“Su paquete en camino, haga clic aquí para comprobar dónde se encuentra”. Una copia del e-mail tipo de una compañía de envíos y un solo clic es suficiente para que un ciberdelincuente se cuele en la red de una pyme y encripte (o secuestre) toda su información: datos de clientes, reservas, pedidos, facturación…  En la pantalla del ordenador, un archivo .txt del tipo «Léeme» en el que se comunica al empresario el «rescate» que tiene que pagar para recuperar sus datos, normalmente un pago a través de criptomonedas para evitar que la transacción deje rastro alguno.

El ataque descrito es de tipo “ransomware” (extorsión, chantaje) y fue el ciberdelito estrella del año pasado contra las pymes españolas. Un año, 2016, en el que el Instituto Nacional de Seguridad (Incibe) atendió unos 115.000 incidentes de seguridad informática, el doble que en 2015 y cinco veces más que en 2014. Siete de cada 10 de los ataques los sufrieron pymes, a las que el incidente les costó hasta 50.000 euros, según datos ofrecidos por Mapfre. «No todos los ‘rescates’ son elevados, muchas organizaciones han pasado de lanzar uno o dos ataques a grandes empresas a lanzar 200 a pymes, van a volumen», asegura Adolfo Hernández, socio director de Thiber, think tank especializado en ciberseguridad.

En 2016, siete de cada 10 de los ataques informáticos en España los sufrieron pymes

Este incremento exponencial del número de ataques y, sobre todo, el hecho de que las pymes se hayan convertido en el objetivo principal de los ciberdelincuentes, está poniendo la mesa la necesidad de combatir unos delitos que ya en 2014 (con una cuarta parte de los delitos actuales) el Incibe calculó que costaban a las empresas españolas más de 13.000 millones de euros anuales. «Esta cuantía crece exponencialmente porque no es solo que vayan a más empresas, es que las empresas están cada vez más expuestas digitalmente», subraya Hernández.

Por un lado, la necesidad de combatir unos delitos que no paran de crecer y, por otro, la de adaptarse a una ley cada vez más restrictiva. En 2018 entrarán en vigor las nuevas obligaciones del reglamento europeo 2016/679 que amplía la Ley Orgánica de Protección de Datos (LOPD) en dos aspectos principales: sube las sanciones máximas de 600.000 a 20 millones de euros (o el 4% de la facturación) y obliga a las empresas a comunicar cualquier fallo de seguridad (y por tanto haberlo detectado).

En 2018 subirán las sanciones máximas de 600.000 euros a 20 millones o el 4% de la facturación

En este panorama, algunas pymes comienzan a buscar soluciones. Otras las están buscando tras haberse visto atacadas. “Cada vez hay más ruido, pero la mayoría de las que piden información ha sufrido un ataque, o conoce a otra empresa a la que le haya ocurrido”, explica María Arocena, responsable del seguro Ciber Protect de AGCS (Grupo Allianz).

Allianz es uno de los grupos que han lanzado ya un seguro de este tipo con orientación a pymes. Aunque aún no es un producto generalizado, entre las principales compañías también cuentan ya con estas pólizas Mapfre, Axa o Reale Seguros.  “Una de cada tres pequeñas empresas es atacada diariamente sin enterarse. Ya solo hay dos tipos de empresas: las que han sido atacadas y las que lo van a ser. De hecho, una de cada tres pymes es atacada diariamente sin enterarse, ante esta vulnerabilidad lanzamos el pasado septiembre el seguro de ciberprotección”, explica Kristof Vanooteghem, director de empresas de AXA.

Desde Mapfre, coinciden en que la ciberdelincuencia está aprovechando la vulnerabilidad de las pymes para focalizar en ellas sus ataques, ya que en general encuentran frecuentes brechas de seguridad.

Sin conciencia del riesgo y con miedo a contarlo

“A pesar del aumento de los ataques, solo el 40% de las empresas y, en general, solo grandes compañías, están cubiertas en mayor o menor medida frente a algún tipo de ciberriesgo”, cuenta Adolfo Hernández. “Cuando miras a la pyme el panorama es desolador, hay cero conciencia del riesgo y por tanto muy poca protección», añade.

«Cuando miras a la pyme el panorama es desolador, hay cero conciencia del riesgo», dice un experto

«Una pyme es cada vez más una oficina, con x ordenadores conectados a internet mediante un router sin protección. En el mejor de los casos, cuentan con un antivirus que por sí solo no es suficiente protección. Acceden desde muchos dispositivos, se instalan aplicaciones, descargan archivos… es un blanco fácil para los ciberdelincuentes». Así lo explica Alfonso Franco, CEO de All4Sec, una consultoría especializada en seguridad y auditoría de empresas, que entre otras funciones trabaja de la mano de aseguradoras auditando a las empresas que quieren contratar una póliza para determinar cuáles deben ser las condiciones del seguro: «Normalmente todas las empresas tienen muchos puntos débiles, lo bueno es que son fáciles de combatir», asegura. Su empresa ofrece también servicios de protección – preventiva – desde los 90 euros al mes.

“Por la falta de conciencia les cuesta destinar presupuesto, pero deberían ser conscientes de que las consecuencias de un ciberataque pueden ser mucho peores que las de un robo”, dice Arocena.

Ataques cada vez más sofisticados y miedo a contarlo

«Ahora que se acerca la campaña de la renta, los ciberdelincuentes aprovecharán para cargar contra las empresas simulando una comunicación de la AEAT. Ajustando al máximo el diseño y incitando, por ejemplo, a verificar alguna cuestión relacionada con el borrador, pueden lanzar una campaña masiva», explica Hernández, que asegura que tanto en diseño como en modus operandi los ataques son cada vez más sofisticados. «Uno de los peores el año pasado fue uno en el que el ‘secuestrador’ daba dos opciones para recuperar el acceso a los datos: pagar o infectar a 10 contactos. Nos sorprendió la rapidez con la que se extendió el virus», añade.

Con la campaña de la Renta se abre una campaña de ciberdelitos

El hecho de que la gente prefiriera expandir el virus a sus contactos antes que pagar o buscar una vía alternativa tiene que ver con el «miedo a contarlo» que tienen las compañías que sufren un ataque de este tipo: «Obviamente ataca a su reputación, puede hacerles perder clientes y, como de momento no están obligados a contarlo, prefieren pagar y continuar con su actividad», dice el director de Thiber, que asegura que han detectado ya incluso «servicios de ransomware», a través de las cuales los hackers ofrecen a los ciberdelincuentes una plataforma desde la que poder lanzar sus ataques de forma profesionalizada e incluso medir su efectividad.

Este miedo se ve en las estadísticas de la Fiscalía de Criminalidad Informática, que registró en 2015 60.154 delitos informáticos, un 20% más que en 2014. «No hay una visión realista porque la gente no denuncia, pero al menos de los casos que se investigan se pueden extraer tendencias», afirma Hernández. Esta falta de denuncias es de momento un arma para los ciberdelincuentes, «confiados de que con cierta destreza no serán pillados, se amparan en ‘paraísos del cibercrimen’, que no tienen tipificados los ciberdelitos o lo hacen de manera muy laxa», relata el director de Thiber.

Qué ofrecen algunas de las principales aseguradoras

Las pólizas ofrecen diferentes coberturas, normalmente muy personalizadas según distintos factores, desde el número de ordenadores conectados, si existe actividad de comercio online o la tipología y cuantía de datos que se manejan. Por eso ha sido complicado obtener precios de las pólizas, ya que las compañías se resisten por la escasez de estándares.