Nathalie Jimenez
Cuando Elana Graham comenzó a vender software de ciberseguridad a empresas pequeñas hace cinco años, el negocio iba relativamente lento.
Ahora la demanda está en auge, impulsada por una rápida expansión del trabajo remoto que ha dejado a estas compañías vulnerables a los ataques.
Graham dice que el volumen de negocio de su empresa se ha triplicado desde principios de año, alcanzando un máximo histórico.
«Era una situación de negación total. ‘No me va a pasar a mí. Somos demasiado pequeños’. Ese era el mensaje que abrumadoramente escuchaba hace cinco años», dice Graham, cofundadora de CYDEF, que tiene su sede en Canadá. «Pero sí, está ocurriendo», apunta.
Se espera que los delitos cibernéticos le cuesten al mundo US$10,5 billones para 2025, según la firma de investigación de seguridad cibernética Cyber Ventures.
De seguirse la trayectoria actual, las pequeñas empresas absorberán la mayor parte del impacto.
Tienen tres veces más probabilidades de ser atacadas por ciberdelincuentes en comparación con las grandes empresas, según ha descubierto la firma de seguridad en la nube Barracuda Networks.
Y los riesgos se dispararon durante la pandemia.
El impacto de los confinamientos
Entre 2020 y 2021, los ataques cibernéticos a pequeñas empresas aumentaron más del 150%, según RiskRecon, una empresa de Mastercard que evalúa el riesgo de ciberseguridad de las empresas.
«La pandemia creó un conjunto completamente nuevo de desafíos, y las pequeñas empresas no estaban preparadas», dice Mary Ellen Seale, directora ejecutiva de la National Cybersecurity Society, una organización sin fines de lucro que ayuda a las pequeñas empresas a crear planes de ciberseguridad.
En marzo de 2020, en el punto álgido de la pandemia, una encuesta entre pequeñas empresas realizada por la cadena CNBC descubrió que solo el 20% planeaba invertir en protección cibernética.
Luego entraron en vigor los confinamientos por la covid-19 y las empresas se apresuraron a mover sus operaciones en línea.
Trabajar de forma remota significó que más dispositivos personales como teléfonos inteligentes, tabletas y computadoras portátiles tuvieran acceso a información corporativa confidencial.
Sin embargo, los confinamientos tensaron los presupuestos y limitaron cuánto podían gastar las empresas para protegerse. Contratar costosos expertos y adquirir el software de seguridad cibernética requerido a menudo estaba fuera de su alcance.
El resultado fue una infraestructura de seguridad cibernética débil que estaba lista para ser hackeada.
Pocos riesgos, grandes ganancias
«Muchos de los ataques ahora se dirigen a ellos porque los delincuentes saben que las organizaciones más grandes han hecho un trabajo bastante bueno al proteger su infraestructura. El eslabón más débil son las pequeñas empresas. Y es realmente fácil entrar allí», dice Seale.
Para los posibles delincuentes, tales ataques implican un bajo riesgo y una alta recompensa, ya que es menos probable que llamen la atención de las autoridades y, a menudo, de las propias empresas.
Yoohwan Kim, profesor de Ciencias de la Computación en la Universidad de Nevada (Las Vegas), indica que por lo general se tarda 200 días desde el momento en que se realiza el hackeo hasta que es descubierto. En muchos casos, las quejas de los clientes son las que alertan a las empresas sobre un problema.
Y con un proveedor que ha sido hackeado, los delincuentes pueden acceder a redes de organizaciones situadas más arriba en la cadena de suministro.
«Las grandes empresas dependen de las pequeñas empresas. Son el alma de Estados Unidos y necesitamos una llamada de atención», dice Seale.
Las pequeñas empresas representan más del 99% de las empresas en EE.UU. y emplean a casi la mitad de todos los estadounidenses, lo que desempeña un papel fundamental en la economía global.
Kim dice que son como el «talón de Aquiles» de la economía.
«Puede tratarse de empresas pequeñas, pero lo que venden a las grandes empresas podría ser muy importante. Si son hackeadas, [su producto] no entrará en las cadenas de suministro y todo se verá afectado», dice Kim.
Los ataques cibernéticos pueden ser devastadores para las pequeñas empresas, lo que lleva a que sus productos se eliminen de las cadenas de suministro, además de suponerles costos legales, investigaciones y declaraciones ante las autoridades regulatorias.
Alrededor del 60% de las pequeñas empresas cierran dentro de los seis meses posteriores a un ataque, estima la National Cybersecurity Alliance.
«El costo podría llegar a miles de dólares. Algunas empresas simplemente no pueden pagar esa cantidad de dinero», dice Kim. «Simplemente no pueden manejarlo».
Las más vulnerables
Pero aunque las pequeñas empresas son las más vulnerables, Graham dice que la mayoría de las herramientas de seguridad cibernética se han creado para grandes empresas y, a menudo, son difíciles de entender e instalar si no cuentas en el equipo con un experto en ciberseguridad.
«Ese es un gran desafío para las pequeñas empresas que no entienden lo que estas personas están tratando de venderles», dice ella.
Los expertos dicen que hay pasos simples que las pequeñas empresas pueden tomar para mejorar sus protecciones, como crear planes de respuesta básicos e identificar qué y dónde están los datos fundamentales.
También es importante educar a los empleados sobre cómo evitar y detectar ataques, ya que la gran mayoría de las filtraciones de datos ocurren por un error humano.
Los ataques en los que los ciberdelincuentes piratearon correos electrónicos comerciales fueron la amenaza cibernética más costosa durante la pandemia, con pérdidas reportadas por US$1.800 millones, según el Buró Federal de Investigaciones (FBI).
También conocido como spear phishing, estos hackeos realizan un ataque dirigido de forma específica, a diferencia de las estrategias más tradicionales como el spam, que llega a un gran número de personas.
Graham describe la herramienta como «la nueva frontera en la actividad delictiva» y dice que se ha convertido en el tipo más común de ciberataque al que se enfrentan sus clientes.
Pero Seale dice que las empresas no deben desesperarse.
«Lo más importante es transmitir a las pequeñas empresas [la noción] de que esto no es inútil. No es una tarea insuperable», dice ella.