Muchos de los ciberataques los sufren las pequeñas y medianas empresas, y el coste medio de un ataque puede oscilar entre los 3.000 y los 35.000 euros
El Instituto Nacional de Ciberseguridad gestionó durante 2020 -el año de la pandemia- más de 133.155 incidentes de ciberseguridad, la mayoría de ciudadanos y empresas (10.6.466). Respecto a la tipología de los incidentes, el 35% correspondía a malware y el 32,02% a cualquier tipo de fraude, seguido de sistemas vulnerables, con un 17,39%. Muchos de los ciberataques los sufren las pequeñas y medianas empresas, y el coste medio de un ataque puede oscilar entre los 3.000 y los 35.000 euros, según datos del INCIBE.
Las ciberamenazas y fraudes que pueden afectar a empresas y autónomos son amplias, por ello conocer cuáles son, cómo identificarlas y qué hacer en caso de sufrir uno de estos incidentes de seguridad es muy importante para que la continuidad del negocio no se vea afectada.
Ransomware: Es un tipo de malware o software malicioso que afecta a la información contenida en los diferentes dispositivos impidiendo su acceso, generalmente cifrándola y solicitando un rescate económico a los afectados a cambio de poder recuperar su acceso.
Fuga de información: Una fuga de información o fuga de datos se produce cuando se pierde la confidencialidad de la información de la empresa. Dicha información solamente debería ser accesible el grupo de usuarios autorizado dentro de la organización. El problema se materializa cuando debido a un incidente de seguridad, dicha información es accesible por terceras personas no autorizadas.
Correos electrónicos con malware: Las campañas de correos electrónicos para distribuir malware son una de las principales vías de infección que utilizan los ciberdelincuentes para comprometer los dispositivos de las víctimas.
Ataques de tipo phishing: Es un tipo de fraude cometido generalmente a través del correo electrónico, aunque pueden utilizar otros medios, como mensajes SMS (smishing), redes sociales, aplicaciones de mensajería instantánea o llamadas telefónicas (vishing), cuyo objetivo principal es robar información confidencial y credenciales de acceso.
El fraude del CEO: Se trata de un ataque dirigido contra una víctima en concreto, de la cual se ha recopilado información previamente por distintos medios, como la página web corporativa, redes sociales "profesionales" o cualquier otro medio, cuyo objetivo es hacer que el ataque sea más creíble.
El fraude de RRHH: El fraude de RR.HH. utiliza técnicas similares al fraude del CEO pero en esta ocasión las víctimas son el personal de recursos humanos de la empresa y un empleado al que suplantan su identidad.
Ataques contra la página web corporativa: La página web de la empresa es un activo importante, los ciberdelincuentes buscarán atacarla por diversos motivos, como es hacerse con información confidencial, utilizarla para perpetrar nuevos ataques o simplemente para dañar la imagen de la organización.
El falso soporte de Microsoft: trata de un fraude donde el estafador suplanta la identidad de un técnico de Microsoft con el pretexto de solucionar ciertos problemas técnicos en el equipo, siendo su objetivo real comprometer la seguridad y privacidad del dispositivo afectado y, por lo tanto, de la propia empresa.
Ataques de denegación de servicios: Los ataques de denegación de servicio tienen como objetivo degradar la calidad de un servicio; por ejemplo, la página web corporativa, hasta dejarlo en un estado no funcional. Para conseguirlo los ciberdelincuentes saturan los recursos del sistema que aloja el servicio a interrumpir, enviándoles una avalancha de peticiones que no son capaces de atender.
Ataques de adware: El adware es un tipo de software malicioso cuyo objetivo es mostrar anuncios publicitarios a su víctima con el fin de generar ingresos a los ciberdelincuentes.
Suplantación de proveedores: Pueden llegar a ser un gran problema para las empresas, ya que, creyendo hacer una transferencia bancaria al proveedor legítimo, se realiza en realidad a un ciberdelincuencia.
Recomendaciones de seguridad