Hace ya tiempo que las grandes corporaciones han convertido la ciberseguridad en una de sus prioridades, a la que destinan una parte importante de sus recursos humanos y miles de millones anuales. El problema es que las pymes no tienen esa capacidad y que, en muchas ocasiones, ni siquiera son conscientes del peligro, lo que las ha convertido en un objetivo fácil de las nuevas mafias que actúan por internet o, simplemente, de los miles de adolescentes que realizan sus primeros pinitos como hackers.
Así se ha puesto de manifiesto esta semana durante la jornada que la Federación de Empresarios del Metal (Fempa) y Telefónica han organizado sobre la materia -fruto del acuerdo de colaboración que ambas mantienen- y que tuvo como principal ponente a Javier Soria, de Eleven Path, la compañía que creó el famoso hacker español Chema Alonso, ahora alto ejecutivo de la multinacional española.
«Hay unas empresas que lo saben y otras que no, pero todas han recibido ciberataques. Ya no escapa nadie porque cualquier chaval con algo de tiempo -lo que se conoce como «script kiddies»- tiene en internet herramientas gratuitas para hacerlo», advierte Soria. En general, estos adolescentes -y no tan adolescentes- suelen limitarse a realizar un escaneo de vulnerabilidades, es decir, a encontrar la forma de entrar en el sistema informático de la empresa, sólo por el placer de anotarse el tanto.
El problema llega cuando deciden dar un paso más y provocar lo que se llama, por ejemplo, una denegación de servicio o, lo que es lo mismo, provocar la caída de un sistema o una página web mediante la entrada masiva de miles de peticiones simultáneas. Una tarea relativamente sencilla, según Soria, si se tiene en cuenta que se pueden alquilar redes de miles de ordenadores zombis por «sólo un dólar la hora». «Hay algunas que incluso te ofrecen 15 ó 20 minutos gratuitos de prueba, con lo que puedes encadenar varias y hacerlo incluso gratis», señala el especialista. Y lo peor es que muchas de las pymes que sufren estos ataques ni siquiera son conscientes y los confunden con fallos informáticos.
No obstante, el verdadero riesgo está en la proliferación de grupos organizados de delincuentes, auténticas mafias, que se han especializado en el cibercrimen en sus diferentes modalidades. Diversos organismos internacionales calculan que este tipo de delincuencia ya mueve alrededor de 600.000 millones en todo el mundo -más que el narcotráfico- y en España las fuerzas y cuerpos de seguridad del Estado tuvieron constancia de casi 50.000 delitos de este tipo sólo en 2014, según los datos oficiales del Ministerio del Interior.
En ocasiones los criminales se conforman con robar los datos de la empresa atacada para venderlos a otros delincuentes -lo que puede ocasionar problemas de robos de identidad- o infectan sus ordenadores para incorporarlos a una red zombi. Pero otras veces el problema es mucho más grave e inmediato. Por ejemplo, cada vez son más frecuentes los ataques con «cryptolockers», unos virus que cifran la información contenida en los servidores de la empresa. Si la compañía quiere recuperar esta información debe pagar un rescate.
A todo esto, como explica Javier Soria, la propia evolución de la tecnología complica cada vez más la tarea de protegerse. Si antes la principal vía de entrada eran los correos electrónicos, ahora la infección puede llegar a través de los anuncios que contienen la mayoría de páginas, por lo que basta con visitar la web para acabar infectado.
Actualizar los programas
¿Qué pueden hacer las pymes frente a este problema? «Lo primero es tener actualizados los programas, cuanto más desactualizados estén, más fácil resulta entrar», explica el especialista. También es esencial contar con antivirus y cortafuegos (firewalls) y apostar por la «virtualización», un proceso que permite, por ejemplo, que un sólo servidor físico funcione en la práctica como si fueran varios independientes, lo que limita los problemas.
Además, el experto de Eleven Path también llama la atención sobre la necesidad de trasladar la preocupación actual sobre la seguridad de los ordenadores a los móviles. «No nos damos cuenta, pero ya manejamos casi tanta información de la empresa a través del teléfono como con el ordenador y la mayoría no tiene ni un antivirus instalado», alerta. Será la próxima batalla.
