En septiembre de 2023, la empresa pública GEACAM, encargada de la gestión ambiental en Castilla-La Mancha, fue víctima de un ciberataque que cifró sus sistemas y exigió un rescate de 75.000 dólares en criptomonedas. Aunque lograron volver a la normalidad sin tener que pagar, el incidente puso en jaque sus comunicaciones internas y funcionamiento, poniendo de manifiesto la fragilidad digital con la que vivimos realmente. Un claro ejemplo de que nadie está a salvo en los tiempos que corren.
Solo en 2024, el Instituto Nacional de Ciberseguridad (INCIBE) de España tuvo que gestionar más de 97.000 ciberataques, con un notable incremento en los ataques a infraestructuras esenciales. La digitalización de procesos, el aumento del teletrabajo y la masificación de los teléfonos móviles han construido un escenario más propenso a estas amenazas. Uno en el que la ciberseguridad ya ha dejado de ser un término técnico para ser una necesidad.
¿Cómo prevenir un ciberataque?
En los tiempos que corren, lo importante no es preguntarte si tu empresa puede ser atacada, sino más bien cuándo va a recibir un ciberataque. Más vale prevenir que curar, y eso también se aplica al ámbito digital: la anticipación es la mejor defensa.
¿Y cómo empezar? Primero, sabiendo cuál es el punto débil de las defensas digitales de tu negocio. Para eso, lo mejor es acudir a empresas como OneCyber, que ofrecen servicios de auditoría de ciberseguridad con los que se detectan todas las vulnerabilidades que puedan haber en los sistemas informáticos de una empresa mucho antes de que esta sufra cualquier tipo de ataque.
Una buena auditoría a tiempo puede evitar muchísimos problemas en el futuro. Aunque no es lo único que hay que hacer, ya que hay que educar y formar a todo el personal de la empresa para que tengan unas pautas mínimas de seguridad a la hora de usar cualquier dispositivo o sistema que esté conectado con la empresa.
Eso implica hasta los accesos desde el móvil al correo del trabajo o similares. Lo abarca todo, y para conseguir que todo se refuerce como es debido es fundamental que el equipo sepa los riesgos que hay y cómo pueden evitarse, partiendo de pautas tan sencillas como sospechar de mails de remitentes desconocidos o con enlaces hasta evitar webs dudosas o software que no provenga de proveedores oficiales.
Soluciones que puedes aplicar desde hoy
Las grandes soluciones no siempre implican grandes inversiones. De hecho, una de las primeras recomendaciones es algo tan básico como mantener todos los sistemas actualizados. Tener un software sin actualizar es como tener una casa con ventanas rotas: está totalmente expuesta a atacantes. Lo mismo podemos decir de las contraseñas débiles, los accesos sin doble verificación o la ausencia de copias de seguridad automatizadas.
Hay que tener en cuenta que la mayoría de ciberataques se dan por algún descuido por parte de una persona. Por eso hay que tener mucho cuidado al usar cualquier dispositivo ligado a algo de la empresa: desde el portátil de trabajo hasta el móvil. De hecho, nunca está de más tener algunas pautas como estos consejos para evitar ciberataques en tu móvil.
También el propio negocio tiene que estructurarse para evitar que los ataques se propaguen. En ese sentido, lo mejor es segmentar los accesos dentro de la red de trabajo. Un empleado puede necesitar el acceso a los pedidos, pero no tiene por qué acceder a la base de datos de clientes o a la contabilidad del negocio. Estas separaciones, que marcan distintos tipos de accesos, son muy útiles como cortafuegos en caso de ataque.
Por último, pero no por ello menos importante, es esencial que haya copias de seguridad almacenadas en sistemas externos a la red de la empresa. Es una medida de salvaguarda que permite recuperarse fácilmente en caso de sufrir un ataque crítico, aunque requiere seguir un riguroso protocolo de copias diarias.
Ciberseguridad: de la formación a la cultura
Hasta el mejor antivirus del mundo es totalmente inútil si un trabajador cae en un engaño por falta de conocimiento. La formación constante del equipo es uno de los pilares de cualquier estrategia efectiva de ciberseguridad, y la mejor forma de conseguirla es invirtiendo en preparación y realizando simulacros de phishing o sesiones informativas, además de establecer protocolos claros que ayuden a crear una red de protección más allá de lo técnico. Una plantilla bien entrenada puede detectar amenazas incluso antes que el propio software.
Por otro lado, la ciberseguridad debe ser parte de las decisiones estratégicas de la empresa. Esto no debe hacerse por cumplir o porque lo diga la ley, se hace para proteger lo más importante: la confianza de los clientes y el bienestar del negocio. Las empresas con políticas activas de seguridad digital tienen mayor resiliencia y credibilidad ante inversores.
La seguridad digital ha dejado de ser un gasto para ser una ventaja competitiva. Ahora hay más herramientas que nunca para protegerse, pero también más amenazas. Y hay que estar preparados.
