Cada año se producen miles de vulneraciones de ciberseguridad en empresas de todo el mundo.

Según se desprende del último Informe Anual PandaLabs el 1,14% de todos los equipos digitales que hay en España sufrió un ciberataque durante el año pasado. Este dato incluye tanto a ordenadores personales, equipos profesionales, pero también a teléfonos móviles, tablets y dispositivos wearables como los smartwatches.

Por tanto, y si tenemos en cuenta que en España hay más de 13 millones de viviendas con al menos un ordenador conectado a Internet, que cada año se venden más de tres millones de ordenadores personales (para uso doméstico o laboral) y que el 96% de la población tiene un teléfono móvil, podríamos intuir que son cientos de miles los equipos que se ven comprometidos cada año.

Por tanto, y si tenemos en cuenta que en España hay más de 13 millones de viviendas con al menos un ordenador conectado a Internet, que cada año se venden más de tres millones de ordenadores personales (para uso doméstico o laboral) y que el 96% de la población tiene un teléfono móvil, podríamos intuir que son cientos de miles los equipos que se ven comprometidos cada año.

Aunque resulte evidente, conviene recordar quienes dedican más recursos a la ciberseguridad, reciben menos ataques. Mientras que los usuarios domésticos y pequeñas empresas sufrieron un 4,41% de ataques, en las medianas y grandes corporaciones la cifra bajó hasta el 2,41% según el último informe de PandaLabs. Sin embargo, aunque este porcentaje pueda parecer bajo respecto a los cientos de miles de ataques que se registran cada año, hay que tener en cuenta que los cibercriminales no necesitan atacar todos los ordenadores de una red corporativa. Con vulnerar la seguridad de uno de ellos, los hackers pueden crear verdaderos problemas a sus víctimas, como hemos visto en el caso de Equifax.

Tener una actitud ejemplar

Por todo ello, los ejecutivos de las empresas deben actuar de forma ejemplar en sus compañías en lo que se refiere a la ciberseguridad, ya que es bastante habitual escuchar de la boca de directivos de grandes y pequeñas empresas frases como ‘llevo utilizando la misma contraseña desde hace más de 20 años y no voy a cambiarla ahora’.

Sin embargo, y como primer punto de esta ejemplaridad de ciberseguridad corporativa, hay que deshacerse de todas las contraseñas fáciles de adivinar e incorporar métodos de autenticación multifactor. Es decir, aquellos en los que se necesita un teléfono móvil o una verificación desde el email para dar acceso a cierto tipo de ficheros.

Sólo usar las aplicaciones que recomienda el departamento de IT

Por otra parte, un estudio de Code42 afirma que el 75% de los CEO y más de la mitad de otros altos ejecutivos de empresas estadounidenses admitieron haber usado aplicaciones que no están aprobadas por su departamento de TI.

Incluso la información desactualizada es importante

Los directivos de las compañías deben ser conscientes de que todos y cada uno de los datos que manejan tienen un gran valor para los hackers, incluso aquella información que sea antigua o esté desactualizada. Nadie nos puede asegurar que dentro de cinco o diez años la información sobre un cliente, por desactualizada que esté, no vaya a servirle a un cibercriminal para recabar la información necesaria para estafar a otra persona o para acceder a un servidor corporativo.

Recordar continuamente el precio de la inseguridad

Por desgracia, todavía hay muchos directivos de compañías que son reacios a realizar inversiones en ciberseguridad. Generalmente se debe a que o bien consideran que la información que maneja su compañía no es interesante para los hackers, o bien porque prefieren ‘ahorrar’ ese coste hasta que no sea estrictamente necesario.

En el primero de los casos, sólo hay que recordarle a estos directivos que, sin ir más lejos, en el ordenador de alguna persona de la compañía se encuentran los números de cuentas corrientes corporativas. Si un hacker se adentra en la red y se conecta a ese ordenador y luego consigue vulnerar el de otra persona en el que guarde las contraseñas de esas cuentas corrientes, sólo tendrá que entrar en la web del banco y desvalijarla.

En el segundo de los supuestos, en el que los directivos prefieren esperar a que la ciberseguridad sea algo ‘estrictamente necesario’ conviene recordar que ese momento indicará que ya será demasiado tarde, porque su compañía ya habrá sido vulnerada.