Entradas

ciberseguridad

7 pasos para ponerte a salvo de un ciberataque

El ciberataque del pasado viernes contra miles de empresas de todo el mundo ha vuelto a poner el foco en la vulnerabilidad digital. Telefónica y más de un centenar de multinacionales del mundo han sufrido una extorsión que no les suena raro a muchas pymes españolas. El cibercrimen se está expandiendo como la espuma en los últimos años. A pesar de no estar rodeado de tanta expectación mediática como el ataque de la semana pasada, lo cierto es que estos secuestros de datos a cambio de dinero, extorsiones y robo de información son cada vez más habituales entre los más vulnerables. Las pequeñas compañías. En 2016, el 32% de las pymes españolas sufrió un ciberataque, según el International Business Report de Grant Thornton.

Si la suya no es una de esas compañías, la pregunta que debe hacerse, según los expertos, es: ¿cuándo me va a tocar a mí? Resignados a lo que parece inevitable, el esfuerzo debe concentrarse en tratar de minimizar los daños de cualquier intento de abordaje informático hostil.

Por supuesto, decirlo es mucho más fácil que aplicarlo. El viernes que se produjo el ya famoso ataque de ransomware, Microsoft no tardó informar que el virus estaba atacando a una debilidad de su software e informaba de que el parche para “tapar” esa debilidad estaba disponible. Esto que para Chema Alonso, el famoso hacker contratado por Telefónica, pudo ser clave para frenar el ataque.  Pero seguro que esas indicaciones sonaban a chino en muchas pymes en las que el informático suele ser un colega del jefe que de vez en cuando se pasa por la empresa para “dar un repaso a los ordenadores”.

Dando por sentado que, aunque no debería ser así, la informática y la ciberseguridad no son las prioridades de muchas pymes, hay una serie de recomendaciones que hay que tener siempre muy presentes para guardar a buen recaudo la información más importante de la compañía.

 

1.- Ordenadores con antivirus. Sí, parece de Perogrullo, pero ocurre en más pymes de las que sería deseable: hay ordenadores con el antivirus sin actualizar. Eso que parece un descuido sin demasiada importancia es vital como primer muro de contención contra los continuados ataques informáticos que arrecian cada año. Más de 105.000 contra las pymes durante 2016, según los datos de Instituto Nacional de Cibersguridad (Incibe). Eso sí, tampoco hay que pasarse e instalar 10 como hacen algunas empresas. Con uno bueno es suficiente.

2.- Contraseñas cuidadas. Otro básico como el anterior. Increíble pero cierto, todavía hay contraseñas en el mundo empresarial, del tipo abc, o 1234. Que la pereza por pensar un poquito y utilizar alguna que otra neurona para la memoria no consigan ponérselo tan fácil a los hackers. Aquí sí, cuanto más rebuscada mejor, hasta que se generalicen los accesos vía lectura del iris del usuario o a través de la huella dactilar que ya usan algunas entidades financieras.

3.- Copias de seguridad guardadas en el cajón de la abuela. Aunque los términos puedan parecer contradictorios es la mejor de las decisiones. Hay que hacer copias de seguridad de manera periódica. No solo una, sino varias. Y de todas ellas, una debe ir a un lugar totalmente desconectado de internet. Esa será la tabla de salvación más segura para recuperar toda la información tras un posible ataque.

4.- Apostar por la nube. En este blog ya hemos hablado en muchas ocasiones de los beneficios de la nube para las pymes. Sin olvidar el consejo anterior. Alojar los archivos clave de una compañía en la nube, cada día se plantea como un requisito más imprescindible. Cualquier proveedor de alojamiento en la nube tiene sistemas e informáticos más capacitados para velar por la seguridad de los datos que albergan. Más que nada porque esa y no otra es la base de su negocio.

5.- Actualizar y actualizar y volver a actualizar. “Hay una nueva actualización disponible”. Quién no se han encontrado esta frase al abrir el ordenador y ha dicho. “Uff ahora no tengo tiempo”. Pues aunque suene repetitivo, cada vez que un proveedor de software envía este tipo de actualizaciones lo hace para “parchear” alguna fisura en la seguridad de los programas que suministra. No parase a actualizar significa dejar un poco más abierta la puerta a los ciberdelincuentes.

6.- Formación y concienciación de los empleados. No, no hay que estudiarse un tratado de informática. Solo aplicar el sentido común. El buzón del correo electrónico hay que gestionarlo de la misma forma que se gestionan las relaciones personales. Y todos los directivos y empleados de la empresa deben tener esto muy claro. El Instituto Nacional de Ciberseguridad Español (Incibe) asegura que el mayor riesgo de las empresas no está en los ataques externos, sino en las prácticas de riesgo de los propios empleados.

Estos deben saber que hay que ser tan precavidos en sus comportamientos virtuales como en la vida off line. Es la manera más segura de actuar. Por ejemplo, imagine que se encuentra a alguien en el metro y le dice, ¿me podrías dar tu email y te envío cositas? ¿Cómo reaccionaría? Probablemente espantado. De la misma manera hay que actuar cuando un desconocido en Internet o en redes sociales solita información personal.  Hay que huir de mails de desconocidos y mucho menos si en ellos te invitan a pinchar en algún link. Por supuesto, ni que decir tiene si la información que solicita es algún dato personal como: emails, contraseñas, números de cuenta.

7.-Redes sociales. Se han convertido en una herramienta clave para las estrategias de marketing de las pymes. Pero también son un peligro de alto voltaje para la seguridad digital. Es el lugar donde es más natural interactuar con desconocidos que pueden tratar de colocar algún tipo de virus en las empresas a las que, por ejemplo, quieran robar datos. Aunque el principal problema al que se enfrentan las empresas en las redes sociales es la suplantación de identidad y los perfiles falsos que pueden dañar su imagen y los equipos de sus clientes.

 

Además de estos consejos básicos, todas las empresas deberían actualizar sus protocolos de seguridad y atender a la formación especializada que el Incibe está impartiendo para las pymes. Tampoco está de más repasar su Kit básico de concienciación.

malware

Cuatro motivos tontos por los que su pyme puede ser objetivo del cibercrimen

Lunes por la mañana. Como cada día Juan (nombre ficticio) introduce su contraseña en el ordenador para comenzar la jornada. Algo va mal. La clave no funciona y el error es generalizado en todos los ordenadores de su pequeña gestoría. Unos segundos después un mensaje aparece en su pantalla.

“Sus archivos están encriptados”. Para obtener la clave para descifrar los archivos tiene que pagar 3.000 dólares en menos de 24 horas. Si no lo hace, el precio subirá a 5.000. Si no ha pagado, en una semana todos los archivos de su empresa quedarán destruidos para siempre.

Seguro que más de un cinéfilo encontrará en esta escena similitudes con alguna película de ciencia ficción de los años ochenta del siglo pasado. Pero, en pleno siglo XXI, ésta es una terrorífica realidad para muchas pymes.

Se trata de un caso de los llamados ataques de ransomware  o cibersecuestros. Hackers que se cuelan en cualquier pyme a través de ficheros infectados distribuidos en los emails. Porque,  aunque alguno le cueste creerlo, no hace falta ser una entidad financiera, una emisora de tarjetas de crédito o una multinacional de la informática para ser objetivo del cibercrimen.

Robos de información, extorsiones, suplantación de identidades… y todo tipo de versiones de malware informático avanzan en progresión aritmética a media que transcurre el siglo XXI. Las empresas están cada vez más conectadas, más expuestas a la red, y eso las hace más vulnerables. Los datos que manejan los expertos abruman. Solo en un día se pueden registrar en España 162.000 páginas web con algún tipo de virus malicioso o malware. El Instituto Nacional de Ciberseguridad registró en 2014, unos 17.000 incidentes conflictivos, en lo que va de 2015 ya han superado esta cifra.

Evitar convertirse en destinatario de alguno de estos terroríficos mails no es tarea fácil. Las grandes empresas destinan cientos de millones a esta protección y ni siquiera evitan los ataques. En este mundo, los malos siempre van por delante, pero eso no quiere decir que haya que quedarse parados.

Desde este blog hemos recomendado invertir en ciberseguridad, pero en muchas ocasiones la prevención es mucho más efectiva que la lucha.

1.-Por ejemplo, ¿sabe que el principal motivo para ser víctima de un ciberataque es tener ordenadores obsoletos? En muchas empresas se tiene la idea de que la inversión en  herramientas tecnológicas debe tener una amortización máxima. Esto se traduce en que los ordenadores no se cambian hasta que no andan con bastón o se rompan.  Error. Los equipos y programas informáticos antiguos tienen menores actualizaciones por parte de los desarrolladores. Es decir, dejan el camino más fácil al los hackers.

2.- Nada es gratis. Esta es otra de las máximas que deberían recordar todos los pequeños empresarios. Optar por un software o una aplicación gratuita para ahorrarse unos euros puede resultar muy costoso a la larga. Desde las grandes consultoras, los expertos en ciberseguridad advierten de que muchos de estos programas contienen peligrosas fórmulas de compartir datos con otras aplicaciones.

3.- Fiarse en exceso de los proveedores.  No es extraño que una pyme comparta claves de acceso a sus servidores con determinados proveedores. El criterio habitual para hacerlo es la confianza personal que se tiene con ellos, pero no se repara en que una vulnerabilidad del sistema informático del proveedor puede ser la vía de contagio. Exigir unos mínimos de seguridad informática a los proveedores debería ser tan primordial como exigirles una factura a cambio de sus servicios.

4.- Falta generalizada de concienciación del riesgo. Ésta es según apuntan los expertos en la materia, la principal causa de contagio. Las pymes consideran que ellas no son objetivos de los cibercriminales. No se piensa en ello. No hay protocolos de gestión de mails no identificados, las claves de seguridad son débiles y socializables, es decir, que todo el mundo las conoce. Solo si todo el mundo tiene presente que el riesgo está a la vuelta de la esquina podrá esquivarlo.

 

 

webs

Los grandes errores de las webs de las pymes

En estos tiempos en los que todo el mundo vive y se informa en Internet resulta sorprendente que existan todavía multitud de páginas de pequeños negocios con fallos, que lastran la utilidad y la funcionalidad de las mismas. Quizá sea por dejadez, o por falta de tiempo, pero conviene recordar que, en la mayoría de los casos, las webs son el punto de encuentro entre la pyme y los consumidores. Por tanto, mantener y optimizar este lugar es vital para mejorar la credibilidad con los clientes.

A pesar de ello, un tercio de las páginas de las pymes las mantienen los propietarios de los negocios, lo que deja en evidencia la escasa profesionalidad que se dedica a una herramienta fundamental para todo lo que rodea a una empresa. Para tratar de solucionar este mal tan extendido y contar con una buena carta de presentación en Internet es importante conocer los grandes problemas que presentan los portales de muchos pequeños negocios. Algunos de los más importantes son:

– Sin posibilidad de contactar. Según diversos estudios, el 93% de las páginas de las pequeñas empresas no incluyen una dirección de correo electrónico. Asimismo, el 49% tampoco muestra un teléfono. Esto supone un grave obstáculo para cualquier posible cliente que nos visite, ya que sin un método de comunicación es imposible que nadie pueda adivinar si está ante una empresa seria o ante un dominio abandonado y sin actividad actual.

– Diseño pobre. Aunque parezca increíble, el 41% de los sites de pymes cuentan con un diseño pobre, aburrido y anticuado, lo que es un crimen si se tiene en cuenta que, en la actualidad, se disponen de miles de plantillas gratuitas que permiten crear un lugar agradable, sin tener que poseer grandes conocimientos informáticos. Esto también nos aleja de los consumidores, que no se fían de un portal desagradable para visitar y navegar.

– Nulo mantenimiento. Como se ha comentado antes, muchos emprendedores se encargan de mantener actualizados sus portales. ¿Resultado? El 64% no encuentra tiempo y actualiza muy pocas veces, y un 25% de los mismos asegura que jamás actualiza nada. Esta falta de mantenimiento es un problema de cara al consumidor, que no encuentra provecho en la repetición de sus visitas. Y también es un obstáculo a la hora de dar a conocer nuestros nuevos productos o servicios en Internet.

– Sin estadísticas. El 75% de los emprendedores reconoce que no utiliza una herramienta gratuita como Google Analytics (o cualquier otra) para conocer los datos de tráfico de su página web. Sin esa ayuda, ¿cómo se va a saber si está teniendo éxito el portal?

– Sin posicionamiento en buscadores. ¿Si nadie sabe que existes cómo te van a encontrar? Esa pregunta se la deberían hacer el 26% de los emprendedores que prescinden del SEO a la hora de dar a conocer sus portales en Internet. Luego quizá comenten que estar presente en la red no sirve de nada. Pero es que sin unas palabras claves, una descripción y un posicionamiento es imposible destacar ante el resto de competidores.

– Nada de nada en redes sociales. Entre en cualquier página web de una pequeña empresa y ahora busque un enlace a Twitter o Facebook. ¿No lo encuentra? Normal. Más del 90% de ellas no disponen de un sencillo widget, que le permita conectar con las redes sociales. Con este tipo de política, se están perdiendo los beneficios que genera que los usuarios compartan con sus contactos las experiencias que han tenido con sus productos o servicios.

– El móvil, ese gran desconocido. Cada vez más personas navegan a través del móvil y realizan sus compras o sus transacciones mediante estos dispositivos, que están dejando obsoletos a los ordenadores. A pesar de ello, el 60% de las pymes se olvidan de ellos y no tienen su web optimizada para la navegación a través de los smartphones. Es decir, ignoran a una infinidad de internautas y posibles clientes. Todo un lujo en estos tiempos que corren

– Sin seguridad. La mayoría de las pequeñas empresas no tiene contratado un servicio de mantenimiento y seguridad para sus sites, lo que les deja vulnerables ante los ataques informáticos y los virus. Quizá lo hagan porque creen que ningún hacker tendrá especial interés en atacar sus portales. Se equivocan. El 44% de los pequeños negocios reciben ciberataques. Y, según algunos estudios, cada uno de ellos supone una media de 6.000 euros de pérdidas.

En definitiva, una serie de problemas fundamentales que lastran el desarrollo de una web y que conviene eliminar de raíz si se quiere conseguir que Internet sea una herramienta que pueda ayudar a nuestro negocio. De no hacerlo, casi mejor olvidarse de obtener algo positivo de la aventura en la red. Usted decide.

seguridad-informatica-escudo

¡Cuidado con los ‘hackers’! Consejos para la seguridad informática en tu empresa

seguridad-informatica-escudoHoy en día, nadie duda de que las nuevas tecnologías facilitan enormemente el trabajo y  aportan grandes ventajas. Pero tampoco hay que olvidar que conllevan serios peligros. Por eso, la seguridad informática se ha convertido en un factor clave para cualquier empresa, pero sobre todo para aquellas que abandonan la cercanía del hogar propio y se lanzan al mercado exterior. Es entonces cuando aumentan los riesgos y cuando los ‘hackers’ pueden agudizar aún más su ya afilado ingenio.

¿Por qué las pymes que cruzan fronteras elevan sus riesgos?

  • El hecho de internacionalizarse hace a la empresa más golosa a la hora de convertirse en víctima de posibles ataques.
  • Además, aumentará considerablemente el volumen de datos que maneja y tendrá que compartir información entre las sedes de cada país.

Principales consecuencias

  • Una empresa que no piensa en la seguridad corre el riesgo de desaparecer, sobre todo tras sufrir un incidente que acabe con sus datos o que le genere una multa que no pueda afrontar.
  • La seguridad informática es la encargada de proteger todos los datos de la empresa y de sus clientes. Si es inexistente entonces esta información puede ser robada, desaparecer por un fallo físico o corromperse por la acción de un virus o un hacker.
  • Sin llegar a estos extremos, también se corre el riesgo de sufrir pérdidas de productividad.

¿Cómo actuar?

Israel Zapata, director técnico de Secura IT, aconseja cómo actuar para aumentar la seguridad:
  • Será necesario realizar copias de seguridad, para que la información no se pierda en caso de una catástrofe.
  • Será imprescindible proteger todos los datos de la compañía, incluyendo los de sus propios empleados en el país correspondiente.
  • En ciertos países, el riesgo a ser copiados hace imprescindible usar medidas para evitar fuga de información.
  • Todas estas nuevas necesidades han de ser cubiertas o, en caso contrario, se correrá el riesgo de sufrir, a corto plazos, problemas importantes de pérdida de información vital para la empresa, o de pérdida de tiempo y recursos, tanto tecnológicos como humanos.

Pasos para aumentar la seguridad

  • En primer lugar, hemos de preocuparnos de establecer un canal de comunicación de datos seguro y fiable entre la sede central y las delegaciones en países extranjeros. Para ello, serán necesarios equipos que permitan crear Redes Privadas Virtuales (VPN) a través de múltiples líneas de internet. De esta manera, aseguramos este canal de comunicación y, además, ahorramos el coste de contratar una línea punto a punto entre países, que suele ser extremadamente cara.
  • Además, es importante poder controlar la seguridad básica de las delegaciones desde la central. Hablamos en este caso de antivirus con consola centralizada o consola en la nube y de firewall con detectores de intrusos, que permitan una fácil gestión remota de varias sedes.
  • Seguramente, el hecho de internacionalizarnos implique que ciertos empleados tengan que viajar constantemente entre las sedes. Por eso, será también interesante proporcionarles un método seguro y sencillo de acceso remoto a los datos de las oficinas desde cualquier lugar.
  • En ciertos países, o en el caso de que dispongamos de información extremadamente sensible, también es fundamental que usemos sistemas de cifrado de esos datos y sistemas para evitar la fuga de información.
  • Por último, siempre es interesante que una empresa especializada realice una auditoría de seguridad, que chequee nuestros sistemas y políticas para asegurarnos de que no se nos ha escapado nada.