¿Por qué las pymes son el principal destino de los ciberataques?

Las pequeñas y medianas empresas (pymes) se encuentran cada vez más en el punto de mira de los ciberdelincuentes, y esto no es casualidad. A pesar de su tamaño, estas organizaciones suelen almacenar datos valiosos sin contar con la sólida protección de las grandes empresas. Los presupuestos limitados para ciberseguridad, los equipos de TI con falta de personal y una falsa sensación de que pasan desapercibidas las hacen especialmente vulnerables. En esta entrada se explica por qué las pequeñas empresas son objetivos prioritarios de los ciberataques. Sigue leyendo para descubrir cómo mejorar la ciberseguridad de las pymes.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

Por qué aumentan los ciberataques a las pymes

Los ciberataques a las pequeñas y medianas empresas son cada vez más frecuentes. Los atacantes prefieren a las pymes por múltiples motivos.

  • El menor nivel de seguridad . La mayoría de los atacantes creen que la ciberseguridad en este tipo de empresas es más débil que en las grandes empresas. Esto puede deberse a la ausencia de especialistas en TI y expertos en seguridad dedicados. Un presupuesto limitado es otro motivo para que las medidas de protección de datos sean insuficientes.
  • Datos valiosos pero vulnerables . Incluso las organizaciones pequeñas pueden gestionar datos importantes, como información de clientes, datos financieros, detalles de pago y comunicaciones empresariales. Estos datos, valiosos pero menos protegidos, resultan atractivos para los ciberdelincuentes, ya que pueden venderlos o utilizarlos para posteriores ataques más personalizados contra otros destinos. La táctica se denomina «atacar a los peces pequeños para llegar a los grandes».
  • Ciberataques masivos . El «ransomware como servicio» (RaaS) es un nuevo modelo que permite a los ciberdelincuentes dividir el trabajo para lograr una mayor eficiencia. Como resultado, el RaaS facilita que los atacantes con pocos conocimientos lancen sofisticadas campañas de ransomware y aumenta el número total de ataques en todo el mundo. Los ciberdelincuentes pueden lanzar ataques automatizados y generalizados o un ciberataque dirigido a una pequeña empresa.
  • Falta de concienciación sobre ciberseguridad . Una vulnerabilidad habitual es que las organizaciones no formen a los usuarios para que identifiquen los indicios de ciberataques, como el phishing, la ingeniería social, los enlaces sospechosos y los correos electrónicos dudosos. Subestimar estas medidas básicas de concienciación sobre seguridad aumenta las amenazas de ciberseguridad para las pequeñas empresas. Cuando los usuarios utilizan contraseñas débiles y no siguen las prácticas de seguridad básicas, los atacantes pueden infectar fácilmente los ordenadores con virus y otro malware.
  • Detección y respuesta con retraso . Las pequeñas y medianas empresas no suelen realizar la supervisión continua de su infraestructura. Como consecuencia, los administradores pueden perder la oportunidad de reaccionar cuando se está produciendo un ciberataque. Esta reacción tardía puede causar daños irreversibles. El retraso en los análisis de vulnerabilidades y en la aplicación de parches puede convertir a estas empresas en blancos fáciles.

Los ciberataques que aprovechan el protocolo Server Message Block (SMB) son habituales, ya que se trata de un protocolo muy utilizado que permite compartir recursos compartidos, acceder a impresoras y establecer comunicación entre procesos en redes Windows. Las versiones más antiguas del protocolo SMB contienen vulnerabilidades explotables si no se protegen adecuadamente. Una configuración incorrecta del acceso a los recursos compartidos también crea una brecha de seguridad. Los ataques SMB se utilizan ampliamente contra pequeñas organizaciones porque los atacantes esperan que dichas empresas utilicen este protocolo sin la protección adecuada.

Tipos más comunes de ciberataques contra pymes

Existen múltiples tipos de ciberataques que pueden dirigirse contra las pequeñas y medianas empresas. La mayoría de ellos son comunes a cualquier destino.

  • Ataques de phishing . Los correos electrónicos engañosos inducen a los empleados a hacer clic en enlaces maliciosos o a revelar información confidencial (contraseñas o datos financieros). Las organizaciones son vulnerables si carecen de una formación adecuada en materia de seguridad o si el filtrado de correo electrónico o la protección contra el spam no están configurados correctamente.
  • Ransomware . Se trata de una de las amenazas de ciberseguridad más peligrosas para las pequeñas empresas. Destruye los datos mediante potentes algoritmos de cifrado que solo pueden descifrarse con una clave. Los atacantes exigen un rescate para liberar los datos, pero no hay garantía de que envíen la clave una vez pagado el rescate. Las organizaciones vulnerables son aquellas que carecen de estrategias de backups y planes de respuesta ante incidentes adecuados.
  • Infecciones por virus y malware . Los virus, troyanos, gusanos o programas espía instalados a través de enlaces o software malicioso suelen utilizarse para robar datos u obtener acceso remoto. Las organizaciones en las que los usuarios descargan archivos de fuentes no fiables y no disponen de software antivirus actualizado son vulnerables a las infecciones por malware.
  • Compromiso del correo electrónico empresarial . Los hackers se hacen pasar por ejecutivos o proveedores para engañar a los usuarios y que estos transfieran dinero o revelen datos. Una autenticación de correo electrónico débil y la ausencia de un proceso de doble aprobación para las transacciones financieras hacen que las organizaciones sean vulnerables.
  • Relleno de credenciales . Los hackers utilizan combinaciones de nombre de usuario y contraseña robadas anteriormente para acceder a otros sistemas. Los usuarios con contraseñas comunes (muy conocidas) que no autenticación multifactorial pueden poner en riesgo a la organización.
  • Denegación de servicio (DoS) / Denegación de servicio distribuida (DDoS). La sobrecarga de un servidor o una red para dejar los servicios fuera de servicio se utiliza a menudo para extorsionar o perturbar el funcionamiento de las empresas. Las empresas con un ancho de banda limitado y sin herramientas de mitigación de DDoS son vulnerables a este tipo de ataque.
  • Amenazas internas . Los empleados o contratistas pueden provocar brechas de seguridad al robar o gestionar incorrectamente los datos. Esto puede ocurrir debido a controles de acceso y políticas de seguridad inadecuados.

Los atacantes pueden combinar varios tipos de ataque para lanzar un ataque complejo y devastador. Por ejemplo, pueden obtener credenciales de correo electrónico, enviar correos electrónicos suplantados con tácticas de ingeniería social para infectar ordenadores dentro de las organizaciones y ejecutar ransomware para destruir datos y exigir un rescate.

Los ciberataques suelen aprovechar el protocolo SMB cuando la seguridad de SMB no está configurada correctamente. Esto permite a los atacantes infectar ordenadores, propagar virus como el malware tipo gusano y robar datos, así como cifrar o corromper archivos con ransomware. Las versiones más antiguas de SMB, como SMBv1, presentan vulnerabilidades conocidas que los atacantes suelen aprovechar.

Antes de obtener acceso a través de SMB, los atacantes pueden utilizar ataques de tipo «hombre en el medio» (Man-In-The-Middle) o capturar el hash NTLM para descifrarlo sin conexión y recopilar credenciales mediante respuestas LLMNR/NBT-NS contaminadas. También se emplean tácticas de escalada de privilegios. Los ciberataques modernos son sofisticados y pueden desarrollarse en varias fases, incluida la explotación de brechas de seguridad de SMB para perjudicar a la víctima.

Principales motivos por los que las pymes son vulnerables a las ciberamenazas

A continuación, resumimos los motivos por los que las pequeñas y medianas empresas son vulnerables a los ciberataques.

  • Presupuesto limitado y baja prioridad en materia de ciberseguridad y protección de datos. Las pequeñas organizaciones suelen dar prioridad a los costes operativos frente a la seguridad informática. Una protección inadecuada las deja expuestas incluso a ataques básicos. Las redes Wi-Fi mal protegidas permiten a los atacantes acceder a la red de la organización sin necesidad de acceso físico a la oficina.
  • Ausencia de políticas de seguridad formales . La falta de políticas documentadas sobre gestión de software, aplicación de parches de seguridad, contraseñas y respuesta ante incidentes aumenta el riesgo de que los empleados tomen, sin saberlo, decisiones incoherentes o arriesgadas. Los usuarios suelen utilizar contraseñas sencillas o repetidas en distintos servicios.
  • Falta de formación y educación para los usuarios . A veces, los usuarios no saben cómo reconocer un ciberataque y pueden hacer clic en enlaces maliciosos, abrir correos electrónicos de phishing e instalar aplicaciones sospechosas. Junto con las contraseñas poco seguras y las políticas de seguridad deficientes, estos factores hacen que las pequeñas organizaciones sean muy vulnerables a los ciberataques.
  • Falta de backups periódicos . Las pequeñas empresas suelen subestimar la importancia de los backups y la protección de datos. Este error puede resultar perjudicial. Además, las empresas pueden hacer backups manualmente o almacenarlos en la misma red que los datos de producción. Esto hace que tanto los datos originales como los backups sean vulnerables al ransomware y a otro tipo de malware.

La ciberseguridad no es opcional para las pequeñas y medianas empresas. La mayoría de los ciberataques contra este tipo de organizaciones son oportunistas (no dirigidos) y los sistemas automatizados escanean constantemente Internet en busca de puntos de entrada débiles.

El coste de una filtración para las pequeñas empresas

El coste de una filtración de datos para las pequeñas empresas puede ser devastador, tanto a nivel financiero como operativo y de reputación. Mientras que las grandes corporaciones pueden sobrevivir al golpe, muchas pequeñas empresas nunca se recuperan.

El Alianza Nacional de Seguridad Cibernética informa de que el 60 % de las pequeñas empresas que sufren un ciberataque y pierden datos cierran en un plazo de seis meses. El coste medio de una filtración de datos en 2024 alcanzó un máximo histórico de 4,88 millones de dólares, lo que supone un aumento del 10 % con respecto a 2023.

  • Coste medio: entre 120 000 y 1,24 millones de dólares por incidente (varía según el sector y la gravedad).
  • Las demandas de los programas de rescate suelen oscilar entre los 10 000 y los 250 000 dólares para las pequeñas y medianas empresas.

Desglose de costes

A continuación se pueden consultar los detalles relativos a los costes de los ciberataques a pequeñas empresas.

  • Tiempo de inactividad de la empresa :
    • Pérdida de ingresos por la interrupción de las operaciones.
    • Tiempo medio de inactividad después de un ataque de ransomware: entre 10 y 21 días.
    • Las empresas en las que el tiempo es un factor crítico (por ejemplo, el comercio minorista, atención sanitaria) son las que más sufren.
  • Pagos de rescates . Si una organización paga el rescate, la pérdida económica aumenta, especialmente si los atacantes no proporcionan las herramientas para recuperar los datos perdidos. El pago no garantiza la recuperación completa ni la protección frente a futuras infecciones.
  • Los costes de respuesta ante incidentes y recuperación incluyen análisis forense, asesoramiento jurídico, recuperación de datos y reconfiguración de la infraestructura informática. Los costes también pueden incluir consultores de seguridad externos y horas extras.
  • Daño a la reputación :
    • Pérdida de la confianza de los clientes y del valor de la marca.
    • Los futuros clientes pueden optar por competidores más «seguros».
    • Puede dar lugar a una pérdida de ingresos a largo plazo.
  • Multas legales y normativas :
    • RGPD, pueden aplicarse la HIPAA, la norma PCI DSS o las leyes locales de protección de datos.
    • El incumplimiento conlleva sanciones, incluso para las pequeñas empresas.
  • Pérdida de propiedad intelectual:
    • Los datos propios, los secretos comerciales y los planes de productos pueden ser objeto de robo.
    • Esto resulta especialmente perjudicial para las startups tecnológicas.

Los ciberataques a las pequeñas empresas no son solo un «problema técnico» para las organizaciones; si no se gestionan correctamente, pueden terminar con la empresa. Invertir en formación en ciberseguridad, backups periódicos, autenticación multifactorial y planes de respuesta ante incidentes puede reducir significativamente el riesgo y el impacto financiero.

Cómo pueden las pymes reducir el riesgo de ciberseguridad

Las pequeñas y medianas empresas pueden reducir significativamente los riesgos de ciberseguridad adoptando medidas prácticas y rentables, incluso sin disponer de un presupuesto de nivel empresarial. Siga las prácticas recomendadas a continuación para minimizar los riesgos de ciberataques:

  • Utilice contraseñas seguras y únicas . Aplique políticas de contraseñas y exija credenciales complejas que no se reutilicen. Proporcione un gestor de contraseñas a los usuarios, ya que puede evitar la pérdida de contraseñas. Cambie las credenciales predeterminadas en todos los sistemas.
  • Forme a los empleados en ciberhigiene . El error humano es la principal causa de los incidentes cibernéticos. Realice simulacros de phishing. Enseñe prácticas seguras de navegación, gestión del correo electrónico y uso de contraseñas. Imparta formación en seguridad periódicamente y repítala al menos una vez al trimestre.
  • Considere la autenticación multifactorial (MFA). La MFA añade una capa adicional de protección para los recursos más críticos, como el correo electrónico, las aplicaciones en la nube y el acceso remoto. Dé prioridad a las cuentas administrativas y financieras.
  • Mantenga actualizados los sistemas y el software . Aplique parches a los sistemas operativos, las aplicaciones, los cortafuegos, los routers y el firmware con regularidad. Los parches y las actualizaciones de seguridad corrigen vulnerabilidades conocidas y reducen la superficie de ataque. Considere la posibilidad de habilitar las actualizaciones automáticas siempre que sea posible. Utilice herramientas de gestión de parches para obtener visibilidad. Es importante utilizar la versión más segura de SMB en materia de ciberseguridad. Utiliza SMBv3 siempre que sea posible en lugar de SMBv1.
  • Utiliza herramientas de protección antivirus, detección y respuesta . El malware moderno requiere una defensa moderna. Instala un software antivirus de confianza en todos los dispositivos, actualízalo periódicamente y configura alertas para detectar comportamientos sospechosos. Configura protección del correo electrónico utilizando filtros antispam.
  • Implementa políticas de control de acceso . Aplica el principio del privilegio mínimo. Limita el acceso a archivos, sistemas y herramientas de administración en función de los roles. Desactive las cuentas que no se utilicen, como las de antiguos empleados.
  • Configure un cortafuegos y proteja la red Wi-Fi . La protección a nivel de red es esencial. Utilice un cortafuegos de nivel empresarial y bloquee los puertos no utilizados desde redes externas. Configure la protección contra la suplantación de identidad. Cambie las credenciales predeterminadas de la red Wi-Fi y aísle las redes de invitados. Active el filtrado de direcciones MAC para los dispositivos clientes inalámbricos.
  • Supervise la actividad sospechosa . Incluso una supervisión básica es mejor que nada. Utilice herramientas de supervisión de registros o servicios de seguridad gestionados. Esté atento a inicios de sesión, accesos a archivos y transferencias de datos inusuales. Se recomienda configurar supervisión de infraestructuras utilizando herramientas profesionales.
  • Realice backups de los datos . Realice backups periódicos y automatizados de los archivos importantes. Para proteger los backups contra el ransomware, guárdelos aislados de la red (backups «air-gapped») o en un almacenamiento inmutable. Siga las Regla de backup «3-2-1» y las Política de conservación de datos de GFS. Procesos de recuperación de pruebas periódicamente para asegurarse de que los backups están en buen estado y de que los datos se pueden recuperar cuando sea necesario.
  • Cree un plan de respuesta ante incidentes . Este plan debe constar de un plan de recuperación ante desastres y un continuidad de las actividades . Defina los roles (quién debe realizar acciones específicas), los contactos (departamento jurídico, TI, fuerzas del orden) y las acciones (qué hacer). Realice simulacros de respuesta ante incidentes (ejercicios de simulación).

La implementación de un conjunto de medidas preventivas y de protección ayuda a las pequeñas empresas a reducir las amenazas a la ciberseguridad y a proteger sus datos.

Por qué los backups y la recuperación son fundamentales para la ciberresiliencia de las pymes

Los backups son fundamentales porque constituyen la última línea de defensa contra el ransomware, los fallos de hardware, los borrados accidentales y otros desastres. Sin una estrategia fiable de backups y recuperación, incluso un pequeño ciberataque puede paralizar definitivamente las operaciones, lo que pone en riesgo a organizaciones de todos los tamaños.

  • Los ataques de ransomware están aumentando . El ransomware cifra los datos y exige un pago. Los backups permiten restablecer las operaciones sin tener que pagar el rescate. Las copias de seguridad «aisladas de la red», inmutables son inmunes a las infecciones.
  • Los errores humanos ocurren . La eliminación o sobrescritura accidental de archivos es habitual en las pequeñas organizaciones, e incluso los empleados bien formados pueden cometer errores. Las copias de seguridad garantizan una rápida restauración de los archivos eliminados sin tiempo de inactividad ni pérdida de datos.
  • Fallos de hardware y software . A veces, las unidades de disco fallan, las bases de datos se bloquean y las actualizaciones del software salen mal. Un backup sólido garantiza la continuidad del negocio y la coherencia de los datos a pesar de los fallos técnicos.
  • Minimiza el tiempo de inactividad y la pérdida de datos . Cada minuto de inactividad cuesta dinero y merma la confianza. Los backups le ayudan a restablecer los servicios rápidamente, a veces en cuestión de minutos. Esto minimiza la pérdida de productividad y la frustración de los clientes.
  • Planificación de la continuidad del negocio . Los backups son un componente esencial de un plan de Recuperación ante desastres. La ciberresiliencia significa algo más que detener los ataques: se trata de una recuperación rápida. Las copias de seguridad constituyen la base de cualquier estrategia de recuperación ante desastres o de continuidad del negocio, garantizando que puedas atender a tus clientes incluso después de una brecha de seguridad o una interrupción del servicio.

Cómo ayuda NAKIVO a las pymes a mantenerse protegidas

NAKIVO Backup & Replication es una solución fiable de protección de datos que se adapta a los requisitos de las pequeñas y medianas empresas. La solución ofrece numerosas funciones, entre las que se incluyen:

    • Copias de seguridad inmutables . Las copias de seguridad también son un destino para el ransomware. Puede habilitar la inmutabilidad de los backups para evitar que se modifiquen o se eliminen. De este modo, el ransomware no puede corromper ni eliminar los datos de los backups.
    • Backup en cinta . Puede almacenar los backups en cinta. En caso de un ataque de ransomware, los backups almacenados en soportes de cinta desconectados permanecen intactos y no se ven afectados por el ransomware.
    • Múltiples ubicaciones de copia de seguridad . La solución NAKIVO admite un gran número de tipos de repositorios para almacenar backups, incluyendo almacenamiento local, cinta, almacenamiento remoto (incluidos recursos compartidos SMB) y almacenamiento en la nube (Amazon S3, almacenamiento compatible con S3, Azure Blob Storage, Backblaze B2, etc.). Almacenar las copias de seguridad en varias ubicaciones y en diferentes soportes cumple la regla de copia de seguridad 3-2-1 y te permite disponer de una copia de seguridad segura en caso de que otras se vean dañadas.
    • Políticas de retención . Las amplias opciones de configuración de los ajustes de retención te permiten utilizar el almacenamiento de forma racional y conservar las copias de seguridad durante el tiempo que sea necesario. Con la función « ajustes de retención» de NAKIVO, puedes aplicar la política de retención GFS y conservar más puntos de recuperación recientes y menos antiguos.
    • Cifrado de los backups . El cifrado es uno de los componentes clave de la seguridad de las pymes. Cifrado de backups te permite mejorar el nivel de seguridad de tu organización y proteger los backups contra la interceptación durante su transferencia por la red. El cifrado también se utiliza para proteger los backups contra el uso no autorizado cuando se almacenan en un repositorio de backups.
  • Análisis de malware . Puede realizar análisis de malware previos a la recuperación utilizando software antivirus compatible para garantizar que sus copias de seguridad estén limpias y evitar que el ransomware se propague a los datos de producción.
  • Protección de múltiples plataformas . La solución NAKIVO puede proteger servidores físicos y estaciones de trabajo (Windows y Linux), máquinas virtuales (VMware vSphere, Proxmox VE, Hyper-V, Nutanix AHV y Amazon EC2), SMB y NFS recursos compartidos de archivos y bases de datos de Oracle.
  • Capacidades de recuperación flexibles . Dependiendo de la situación, puede realizar una recuperación completa o recuperar objetos específicos, como archivos. De este modo, puede restaurar los datos necesarios lo más rápido posible.
  • Pruebas de recuperación . Con la solución de NAKIVO, puede probar sus backups. Además, puede crear escenarios complejos de recuperación ante desastres y probarlos con la Restauración del entorno función.

Conclusión

Los ciberataques a SMB son amenazas habituales para las pequeñas y medianas empresas. Las organizaciones deben implementar medidas de seguridad para proteger los recursos compartidos de las pymes frente al acceso no autorizado y mejorar la seguridad de la red de las pymes. Es fundamental utilizar el software antivirus más reciente, instalar parches de seguridad, implementar una política de seguridad adecuada, configurar la protección del correo electrónico, formar a los usuarios y realizar copias de seguridad periódicas. Las copias de seguridad son fundamentales, ya que permiten restaurar los datos incluso si un ciberataque tiene éxito. La solución de NAKIVO ofrece una amplia gama de funciones que permiten a las pymes proteger sus datos a un coste asequible.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Artículos recomendados