Por Peter Bäckman, director de Seguridad Corporativa de INICIA y assistant regional vice president for Region 7B de ASIS
Imagina una pastelera que empezó en su cocina como un proyecto lateral para tener ingresos extra y que, luego, creció hasta ser una pequeña y mediana empresa (pyme). El secreto de sus deliciosos pasteles se basa en una receta familiar pasada de generación a generación. La dueña, luego de años de estudio y cursos de marketing, lanzó una creativa marca, aplicó novedosos procesos en su cocina, compró maquinaria y duró largas horas entrenando a su equipo para poder enfrentar la creciente demanda sin perder la magia de la receta de la abuela.
Cuando la aseguradora haga una evaluación de riesgo y definan el estimado de valor total del negocio considerarán el valor inmobiliario de la panadería, el costo de sus maquinarias, cantidad de empleados, entre otras cosas. Nuestra empresaria pagaría la prima cada mes, con la sensación de tener una garantía de seguridad para su emprendimiento.
Pero, ¿qué pasaría si un empleado con un dispositivo infectado de malware, usando el wifi de la tienda, creara una ruta de acceso hacia esos archivos no encriptados en la oficina donde se encuentra la preciada receta familiar? ¿Cuál sería el costo de que un exempleado molesto fuera donde su competencia y le revelara los procesos de manufactura de la panadería?
Es común que las pequeñas y medianas empresas no tengan mecanismos y protocolos para protegerse contra el cibercrimen, en parte, por entender erróneamente que no tienen la necesidad ni el presupuesto para contratar servicios de ciberseguridad y gestión de crisis.
Según un reporte de Fortinet, en el 2020 se registraron más de 158 millones de intentos de ciberataques en el país, de un total de 41 millardos en América Latina y el Caribe. Ya que en la República Dominicana las PYMES constituyen más del 98% de todas las empresas constituidas, resulta obvio el riesgo para el libre mercado, y para la sociedad, la amplia exposición al crimen cibernético.
Por esto, es importante conocer las formas más comunes de cibercrimen y el costo que pueden tener en su pyme:
Ransomware
El cibercrimen más común es el ransomware, donde los atacantes “secuestran” información crucial para la continuidad de negocios pidiendo a cambio dinero. Usualmente, estos esquemas financieros son pagados en criptomonedas, haciéndolos casi imposibles de rastrear y traer a la justicia.
La estrategia más usada para instalar malware de ransomware en tu negocio es a través de las técnicas de phishing, spear-phishing o ataques físicos. Tu o tus empleados pueden recibir correos infectados, diseñados para parecer que vienen de fuentes confiables o incluso de la misma empresa que al abrir y descargar sus archivos adjuntos queden infectados.
Una vez un actor nocivo está dentro de un sistema, ya la suerte está echada. No solo tu información crucial y necesaria para la continuidad de tu empresa queda expuesta – así como información confidencial de tus clientes y suplidores- , sino que en cualquier momento puede ser encriptada de manera que no tengas acceso a ella a menos que hagas un pago cuantioso de dinero.
Espionaje industrial y comercial
La realidad del ransomware expone un mayor riesgo: el espionaje comercial e industrial. La meta principal del ciber espionaje es la adquisición de propiedad intelectual, como procesos o técnicas de fabricación, información de propiedad u operativa como datos de clientes, precios, ventas, investigación y desarrollo, estrategias de planificación o marketing.
El costo del ciber espionaje es imposible de cuantificar, tanto para las empresas afectadas, así como para el mercado, en general. Los piratas cibernéticos son expertos en ser indetectables, y esto sumado a un panorama comercial cibernético con defensas débiles, presenta un enorme riesgo para la competitividad de la industria nacional, y por lo tanto de la seguridad nacional.
Estamos viviendo en una segunda era dorada de la piratería 2.0, donde el rápido crecimiento e interconectividad del panorama cibernético comercial que tantos beneficios nos ha provisto para adaptarnos a la pandemia puede jugar contra nuestros negocios.
Además de las estrategias de mitigación de riesgo cibernético que hemos planteado en columnas anteriores, es crucial que los empresarios, asociaciones de empresarios y líderes del mercado demanden al Estado leyes y mecanismos actualizados para proteger, mitigar, reportar y recuperarse del cibercrimen. Para crear un ambiente competitivo para la inversión es crucial adaptarnos a las nuevas realidades cibernéticas del mercado. La ciberseguridad debe ser un esfuerzo intersectorial, coordinado a nivel nacional y global de manera de proteger nuestras comunidades corporativas y los fundamentales del libre mercado en el que se basa nuestra democracia.
