Las pequeñas y medianas empresas (pymes) se han convertido en un blanco fácil para los ciberataques. La mayoría no cuenta con protección adecuada, protocolos de seguridad ni planes básicos de respuesta a incidentes.
Según reportes de ESET, 1 de cada 4 empresas de Latinoamérica sufrió un ciberataque en el último año. Además, el 27% de las organizaciones consultadas afirmó haber sido atacada y un preocupante 32% reconoce no contar con herramientas para confirmar si fueron víctimas o no.
Esta situación cobra especial relevancia en Chile debido a las fiscalizaciones de la ANCI, que exige medidas de ciberseguridad a entidades gubernamentales y Operadores de Importancia Vital (OIV).
“La creciente sofisticación de los ciberataques, incluso en actividades cotidianas como contestar una llamada, leer un mensaje, descargar un archivo o escanear un código QR, ha generado una alerta significativa entre empresarios y dueños de pymes. Esta realidad ha impulsado la necesidad de una mejor información y preparación para comprender las amenazas y sus posibles consecuencias. Sin embargo, la gran mayoría desconoce qué acciones tomar o qué pasos seguir frente a un posible ataque a sus negocios”, explica André Goujon, CEO de Lockbits.
Las MiPymes representan el 98,6% de las empresas con inicio de actividades en el país, donde el 75% son microempresas y el 21%, pequeñas empresas, según datos del Servicio de Impuestos Internos (SII).
Aunque la prevención es fundamental, no basta por sí sola para contrarrestar un ataque. A pesar de contar con herramientas básicas como antivirus, firewall y antispam, la implementación de un plan de contingencia sólido sigue siendo una asignatura pendiente en las pymes.
“Dicho plan es esencial no solo para contener el impacto de un ciberataque, sino también para identificar y analizar la causa de la vulnerabilidad. Esto permite reforzar las medidas de seguridad y asegurar la continuidad de las operaciones, incluso a pesar del incidente”, agrega el ejecutivo.
Claves para desarrollar un plan de respuesta ante incidentes
Lockbits comparte la lista de verificación mínima de un plan de respuesta a incidentes:
- Preparación: Establecer directrices fundamentales como punto de partida para enfrentar un ciberataque. Es crucial disponer de una lista de contactos 24/7 que incluya personal de TI, proveedores, legal, comunicaciones y gerencia para asegurar que cada área tome las medidas necesarias según su responsabilidad.
- Detección: Las alertas se pueden generar mediante soluciones de ciberseguridad complementarias (XDR, SIEM) o a través del reporte de un usuario o proveedor. En este punto, es esencial registrar meticulosamente todos los detalles del incidente: datos, hora, fecha, sistema afectado y cualquier evidencia, incluso aquella que parezca irrelevante. Esta información será fundamental para determinar la causa raíz del ciberataque.
- Contención: Estas se fundamentan en tres pilares, contener la amenaza (por ejemplo, segmentando la red para limitar su propagación); gestionar los accesos comprometidos bloqueando credenciales y forzando el cambio de contraseñas; y finalmente, bloquear la amenaza cortando las vías de ataque (como conexiones RDP/VPN no autorizadas) y neutralizando los Indicadores de Compromiso (IoCs).
- Erradicación: En este punto es clave eliminar las amenazas presentes en el sistema. Para mejorar la seguridad, se deben instalar actualizaciones (parches) y verificar qué tan grave fue el incidente, además de buscar otros equipos que podrían estar afectados.
- Recuperación: Implica la restauración a partir de una copia de seguridad limpia, seguida de una validación exhaustiva de la integración y un monitoreo intensivo (48 a 72 horas). Una vez funcione correctamente, se realiza el retorno gradual a la producción normal, priorizando siempre la puesta en marcha de los sistemas más críticos por etapas.
- Lecciones aprendidas: El análisis post-incidente y la mejora continua implica analizar la data recopilada para determinar qué falló, qué procesos y personas se vieron afectadas, qué mejoras se pueden implementar y quiénes son los responsables con plazos de acción. La experiencia obtenida permite mapear los riesgos de forma efectiva, mejorando la preparación y respuesta ante futuros ciberataques.
“Es importante que los procesos y acciones definidos se cumplan y ejecuten en cada etapa. En el contexto de las pymes, a menudo se prioriza solo la solución inmediata, dejando de lado el análisis de la información. Cumplir todo el proceso es necesario para establecer antecedentes y mapear riesgos; más allá de la prevención y la solución, el aprendizaje derivado de estas situaciones también constituye un elemento clave”, finaliza Goujon.
