Ciberseguridad en las pymes: necesaria ante las crecientes amenazas

Las pequeñas y medianas empresas (pymes) están cada vez más en el punto de mira de los ciberdelincuentes. A pesar de haber adoptado la tecnología digital para el trabajo, la producción y las ventas a distancia, las pymes a menudo carecen de medidas sólidas de ciberseguridad.

Las pymes se enfrentan a importantes retos de ciberseguridad debido a sus limitados recursos y conocimientos. El costo de las fugas de datos puede paralizar las operaciones, por lo que es esencial adoptar medidas preventivas. Se trata de una tendencia creciente que sigue siendo un desafío para las empresas. Por ejemplo, según el Centro Nacional de Ciberseguridad del Reino Unido, alrededor del 50% de las pymes británicas son susceptibles de sufrir una brecha de ciberseguridad al año. Por todo ello, abordar la ciberseguridad requiere de un planteamiento polifacético que combine soluciones tecnológicas con el fomento de una cultura consciente de la seguridad dentro de la organización.

Una marea creciente de ciberamenazas

Kaspersky presenta las conclusiones de su análisis de amenazas 2024 para el espacio de las pymes, que incluyen ejemplos reales de ataques.

Para acceder a la información sobre las amenazas relacionadas con el sector de las pymes, los analistas de Kaspersky cruzaron las aplicaciones seleccionadas utilizadas en el espacio pymes con la telemetría de Kaspersky Security Network (KSN) para determinar la prevalencia de archivos maliciosos y software no deseado relacionados con estos programas, así como el número de usuarios atacados por estos archivos. KSN es un sistema para procesar datos anónimos sobre ciberamenazas, compartidos voluntariamente por los usuarios de los productos de Kaspersky. Incluimos los siguientes programas en nuestra investigación:

• Microsoft Excel;
• Microsoft Outlook;
• Microsoft PowerPoint;
• Salesforce;
• Microsoft Word;
• Microsoft Teams;
• QuickBooks;
• Microsoft Exchange;
• Skype for business;
• ClickUp;
• Hootsuite;
• ZenDesk.

Porcentaje de archivos únicos con nombres similares a los de las 9 principales aplicaciones legítimas, 2023 y 2024 (descargar)

Porcentaje de usuarios únicos a los que se dirigieron las 9 principales aplicaciones analizadas entre el 1° de enero y el 30 de abril de 2024 (descargar)

Como muestran los gráficos anteriores, en el periodo comprendido entre el 1° de enero de 2024 y el 30 de abril de 2024, el número total de usuarios que detectaron malware y software no deseado oculto en los productos de software para pymes, o que los imitaba, fue de 2402, con 4110 archivos únicos distribuidos bajo la apariencia de software relacionado con pymes. También se nota un aumento del 8% respecto a los resultados de 2023, lo que puede indicar que la actividad de los atacantes está creciendo.

El desarrollo más notable de los archivos únicos con nombres casi idénticos al software legítimo utilizado para realizar un ataque hizo que Microsoft Excel ascendiera en la lista de amenazas del cuarto al primer puesto entre 2023 y 2024. Microsoft Excel ha sido explotado por los ciberdelincuentes durante muchos años.

Los principales tipos de amenazas que afectaron al sector de las pymes, 2023 vs. 2024 (descargar)

Los datos revelan que el número total de infecciones en el sector de las pymes entre el 1° de enero de 2024 y el 30 de abril de 2024 ascendió a 138 046, frente a las 131 219 del mismo periodo de 2023, lo que supone un aumento de más del 5%.

Los ataques de troyanos siguen siendo la ciberamenaza más común, lo que indica que los atacantes continúan apuntando a las pymes y prefieren el malware al software no deseado. Los troyanos son especialmente peligrosos porque fingen ser software legítimo, lo que dificulta su detección y prevención. Su versatilidad y capacidad para eludir las medidas de seguridad tradicionales los convierten en una herramienta prevalente y eficaz para los ciberatacantes. Sin embargo, el mayor cambio interanual se debe a los ataques de DangerousObject. Se trata de un software malicioso detectado por las tecnologías de nube de Kaspersky. Los veredictos de la clase DangerousObject son un grupo de varias muestras no detectadas previamente. La naturaleza amplia e inespecífica de esta categoría subraya la complejidad y la naturaleza evolutiva de las ciberamenazas, lo que la convierte en una preocupación importante para los esfuerzos de ciberseguridad.

Phishing

La negligencia de los empleados sigue siendo una vulnerabilidad importante para las pymes. Los errores humanos, a menudo derivados de la falta de concienciación en materia de ciberseguridad, pueden provocar graves fallas de seguridad. Caer en la trampa del phishing puede tener consecuencias catastróficas para las empresas.

Los ataques de phishing se distribuyen a través de diversos canales, como correos electrónicos y cuentas falsas de redes sociales, con el fin de engañar a los usuarios para que revelen sus datos de acceso u otros datos confidenciales. Los ataques de este tipo pueden dirigirse a las pymes, lo que supone una amenaza a la fidelización y la seguridad de las infraestructuras. Nuestro estudio profundiza en el clima actual con ejemplos explicados.

Los sitios web de phishing pueden fingir ser servicios populares, portales corporativos, plataformas de banca en línea, etc. En ellos, se anima a los usuarios a iniciar sesión, y al hacerlo, mandan sin darse cuenta nombres de usuario y contraseñas a los ciberdelincuentes, o desencadenan otros ciberataques automatizados. O ambas cosas.

En este caso, la página web falsificada es idéntica la página de inicio de sesión de un servicio de entrega legítimo que los empleados suelen utilizar. La recopilación de nombres de usuario e inicios de sesión puede permitir a los ciberdelincuentes desviar los pedidos o cancelar inmediatamente los servicios, y hacer que el dinero sea reembolsado y desviado a otra cuenta. Es fácil que un esquema de este tipo pase desapercibido por largo tiempo si la empresa no cuenta con un adecuado mecanismo de ciberseguridad.

En este ejemplo, los atacantes suplantaron la página de inicio de sesión de una empresa especializada en seguros para pequeñas empresas. Con esta información, los ciberdelincuentes obtuvieron acceso a las cuentas de los clientes, lo que les ayudó a infiltrarse aún más en la organización, logrando su objetivo de obtener datos confidenciales de la empresa.

En los últimos años, hemos observado la tendencia a difundir páginas web que simulan ser los servicios de Microsoft más utilizados, como Microsoft 365, Outlook, OneDrive, etc. Esta tendencia tiene como blanco a los usuarios empresariales y surge de la gran popularidad que goza el enfoque de utilizar un solo paquete de software para todos los fines de la empresa, lo que puede hacer a sus usuarios más dependientes de determinadas aplicaciones y servicios y, por tanto, más susceptibles a este vector de ataque.

Correo electrónico

Los clientes de correo electrónico siguen siendo uno de los canales más utilizados para el phishing. En el siguiente ejemplo, los atacantes se hicieron pasar por representantes de una entidad legal que busca firmar un acuerdo con la organización. Los atacantes suelen utilizar direcciones de correo electrónico muy similares a las de las empresas legítimas. En este caso utilizaron un formulario de phishing idéntico a una plantilla de servicio empresarial común.

Redes sociales

Los ciberdelincuentes pueden hackear o suplantar las cuentas de redes sociales de una empresa. Esto les permite publicar contenidos nocivos, difundir información falsa y suplantar identidades, lo que daña la reputación y la fiabilidad de la empresa.

Un hackeo de este tipo puede provocar la pérdida de seguidores y clientes, lo que a su vez perjudica a las ventas y los ingresos. Además, los atacantes podrían utilizar la cuenta afectada para engañar a los clientes y hacerles revelar información confidencial, erosionando aún más la confianza y exponiendo potencialmente a la empresa a problemas legales.

Imitar y abusar de las grandes plataformas de medios sociales no sólo puede perturbar las operaciones empresariales y causar pérdidas financieras, sino también dar lugar a filtraciones de datos y graves brechas de seguridad. En algunos casos, los atacantes utilizan la infraestructura legítima de Facebook para comprometer las cuentas de redes sociales corporativas. También hemos detectado numerosos casos de atacantes que ponen páginas de inicio de sesión de redes sociales idénticas a las verdaderas. El siguiente ejemplo está relacionado con TikTok Shop, una plataforma que las empresas utilizan para vender sus productos.

Spam

Hemos descubierto múltiples casos de spam orientado a pymes. Los spammers apuntan a las organizaciones con lo que parece una atractiva oferta de crédito para empresas en desarrollo, o un gran descuento. El alcance de los servicios disponibles suele ser el típico para las necesidades de las pymes: soluciones de marca a medida, productos publicitarios, apoyo financiero, aunque por lo general este tipo de empresas se consideran poco fiables. En el siguiente ejemplo, los spammers ofrecían una base de datos de clientes para fines de investigación y marketing.

Buenas prácticas para la protección de activos

Al invertir en soluciones de ciberseguridad integrales y fomentar la vigilancia, las pymes pueden mitigar los riesgos y garantizar la continuidad de su actividad. También es vital que eduquen a sus empleados sobre las ciberamenazas, además de implantar medidas de seguridad sólidas, como filtros de spam, protocolos de autenticación de correo electrónico y procedimientos de verificación estrictos para las transacciones financieras y el intercambio de información sensible.

Entre los pasos esenciales hacia la ciberresiliencia figura el reconocimiento de la importancia de contar con protocolos de seguridad exhaustivos y actualizaciones periódicas. La educación periódica en seguridad, políticas de contraseñas seguras y la autenticación multifactorial también pueden ayudar a mitigar los riesgos asociados a las amenazas de phishing y estafa.

Plan de acción de ciberprotección para pymes

1. Establezca una política de acceso a los activos corporativos, incluidos los buzones de correo electrónico, las carpetas compartidas y los documentos en línea. Controle el número de personas con acceso a datos corporativos cruciales. Asegúrese de que estén actualizadas y revoque el acceso a los empleados que abandonan la empresa. Utilice un software de agente de seguridad de acceso a la nube que ayude a administrar y supervisar la actividad de los empleados dentro de los servicios de nube y aplique directivas de seguridad.
2. Haga copias de seguridad periódicas de los datos esenciales para garantizar que la información de la empresa permanezca a salvo en caso de emergencia.
3. Proporcione directrices claras sobre el uso de servicios y recursos externos. Junto con el departamento de IT y otros responsables, diseñe procedimientos claros para la adopción de nuevo software. Incluya en las directivas de personal normas básicas, concisas y transparentes de ciberseguridad, prestando especial atención a la gestión segura de cuentas y contraseñas, la seguridad del correo electrónico y la navegación por Internet. Un programa de formación completo permitirá a los empleados adquirir los conocimientos necesarios y aplicarlos en la práctica.
4. Use servicios de ciberseguridad dedicados que proporcionen visibilidad sobre los servicios de nube, como Kaspersky Next.