Los hackers han descubierto que atacar a las pequeñas y medianas empresas (Pymes) para extraer información confidencial es mucho más fácil porque pocas tienen instalados certificados adecuados para defenderse.
En un estudio sobre seguridad presentado recientemente por Symantecse evidencia que el 40% de las Pymes no tienen protocolos para proteger sus datos, el 31% de los ciberataques está dirigido a empresas con menos de 250 empleados y en 2015, las pequeñas empresas sufrieron un mayor porcentaje de ataques de spear phishing* (el 43%).
Más grave aún es ver que el 69% de las pequeñas empresas no creen que un robo de datos dañaría su reputación y sus finanzas. La realidad es que muchas pequeñas empresas nunca llegan a recuperarse porque carecen de medios para reparar el daño. De hecho, según National Cyber Security Alliance, el 60% de las que sufren un ataque cibernético acaban cerrando al cabo de seis meses.
¿Qué debe hacer una pequeña empresa para protegerse?
La inversión en un certificado y sus actualizaciones es la recomendación que hace esta multinacional líder en ciberseguridad y lo resume en 4 puntos clave:
- Usar tecnología SSL en todas las páginas para proteger a quienes visiten el sitio web.
- Realizar copias de seguridad y proteger la información almacenada y de la nube, cifrando los datos en tránsito.
- Hacer análisis periódicos para detectar malware e implementar protección de los terminales y antivirus
- Adoptar medidas de seguridad para todos los dispositivos móviles, incluida una autenticación rigurosa.
¿Qué es la tecnología SSL?
La tecnología SSL establece una conexión segura entre el sitio web y el navegador de quien lo visita, de forma que toda la información que se intercambie entre ambos se cifre y esté bien protegida. También se usa para enviar mensajes de correo electrónico y archivos sin correr riesgos.
¿Qué hace un certificado SSL?
Un certificado SSL reside en el servidor web y tiene dos finalidades:
- Verificar que el sitio web es legítimo y seguro (y mostrar a los internautas que así es).
- Cifrar toda comunicación que se establezca entre el sitio web y quienes lo visitan para que sea imposible interceptar información confidencial.
Otro punto a considerar por las pequeñas y medianas empresas es que estas soluciones de protección son económicas y no requieren personal informático especializado para instalarlas y hacerles el seguimiento explicó Symantec.
*Spear phishing consiste en crear un correo electrónico que aparenta ser de una persona o empresa conocida. Pero no lo es. Es un mensaje que proviene de los mismos hackers que quieren sus números de tarjeta de crédito y cuentas bancarias, sus contraseñas y la información financiera almacenada en su PC.
Correo electrónico de un “amigo”
El phisher se vale de la familiaridad. Conoce su nombre y su dirección de correo electrónico, y tiene un mínimo de información acerca de usted. Por lo general, el saludo del mensaje de correo electrónico es personalizado: “Hola, Camilo”, en lugar de “Estimado señor”. Es posible que el correo electrónico haga referencia a un “amigo en común”. También puede referirse a alguna compra online reciente. Dado que el correo electrónico parece provenir de alguien conocido, es posible que usted esté menos atento y proporcione la información que le solicitan. Y cuando se trata de una empresa que usted conoce y le solicita que actúe con urgencia, usted seguramente lo hará sin pensarlo.
Usar su presencia en la Web en su contra
¿Cómo se convierte en el blanco de ataques de spear phishing? A partir de la información que publica en Internet desde su PC o su smartphone. Por ejemplo, puede que analicen sitios de redes sociales, encuentren su página, su dirección de correo electrónico, su lista de amigos y una publicación reciente en la que comenta a sus amigos lo estupenda que es la nueva cámara que se compró en un sitio de ventas online. Con esa información, un atacante de spear phishing puede simular ser amigo suyo, enviarle un correo electrónico y solicitarle la contraseña de su página de fotos. Si usted le da la contraseña, el atacante la usará, junto con otras variantes, para intentar acceder a su cuenta de ese sitio de ventas online del que habló. Si la descubren, la usarán y le dejarán una buena deuda. También es posible que el atacante utilice esa misma información para hacerse pasar por alguien del sitio de ventas online y solicitarle que restablezca su contraseña o que vuelva a verificar su número de tarjeta de crédito. Si usted le responde, el atacante le hará un gran daño financiero.