No vamos a negar que la evolución de la tecnología nos ha traído consigo muchas mejoras y herramientas que nos facilitan el día a día en el desempeño de nuestra profesión, pero donde unos ven una oportunidad de crecer y ofrecer el mejor servicio a los clientes, otros ven una puerta abierta para lucrarse ilícitamente mediante malas prácticas como el fraude por correo electrónico, la suplantación de identidad (phishing), el robo de datos financieros y corporativos, o la extorsión. Estamos hablando de la ciberdelincuencia.

Según el último informe de amenazas de ESET, empresa líder en ciberseguridad y antivirus, España se posicionó durante el último semestre de 2023 como el país europeo que más ciberataques ha recibido, ocupando el tercer lugar a nivel mundial, y se pone de manifiesto, según KAPERSKY, que el 74 % de las empresas españolas ha sufrido al menos un ciberincidente en los últimos dos años, de los cuales el 70 % se consideraron “graves”. Y es que nadie está a salvo, ni las empresas privadas como TotalEnergies, que a inicios de julio comunicaron que habían recibido un ciberataque afectando a 210.715 clientes, ni tan siquiera organismos y entidades públicas como el Hospital Clínic, de Barcelona, o el Ayuntamiento de Sevilla, que sufrieron un ataque en 2023 y se vieron afectados datos sensibles de miles de ciudadanos.

El modus operandi de estos ciberdelincuentes puede ser muy variado, pero una de sus prácticas más comunes es la de intentar acceder a nuestros sistemas a través del correo electrónico enviándonos emails, haciéndose pasar por organismos como la AEAT, con links o archivos ejecutables que, por impericia o descuido, son abiertos por los empleados de la empresa y, una vez dentro, encriptarán toda la información del servidor pidiéndonos un rescate a cambio de poder recuperarla y volver a desarrollar nuestra actividad. En muchos casos, el importe del rescate corresponde con un porcentaje de nuestra cifra de negocios, que, previamente, los ciberdelincuentes habrán consultado.

Otra práctica, también habitual, es la de suplantar nuestra identidad mediante un acceso no autorizado a nuestros sistemas o cuentas de correo y solicitar a nuestros clientes que hagan los pagos a otro número de cuenta.

En cuanto al daño que esto nos puede producir como empresa, más allá del pago del rescate o la interrupción del negocio, que de por sí son importantes, podríamos llegar a perder la confianza de nuestro cliente, que ha visto como información sensible suya (DNI, datos de contacto, números de cuenta, datos económicos, etc.) ha pasado a manos de delincuentes y podría ser utilizada para fines delictivos. Y no solo eso, la Agencia Estatal de Protección de Datos (AEPD) podría sancionarnos por una infracción calificada como “grave” (artículo 73 de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales) y la multa podría llegar hasta los 300.000 euros. De no estar tipificada la conducta, o si el asunto tuviese relevancia transnacional, se aplicaría lo recogido en el Reglamento General de Protección de Datos y las infracciones calificadas como “graves” conllevarían una multa de hasta 10 millones de euros o equivalente al 2 % de la facturación anual, aplicando la cuantía que resulte más alta.

Por todo lo dicho anteriormente, y para prevenir vernos involucrados en un incidente cibernético y paliar sus consecuencias, se recomienda tomar una serie de medidas como:

• Asignar una persona responsable de seguridad, que vele por tener un plan de mejora continua.
• Proteger todos los equipos con un buen antivirus, programas de antimalware y mantener los sistemas operativos actualizados.
• Utilizar contraseñas con numerosos caracteres intercalando letras mayúsculas, minúsculas, números y caracteres especiales.
• Establecer protocolos de seguridad como el bloqueo al acceso o descarga de archivos de sitios de poca confianza o fuentes desconocidas.
• Comprobar la autenticidad del remitente cuando los correos no sean de la empresa.
• Realizar copias de seguridad de los servidores.
• Contratar un seguro de Ciberriesgo que nos otorgue un servicio 24/7 ante cualquier incidente.

Durante los últimos años, y principalmente desde la pandemia, este tipo de seguro ha adquirido cada vez más fuerza y significado entre las empresas, ya no solo por la indemnización o el pago de un posible rescate, sino por un componente más importante que es el de Servicios: la Aseguradora prestará ayuda técnica y legal 24/7 en caso de un ciberataque y cubrirá la Responsabilidad Civil de la empresa, la recuperación de los datos encriptados y la pérdida de beneficios por la paralización de la actividad. Por eso, es muy recomendable que las empresas cuenten con este seguro.

Desde ALKORA ofrecen seguros de Ciberriesgo a medida para sus clientes. Si desea obtener más información o asesoramiento, no dude en ponerse en contacto con ellos.