Comúnmente se piensa que solo las grandes corporaciones son el objetivo de los cibercriminales, pero la realidad es que no hay ninguna empresa lo suficientemente pequeña como para no ser víctima de un ataque.
Francisco Carrasco M.
Hoy, las pequeñas y medianas empresas (pymes) son un blanco fácil para los ciberatacantes, ya que la gran mayoría no cuentan con protección adecuada, protocolos de seguridad o planes básicos de respuesta a incidentes (IR).
Según reportes realizados por ESET, 1 de cada 4 empresas de Latinoamérica sufrió un ciberataque en el último año. Asimismo, aseguran que 27% de las organizaciones consultadas afirmaron haber sufrido un ciberataque y que un preocupante 32% reconoce no contar con herramientas que les permitan confirmar que no hayan sido atacadas.
Francisco Carrasco M.
Esta situación toma especial relevancia en Chile por las fiscalizaciones de la ANCI, que exige medidas de ciberseguridad a entidades gubernamentales y Operadores de Importancia Vital (OIV), categoría que podría incluir a las pymes.
Ante esto, André Goujon, CEO de Lockbits, explica que la creciente sofisticación de los ciberataques, incluso en actividades cotidianas como contestar una llamada, leer un mensaje, descargar un archivo o escanear un código QR, ha generado una alerta significativa entre empresarios y dueños de pymes.
"Esta realidad ha impulsado la necesidad de una mejor información y preparación para comprender las amenazas y sus posibles consecuencias. Sin embargo, la gran mayoría desconoce qué acciones tomar o qué pasos seguir frente a un posible ataque a sus negocios”.
Francisco Carrasco M.
Las MiPymes hoy representan el 98,6% de las empresas con inicio de actividades del país, donde un 75% son microempresas y un 21%, pequeñas empresas, de acuerdo con los datos del Servicio de Impuestos Internos (SII).
"La relevancia de este sector en la economía local subraya la necesidad de implementar medidas de respuesta efectivas ante ciberataques. Si bien la prevención es esencial como primera línea de acción, no basta por sí sola para contrarrestar un ataque".
El ejecutivo señala que a pesar de la existencia de herramientas de prevención esenciales como antivirus, firewall y antispam, la implementación de un plan de contingencia sólido en las pymes sigue siendo una asignatura pendiente.
“Dicho plan es esencial no solo para contener el impacto de un ciberataque, sino también para identificar y analizar la causa de la vulnerabilidad. Esto permite reforzar las medidas de seguridad y asegurar la continuidad de las operaciones, incluso a pesar del incidente”.
Francisco Carrasco M.
Claves para desarrollar un plan de respuesta ante incidentes
Aunque no se dimensione, las pymes también gestionan bases de datos con información sensible, tanto de clientes como interna. Esto plantea una pregunta fundamental: ¿Está mi negocio realmente preparado para afrontar un ciberataque? Este punto es vital, ya que, para estas empresas, el esfuerzo de muchos años podría perderse en un instante por no priorizar ni valorar la consultoría y las herramientas tecnológicas adecuadas.
Jonathan Munizaga
En este contexto, Lockbits comparte la lista de verificación mínima de un plan de respuesta a incidentes para detectar, contener y recuperar la información:
- Momento de preparación. Establecer directrices fundamentales como punto de partida para enfrentar un ciberataque. Es crucial disponer de una lista de contactos 24/7 que incluya personal de TI, proveedores, legal, comunicaciones y gerencia para asegurar que cada área tome las medidas necesarias según su responsabilidad.
- Detección. Las alertas se pueden generar mediante soluciones de ciberseguridad complementarias (XDR, SIEM) o a través del reporte de un usuario o proveedor. En este punto, es esencial registrar meticulosamente todos los detalles del incidente: datos, hora, fecha, sistema afectado y cualquier evidencia, incluso aquella que parezca irrelevante. Esta información será fundamental para determinar la causa raíz del ciberataque.
Jonathan Munizaga
- Contención. Estas se fundamentan en tres pilares, contener la amenaza (por ejemplo, segmentando la red para limitar su propagación); gestionar los accesos comprometidos bloqueando credenciales y forzando el cambio de contraseñas; y finalmente, bloquear la amenaza cortando las vías de ataque (como conexiones RDP/VPN no autorizadas) y neutralizando los Indicadores de Compromiso (IoCs)
- Erradicación. En este punto es clave eliminar las amenazas presentes en el sistema. Para mejorar la seguridad, se deben instalar actualizaciones (parches) y verificar qué tan grave fue el incidente, además de buscar otros equipos que podrían estar afectados.
Jonathan Munizaga
- Recuperación. Implica la restauración a partir de una copia de seguridad limpia, seguida de una validación exhaustiva de la integración y un monitoreo intensivo (48 a 72 horas). Una vez funcione correctamente, se realiza el retorno gradual a la producción normal, priorizando siempre la puesta en marcha de los sistemas más críticos por etapas.
- Lecciones aprendidas. El análisis post-incidente y la mejora continua implica analizar la data recopilada para determinar qué falló, qué procesos y personas se vieron afectadas, qué mejoras se pueden implementar y quiénes son los responsables con plazos de acción. La experiencia obtenida permite mapear los riesgos de forma efectiva, mejorando la preparación y respuesta ante futuros ciberataques.
“Es importante que los procesos y acciones definidos se cumplan y ejecuten en cada etapa. En el contexto de las pymes, a menudo se prioriza solo la solución inmediata, dejando de lado el análisis de la información. Cumplir todo el proceso es necesario para establecer antecedentes y mapear riesgos; más allá de la prevención y la solución, el aprendizaje derivado de estas situaciones también constituye un elemento clave”.
Jonathan Munizaga
