Es difícil de creer que las pequeñas empresas sean hackeadas cuando vemos las noticias sobre filtraciones y ciberataques a gran escala que ocurren en las grandes corporaciones, como sucedió en estos días con Twitter, que tuvo un problema de seguridad interno que terminó en una estafa masiva.  Y conviene no olvidar con lo que sucedió tanto con WannaCry como con Equifax.

Sin embargo, y más allá de las noticias que llegan a las primeras planas de los medios,  según las estadísticas, más de la mitad de los ataques suelen ser contra sitios web de pymes.

Un ejemplo es el hotel austríaco que fue hackeado cuatro veces seguidas  entre diciembre de 2016 y enero de 2017. Los hackers consiguieron acceso a las cerraduras electrónicas del hotel. «Recibimos un correo de rescate que estaba oculto en una factura de Telekom Austria», le dijo el señor Brandstatter, gerente del hotel, a la BBC News.

Además de las cerraduras inutilizables de las puertas, las computadoras del hotel se vieron comprometidas, por lo que el hotel tuvo que pagar un rescate dos bitcoins (unos 2000 dólares según la cotización de aquel entonces).

¿Por qué hackean a las pymes?

Las pequeñas empresas son hackeadas porque son las que suelen tener menos seguridad y, por lo tanto, son el objetivo principal de los hackers.

La concientización en el mundo cibernético sigue siendo uno de los mayores problemas, ya que los ejecutivos y empleados de las empresas no son conscientes de los riesgos que conlleva el mundo cibernético.

«En realidad, como pequeña empresa no crees que nadie esté interesado en ti por el hacking, por lo que no teníamos ningún plan de qué hacer», dijo Brandstatter oportunamente.

Ninguna organización quiere que sus datos se vean comprometidos, ya que el resultado no sólo es una pérdida de reputación, sino también sanciones o multas, en caso de que se filtren datos confidenciales de sus clientes o sus operaciones.

¿Cuántas pequeñas empresas son hackeadas?

En la mayoría de los casos los hackers no tienen como objetivo empresas específicas en particular. Obtienen datos y los utilizan en su beneficio.

Los hackers están apuntando a vulnerabilidades conocidas en los plugins de WordPress (la plataforma más utilizada para sitios corporativos de todo tipo) y están usando herramientas automatizadas para intentar acceder a miles de sitios a la vez. De acuerdo a los datos, el 98% de las vulnerabilidades de WordPress están relacionadas con los plugins.

Las vulnerabilidades se utilizan para obtener acceso a un sitio, infectarlo con malware o insertar spam de SEO para obtener beneficios financieros utilizando este sitio.

Las estadísticas muestran que los ciberdelincuentes comenzaron a cambiar su enfoque ya en 2017. En el informe de 2019, se afirmó que los hackers están empezando a centrarse cada vez más en las pequeñas empresas, lo que ha dado lugar a un aumento del 424% en las infracciones auténticas y nuevas a partir de 2017.

Hay otro número que llama la atención: el 64% de las pequeñas empresas van a invertir más en ciberseguridad en 2020 que antes. La razón puede ser que sus sitios son hackeados y atacados más frecuentemente.

Los últimos datos muestran que cerca de 30.000 sitios web son hackeados cada día. Y lo que es más, estos 30 000 sitios son generalmente sitios legítimos de pequeñas empresas, que están distribuyendo malware sin saberlo.

¿Cómo hackean a cualquier empresas?

A continuación, una lista de las formas más comunes en que las empresas y los pequeños negocios son hackeados, así el lector puede tomar medidas para proteger su negocio.

Estafas de phishing

Es un hecho conocido que el ser humano es uno de los eslabones más débiles cuando se trata de la ciberseguridad. Una técnica popular en el phishing es engañar al usuario para que introduzca su nombre de usuario y contraseña (como la contraseña del panel de administración del sitio web) en un formulario de inicio de sesión falso.

Ejemplo de aviso falso de Paypal de Phishing.org.

¿Cómo se detecta una estafa de phishing?

Cuando empiece a escribir sus credenciales, mire la URL en la barra del navegador. Hay que asegurarse de que la URL esté escrita correctamente. Mejor aún, si el correo electrónico contiene un enlace a un sitio al que suele acceder, no utilice los enlaces que se le envían en los correos electrónicos. Abra una nueva pestaña e inicie sesión escribiendo el URL usted mismo.

Esto le asegurará que definitivamente está ingresando al sitio correcto, no una réplica hecha para obtener su nombre de usuario y contraseña.

Código de terceros: plugins y temas

Los plugins y temas que se utilizan en los sitios web, por ejemplo, los sitios de WordPress, son construidos por desarrolladores de todo el mundo. Cuando un plugin aparece en el repositorio de WordPress, es comprobado por el equipo de seguridad de WordPress.

Después de eso, cuando un plugin recibe actualizaciones, no hay nadie que lo compruebe en busca de vulnerabilidades más que los hackers y los equipos de seguridad web.

Las empresas de ciberseguridad realizan un monitoreo constante de este tipo de vulnerabilidades ya que es la forma más común en que los sitios web son hackeados. Es por esto que conviene invertir en la protección de los sitios web, dado que este es la cara al mundo de cualquier empresa, grande o pequeña.

Seguridad de la contraseña

Las contraseñas son un tema que suele estar presente en todos los artículos sobre seguridad cibernética. Es simplemente muy importante usar contraseñas fuertes y establecer una protección de fuerza bruta.

Aquí hay un artículo sobre cómo gestionar las contraseñas y cómo protegerlas.

Las tres claves:

  • Es importante que todas tus contraseñas sean únicas.
  • Para recordar las contraseñas, lo mejor es usar una herramienta de administración de contraseñas. Más información, acá.
  • Configurar la autenticación de dos factores en todas tus cuentas importantes. Más información.

La seguridad de los sitios web de las pequeñas empresas es crucial

Muchos hackeos ocurren porque el personal no es consciente de los riesgos. Lo mejor es educar más en términos de ciberseguridad a todo el plantel de la empresa. No sólo sobre el sitio web (qué hacer y qué no hacer, cómo actualizar y emparchar las vulnerabilidades) sino también sobre todo lo que está pasando en la web.

Los hackers, como todo el mundo, innovan y a veces es muy difícil para entender lo que es legítimo y lo que no.

La ciberseguridad es a menudo mal entendida como un problema técnico, pero casi todas las violaciones son causadas directa o indirectamente por una mala higiene cibernética o simplemente por la falta de conciencia de seguridad.