Ciberestafas y «hackeos»: los agujeros de las empresas españolas en tiempos de pandemia

«Las protecciones que hace unos años podían mantener segura a una compañía requiere cada vez más esfuerzos de adecuación», explica a ABC Fernando Anaya, gerente de Proofpoint en España. «A día de hoy la principal puerta de entrada para los ataques es el correo electrónico. A su vez, es indudable que cualquier medida de seguridad que tome una empresa no es suficiente si no somos capaces de formar a los empleados sobre los riesgos existentes. Si no hacemos eso no vamos a poder tener cierta certeza de seguridad», completa el experto.

Proofpoint no es una excepción. Todas las empresas de ciberseguridad consultadas por ABC destacan que la formación de los trabajadores para teletrabajar de forma segura es capital para evitar ciberataques. Según el estudio presentado firma, aunque en el 87% de las empresas españolas se requirió o se necesitó que gran parte de su fuerza laboral abandonase sus puestos y comenzase a trabajar desde el salón, con el ordenador sobre las rodillas, solo el 36% ofreció formación a los empleados acerca de las mejores prácticas . «Siendo el "ransomware" uno de los ataques más extendidos, en la encuesta hemos detectado que la mayoría de los usuarios no saben lo que es. Solo han respondido correctamente el 28%. Hace falta realizar un mayor esfuerzo en concienciación», expresa Anaya.

Estos datos llegan apenas una semana después de que la empresa de ciberseguridad Check Point comunicase que el 47% de las compañías españolas no han adoptado soluciones tecnológicas , como el cifrado de datos, para proteger la información corporativa. La firma también recogía que un 45% ni siquiera había implementado medidas de seguridad estándar, por lo que sus datos están muy expuestos frente a cualquier ciberataque. «A día de hoy los ataques con éxito que se están detectando se han incrementado bastante respecto a antes de la pandemia. Pero en menos proporción de lo que ha crecido la implementación de medidas de seguridad por parte de las empresas», explica a este diario Eusebio Nieva, director técnico de Check Point para España y Portugal.

Asimismo, otras firmas especializadas, como Securízame, han destacado en declaraciones a este diario la desidia de algunas compañías a la hora de ponerle solución a sus agujeros de seguridad . «En el mes de abril hice experimentos buscando puertos de escritorio remotos expuestos en internet y fui capaz de identificar más de 100 empresas españolas expuestas. Contacté con muchas de ellas y no me hicieron ni el más mínimo caso. Encontré casos de centros médicos -tanto para seres humanos como para animales- gestorías, bufetes de abogados y empresas de construcción, alimentación o limpieza entre otras», explicaba recientemente a este diario el director de Securízame, Lorenzo Martínez.

«Estos fallos de seguridad permitirían a un ciberdelincuente realizar pruebas de fuerza bruta con cuentas conocidas. Evidentemente, en muchos de esos casos das con una cuenta que tiene privilegios de administrador y puede entrar y montar una escabechina gorda. Si hace esto una persona con unas intenciones maliciosas puede robar datos y cobrar un rescate a cambio de recuperarlos», completa Martínez. El experto destacaba, a su vez, que la única solución efectiva para este problema, más allá de la prevención, es contar con una copia de seguridad de la información de la empresa que sea realmente eficiente.

Ahora, entrados en febrero de 2021, los expertos en ciberseguridad destacan que las empresas van realizando avances en materia de ciberseguridad. Pero el camino que tienen por delante todavía es largo . «El teletrabajo nos pilló con el pie cambiado. Eso provocó, entre otras cosas, que aumentasen mucho los ataques a escritorios en remoto. También las campañas de phishing para robar datos o infectar con virus informático. Suelen estar muy dirigidas contra víctimas concretas», destaca a este diario Josep Albors, jefe de investigación y concienciación de la empresa de ciberseguridad ESET.

El experto sostiene, a su vez, que en los últimos meses las campañas para atacar a empresas han seguido aumentando. Y que muchas, especialmente las pequeñas y medianas, han ido aprendiendo «a base de golpes»: «Más de una ha caído varias veces. Además, un ataque de tipo "ransomware" puede costar mucho dinero».

Y es que esta amenaza ya representaba uno de los mayores quebraderos de cabeza a los que debían hacer frente las empresas antes de que la Covid-19 lo pusiese todo patas arriba. Según un informe publicado el pasado verano por la firma de ciberseguridad Sophos, en el que participaron 5.000 responsables de TI de empresas de 26 países del mundo, durante 2019 el 51% de las compañías sufrieron un ataque de este tipo . Cifra que crece en el caso concreto de España hasta alcanzar el 53%. El precio medio de cada ataque ascendió a los 730.000 dólares de media (607.049 euros).