarrollar aplicaciones, como puede ser OWASP Top 10, y capacitar al equipo de trabajo para evitar caer en ataques de phishing e ingeniería social que se han vuelto muy comunes. Sin embargo, este es solo el comienzo, ya que más allá del cuidado que tengan los colaboradores, los sistemas de la empresa pueden seguir siendo corrompidos, derribando también en ataques exitosos de supply chain.
Si los controles de seguridad del propio software cuentan con vulnerabilidades, el atacante ni siquiera tendrá que esforzarse en enviar un email de phishing. Contar con métodos de autentificación poco robustos, medidas de seguridad pobres para la creación y adquisición de credenciales o falta de validación de los permisos necesarios para ejecutar determinadas acciones, son algunos ejemplos que terminan abriendo puertas a amenazas externas.
“Chequeos de salud” constantes
Una forma de contrarrestar esto es contar con medidas de protección periódicas e integradas a los ciclos de desarrollo de software, como el pentesting o testeo de penetración, el cual consta de permitir a un hacker ético analizar el sistema para detectar vulnerabilidades, tal como lo haría un cibercriminal, pero con fines de protección y prevención de las amenazas.
Es deseable que esta acción se realice de forma rutinaria para evaluar continuamente la “salud” de la empresa. Esto es porque la ciberseguridad no es algo de una única vez ni algo que tiene un final. Los hackers evolucionan día tras día y se vuelven cada vez más sofisticados, por lo que la solución adquirida ayer, probablemente hoy ya no sea suficiente.
Creo firmemente que no hay mejor forma para encontrar amenazas que detectarlas de manera proactiva, combinando automatización con trabajo manual de alta calidad, evitando reaccionar una vez que el ataque ya está perpetrado y el consecuente daño ya hecho. Detener a los adversarios antes de que puedan efectuar sus ataques y reforzar el esquema de seguridad mediante el hacking ético, es clave en este proceso.
La ciberseguridad debe ser tu prioridad
Finalmente, recomiendo que, pese a los esfuerzos en seguridad y protección, siempre estén preparados para lo peor. En el caso de la seguridad cibernética, siempre es deseable contar con un Plan B, teniendo varios escenarios de acción a seguir en caso de ser víctimas de un ciberataque. Como mencioné anteriormente, el cibercrimen evoluciona a pasos agigantados y siempre sorprende, encontrando hoy que el mismo cuenta no con equipos de pequeñas personas sino que ya con empresas que funcionan con una estructura en sí y que premia con recompensas cuando se le encuentran fallas al software que ellos desarrollan para atacar.
Como comentario final, recomiendo que todo emprendedor coloque en su lista de prioridades a la ciberseguridad y las medidas necesarias para proteger a su compañía. Definitivamente es mucho más conveniente y económico prevenir que hacerlo cuando el daño está hecho. Sin importar el tipo de negocio, desde empresas tecnológicas como fintechs, hasta compañías de servicios y tiendas en línea, las pymes deben velar por la protección de sus sistemas en todo momento.