Cómo las ‘startups’ pueden prevenir amenazas virtuales en la nueva normalidad

Durante el confinamiento debido al coronavirus, el teletrabajo en España se convirtió en una obligación para todas aquellas empresas que pudieran implementarla: se pasó de un 5% a un 34% de trabajadores según un estudio del IvieLab. También se ha disparado el comercio electrónico en América Latina y España: lo ofrecen más empresas a través de diferentes plataformas y lo utilizan cada vez más consumidores.

Todos estos nuevos modelos de comportamiento tienen algo en común: una fuerte base digital. Este aumento de presencia ‘online’ implica un aumento de los riesgos: los ciberdelincuentes se aprovechan para aumentar sus fechorías. “Se han incrementado los ataques a usuarios: ya no se trabaja bajo el paraguas de seguridad de la propia oficina, se comparte ordenador y red con el resto de la familia, y la preocupación por la pandemia nos ha hecho estar más vulnerables a ciertos ataques, como las suplantaciones de instituciones públicas a través de ‘phishing’“, explica Roberto Ortiz, Global Head of People Information Security de BBVA.

Nativo digital no implica sin riesgos

Al contrario de lo que pudiera parecer al ser nativas digitales por definición, entre los grupos de riesgo ante ciberataques las ‘startups‘ no están más seguras que las demás empresas. De hecho, pueden llegar a ser especialmente vulnerables “ya que los ciberdelincuentes las consideran objetivos más fáciles“, indica Oliver Moradov, Head of Partnerships de la empresa de seguridad NeuraLegion, que ha participado en el último Fast Track de BBVA Open Innovation. “Las organizaciones empresariales más grandes tienen equipos, procedimientos y herramientas de seguridad más maduros, estrictos y con fuertes inversiones, mientras que las nuevas empresas generalmente no invierten en seguridad”, añade.

Los expertos de Grupo Zerolynx, ‘startup’ que colabora con BBVA, coinciden. “Hay empresas que han nacido 100% digitales y no destinan presupuesto en seguridad digital porque piensan que, al estar todo almacenado en la nube, no se tienen que preocupar por sus sistemas, entornos y arquitecturas”, señala Jesús Alcalde, responsable de Seguridad en DevOps en Zerolynx.

Ataques pos-COVID-19

Los principales ataques tras el coronavirus suelen estar centrados en el robo de datos personales y bancarios para realizar operaciones no autorizadas. Por ejemplo, el ataque de estafa del CEO. “Se hacen pasar por un personal de alta dirección al que le han robado las credenciales, mandan un ‘email’ al departamento de compras y solicitan una transferencia. El dinero se esfuma; para una pyme o una ‘startups’ esto puede significar la ruina”, detalla Alcalde.

El Instituto Nacional de Ciberseguridad (INCIBE) alertaba de ataques de ‘phishing‘ que utilizan como cebo el COVID–19 para engañar a los empleados de una compañía y distribuir ‘malware’. “El mayor punto de vulnerabilidad, en muchas ocasiones está dentro del perímetro de la propia empresa, ya que a menudo las personas son el eslabón más débil“, indica Ortiz.

Por otro lado, “el 43% de las fugas de datos son resultado de las vulnerabilidades de las aplicaciones web”, indica Moradov haciéndose eco del informe 2020 Data Breach Investigations Report de Verizon.

También es común la infección de sistemas digitales y el secuestro de sistemas de información, el conocido ‘ransomware‘. “Entran en el sistema, sacan la información y piden un rescate. A veces no se llevan los datos, sino que amenazan con hacerlos públicos si no pagas”, explica Alcalde.

Muchos de estos ataques esconden además una sorpresa: no son detectados en el momento. “Se tarda unos cuatro meses desde el primer ataque en identificar una intrusión. Así que ahora vamos a empezar a encontrarnos con empresas que fueron atacadas en mayo y junio; las cifras se van a disparar”, indica González.

Consejos para estar protegido

¿Cómo puede una empresa emergente, con un músculo financiero en crecimiento, anteponerse a esto? La mejor estrategia es una defensa anticipada. Desde BBVA, Ortiz lanza una serie de indicaciones básicas:

· Crear una estrategia de ciberseguridad, identificando y evaluando los principales riesgos a los que se encuentra expuesta la ‘startup’.

· Disponer de controles de accesos remotos robustos para asegurar situaciones como el teletrabajo, usar canales seguros y separar muy bien el espacio profesional y el personal para no poner en peligro los sistemas de la compañía.

· Vigilar la red desde la que se accede. Si la compartes con tu familia, ojo con descargar documentos al ordenador y comprometer datos.

· Proteger los dispositivos y la tecnología usada. Por ejemplo, trabajar siempre desde el ordenador de la compañía, y mantener dispositivos y aplicaciones actualizadas.

· Más allá de antivirus, utilizar sistemas de monitorización y alertas y realizar auditorías internas para analizar el riesgo desde dentro de la propia empresa.

· Invertir en formación de los empleados para que tengan cultura de la ciberseguridad y estén alerta.

Última llamada: la ciberseguridad es esencial

La pandemia ha impulsado la digitalización, pero también los riesgos cibernéticos que conlleva y “una transformación empresarial más rápida, en la que la lucha por obtener más ingresos y mejor cuota de mercado hace que la seguridad sea una idea que se deja para después”, recuerda Moradov.

Y la seguridad no puede dejarse para después. González vaticina: “Partimos desde un punto inicial en el que la gente no hacía nada y los ataques van a ir en aumento. Si las empresas dejan de invertir en ciberseguridad, el escenario en 2021 va a ser dantesco”.

Ortiz recuerda además que la ciberseguridad también es una oportunidad de negocio y una manera de mostrar calidad a los clientes: “Diseñar la seguridad desde el punto de vista del usuario final es clave para las empresas digitales, ya que es el principal vector para mantener la confianza digital y palanca para nuevos negocios”.

Ante la situación cambiante de la pandemia y la digitalización, Moradov concluye: “La seguridad debe evolucionar y mejorar siempre, independientemente del tamaño de la empresa. La seguridad es un viaje, no un destino”.