Un estudio de Kaspersky revela que el año pasado, 43% de las PyMEs de América Latina fueron víctimas de ataques de phishing, ciberamenaza que existe desde hace más de dos décadas y pese a ello, sigue siendo altamente efectiva por la falta de capacitación y desconocimiento en ciberseguridad en las pequeñas y medianas empresas.
El phishing es un tipo de fraude digital que busca engañar a los usuarios para que revelen información confidencial —como contraseñas, datos bancarios o accesos a sistemas corporativos— mediante enlaces compartidos a través de correos electrónicos, mensajes o sitios web falsos que simulan ser de entidades confiables. Aunque suplantar la identidad de un banco o de un proveedor es una práctica común, los atacantes han perfeccionado sus tácticas para parecer cada vez más creíbles.
Esta amenaza es especialmente delicada para las PyMEs si consideramos que el año pasado, Kaspersky detectó un incremento de 360% en las estafas mediante mensajes falsos en Perú, país que registró más de 100 millones de bloqueos de phishing, lo que representa 173 intentos de ataque por minuto, siendo Brasil, México, Perú, Colombia y Ecuador los países más afectados.
El impacto de un ataque de phishing en una PyME puede ser devastador: desde robo de datos hasta pérdida de dinero, interrupción de operaciones y daño reputacional. Estos incidentes suelen generar una cadena de consecuencias difíciles de revertir, especialmente para organizaciones con recursos limitados, viéndose obligadas a reducir personal, suspender proyectos o incluso cerrar operaciones. De hecho, cifras de la compañía indican que, luego de un ciberataque, las PyMEs pueden enfrentar pérdidas económicas de hasta $155 mil dólares, lo que evidencia la urgencia de invertir en medidas preventivas y de capacitación para sus equipos.
Otros de los ataques más comunes reportados por las PyMEs fueron la instalación de malware (37%), es decir, programas maliciosos que comprometen los sistemas para robar información o causar daños; el compromiso de correos empresariales (BEC) con un 28%, una modalidad en la que los delincuentes suplantan direcciones de correo corporativo para engañar a empleados y obtener transferencias o datos confidenciales; el ransomware (20%), que bloquea los archivos de la organización a cambio de un pago; y los ataques de denegación de servicio distribuido (DDoS) con un 18 %, que saturan los sistemas para dejarlos fuera de línea.
“Aunque ha estado con nosotros por más de 20 años, el phishing sigue siendo una amenaza desconocida para los empleados y este desconocimiento puede provocar que tan solo con hacer clic en un enlace malicioso, la red de una PyME se vea comprometida”, comenta Carolina Mojica, gerente de productos para el Consumidor para las regiones Norte y Sur de América Latina en Kaspersky. “Para evitar ser blanco fácil de los cibercriminales, las PYMEs deben realizar dos acciones puntuales: capacitar a sus empleados y contar con una solución de seguridad que se adapte a sus necesidades”.
En el mes de las PyMEs, los expertos de Kaspersky ofrecen las siguientes recomendaciones para evitar que el phishing y otras amenazas pongan en jaque a las empresas de este sector:
· Identificar las áreas de oportunidad: Esto es vital para que las PyMEs refuercen su ciberseguridad al tiempo que minimizan los riesgos. Este proceso implica identificar y mitigar las vulnerabilidades mientras se mantiene la funcionalidad del sistema. Este paso también ayuda a enfocarse en la protección de los sistemas y datos críticos
- Crear una cultura de ciberseguridad en la empresa: esto ayudará a que todo el personal esté familiarizado con buenas prácticas de ciberseguridad como el uso de contraseñas fuertes, que sepan que siempre deben verificar el origen de los mensajes que reciben y tengan a quién reportar y correo sospechoso.
· Capacitar de forma continua al personal en temas de ciberseguridad: todo empleado con una computadora con acceso a la red corporativa debe tener conocimientos básicos de higiene digital para que sepan detectar amenazas comunes como los enlaces falsos. Existen en el mercado plataformas de aprendizaje en línea que ofrecen capacitaciones eficientes y que incluyen simuladores de phishing.
· Realizar una inversión estratégica en ciberseguridad: Priorizar recursos en soluciones especialmente diseñadas para las PyMEs; en el mercado existen productos equipados con todas las herramientas necesarias para que estas empresas estén adecuadamente protegidas de las amenazas en línea, como el phishing.
