«¿Para qué va a querer acceder a nuestro sistema un pirata informático? Somos una empresa pequeña». Si tú también has dicho esto alguna vez, este artículo te interesa.

Muchos autónomos y pymes siguen repitiendo el mantra: «¿A mí quién me va a atacar?». Creen que su página web o presencia online es insustancial comparada con la de las corporaciones y, por eso mismo, no puede tener interés para un pirata informático. Por ello, siguen siendo reticentes a aplicar medidas de seguridad digital.

Las razones de esta actitud son múltiples, pero la mayoría se pueden resumir en unas pocas palabras: falta de información. En general, los medios de comunicación solo dan a conocer los ataques contra grandes empresas o instituciones, ya que, al ser de gran calado, tienen más impacto como titular.

Debido a las noticias (o, en este caso, a la falta de ellas), muchos pequeños negocios, profesionales, asociaciones y otras organizaciones tienen la sensación de que a ellos no les va a afectar.

Pero sus páginas web o intranets no están ni mucho menos exentas de amenazas reales. De hecho, las pymes españolas son el objetivo número uno de los ciberdelincuentes y, a consecuencia de la falta de recursos, suelen ser las más vulnerables.

Historia real: «Mi web en jaque por la negligencia de un proveedor»

Silvia es la propietaria de una pequeña empresa de confección. Durante la pandemia, decidió reorientar el negocio y fabricar mascarillas con diseño personalizado.

Gracias al boca a boca, las visitas a su sitio web aumentaron bastante en 2020. Para poder absorber la demanda creciente, le pidió a su diseñador que actualizara la página.

En aquel momento, el diseñador estaba atendiendo otro proyecto y le indicó a Silvia que tardaría unos días en ocuparse del encargo. Le comentó que los cambios se aplicarían de madrugada para que el servicio no se viera interrumpido.

Al poco, Silvia observó que la tienda había estado fuera de servicio durante unos minutos al mediodía. Pensó que era el diseñador haciendo los cambios y no le dio importancia.

Sin embargo, al cabo de unos días, comenzó a recibir llamadas y correos de sus clientes, que se quejaban de que no habían recibido los productos que habían comprado en la página. Silvia les pidió los detalles y confirmó que algo pasaba: aunque los clientes habían hecho la compra, ella no había recibido los encargos ni los pagos.

En realidad, el corte que había observado era un indicio de que le habían hackeado la tienda: ¿cómo? Con las prisas, el diseñador había instalado un plugin para gestionar pagos sin revisar que fuera seguro.

Unos días antes, unos ciberdelincuentes habían conseguido infiltrarse en los sistemas del desarrollador del plugin y lo habían modificado sin que lo detectaran: el plugin corrupto, que terminó instalado en la web de Silvia, abría una «puerta trasera» mediante la cual los piratas podrían acceder a las tiendas online sin necesidad de usar fuerza bruta.

Los ciberdelincuentes utilizaron herramientas de rastreo especiales y vieron que la tienda online de Silvia usaba el plugin corrupto, tras lo cual accedieron al panel de administración.

Lo primero que hicieron fue redirigir a los clientes de Silvia a una página que simulaba ser la plataforma de pago. Los clientes no se percataron porque la dirección apenas era ligeramente diferente de la verdadera e incluso recibieron un mensaje de confirmación.

Silvia no solo perdió dinero y tiempo en solventar la situación. Seguramente perdió también clientes que nunca volverán a confiar en su web.

No se trata de una leyenda urbana ni de un cuento con moraleja. Es una historia real denunciada por el Instituto Nacional de Ciberseguridad (INCIBE).

¿Por qué se ceban los ciberdelincuentes con las pymes?

Como señala el INCIBE, «los ciberdelincuentes atacan pequeñas y medianas empresas porque, en muchas ocasiones, estas aplican medidas de seguridad menos robustas que una gran compañía».

En muchos casos, por ejemplo, usan gestores de contenidos, como WordPress, Joomla o Prestashop para crear su sitio web. El problema es que, si las webs de este tipo no se almacenan en hosting seguros y no se hace un mantenimiento periódico y se aplican las medidas de seguridad adecuadas, son especialmente susceptibles.

En vista del elevado volumen de webs que están creadas con estas aplicaciones, los piratas han desarrollado programas especiales que rastrean de forma automática todos los servidores del mundo. Cuando localizan estas herramientas, extraen información sobre la página en cuestión.

En el momento en que detectan una vulnerabilidad conocida y no «parcheada», inyectan software malicioso para explotarla. Todo de forma automatizada con bots que pueden llenar la página de anuncios, enviar millones de correos con productos falsificados o simplemente dar mala imagen de la marca y así conseguir que los clientes se pasen a la competencia.

Las tiendas online de pequeñas y medianas empresas, en particular, son un blanco jugoso porque manejan y almacenan datos personales y bancarios que tienen un gran valor en el mercado negro.

Otras veces, las empresas son suplantadas, sea en webs falsas o en las redes sociales, para intentar engañar y defraudar a sus seguidores. Es lo que le sucedió a este pequeño negocio de artesanía español que usa las redes a modo de catálogo: nunca pensó que los ciberdelincuentes fueran a fijarse en su cuenta, pero así fue.

Los recursos más limitados y la falta de inversión hacen que la capacidad de reacción de los pequeños y medianos negocios sea menor que la de las grandes empresas. No obstante, los daños de un ciberataque a una pyme pueden ascender a 35 000 euros, al margen de los costes operativos y reputacionales.

Por tanto, para un pequeño negocio, un ciberataque puede ser tanto o más perjudicial que para una corporación: según Google, el 60 % de las pymes se ven obligadas a cerrar 6 meses después de un pirateo a causa de las pérdidas generadas.

¿Cómo puedes proteger tu presencia online?

Para evitar estas situaciones, conviene aplicar una serie de buenas prácticas, entre las cuales:

• Usar siempre la última versión del hardware y el software (tanto el gestor de contenidos como los módulos y los plugins), ya que la mayoría de las actualizaciones son para arreglar agujeros de seguridad.
• Usar aplicaciones, temas y plugins de confianza, y descargarlos en la página del fabricante o mercados oficiales.
• Usar contraseñas seguras y cambiarlas regularmente.
• Instalar software de protección, como un sistema IDS/IPS o un UTM.
• Hacer copias de seguridad del sitio web de forma periódica.
• Establecer políticas de seguridad y formar a la plantilla.
• Contar con un plan de contingencia.
• Implantar una estrategia de monitorización y protección de marca onlinepara detectar posibles piratas que suplanten tu identidad en Internet.

Además, ahora puedes dejar el mantenimiento de tu página web WordPress en manos de los especialistas de Nominalia. Nuestros técnicos se encargarán de gestionar todas las actualizaciones de seguridad y hacer copias automáticas, entre otros servicios para proteger tu web. ¡Pregúntanos sin compromiso!