Los últimos años han mostrado el valor que las PyMEs pueden aportar a la economía, no sólo porque conforman a más del 90% de las empresas en México y a nivel mundial, sino porque además juegan un rol crítico en las cadenas de suministro, al ofrecer todo tipo de productos y servicios esenciales. Sin embargo, esto también es lo que las hace valiosas para quienes se dedican al fraude digital, poniendo en riesgo a toda la cadena.
De hecho, ya existe toda una industria de estafas dirigida a PyMEs y emprendedores, la cual aplica un enfoque individualizado para crear métodos eficaces de ingeniería social que, en general, consisten en engañar a las empresas para robar sus datos confidenciales o infectar sus equipos con malware, aprovechando, en la mayoría de los casos, su falta de conocimiento sobre ciberseguridad y la falsa creencia de que este sector no es objetivo de los criminales.
En Kaspersky hemos detectado cuatro estafas basadas en ingeniería social y que tienen como blanco a los pequeños negocios. En la primera encontramos que los cibercriminales se han hecho pasar por organizaciones como Google para que las PyMEs les paguen por crear sus perfiles empresariales, un servicio que en realidad la empresa ofrece de manera gratuita. Google tomó medidas al respecto, y es alentador que grandes organizaciones estén dispuestas a ayudar a las más pequeñas, pero si éstas no se mantienen alerta, los esfuerzos serán en vano.
La segunda estafa está relacionada con la selección de proveedores. Los ciberdelincuentes atraen a los empresarios con ofertas demasiado atractivas promovidas desde un sitio web de aspecto fiable que suplanta una marca auténtica. También pueden hacerse pasar por bancos o socios comerciales para realizar ataques de phishing dirigido a través de correos electrónicos que son enviados, por ejemplo, a la persona encargada de gestionar el presupuesto de la empresa y solicitar un pago, cierta información sobre los empleados o las cuentas del negocio. Estos mails siempre vienen acompañados de enlaces maliciosos que buscan robar datos o dinero.
La tercera estafa está relacionada con el networking que es crucial para el desarrollo de los emprendimientos. Desde páginas aparentemente profesionales, se venden falsas entradas para conferencias en las que “participarán” ponentes de alto nivel, aunque estos eventos nunca ocurren. Finalmente, la cuarta táctica está relacionada con la reputación, ese gran intangible que trae grandes beneficios para las empresas, en general, pero sobre todo para las PyMEs. Los criminales escriben críticas negativas de los negocios y luego les envían correos ofreciendo un servicio para eliminarlas a cambio de un pago, aunque, en realidad, ese servicio no es real.
La ciberdelincuencia siempre buscará desestabilizar y obligar a las víctimas a tomar decisiones precipitadas. Para protegerse, las PyMEs deben evitar ceder a la manipulación y al chantaje, además de empezar a aplicar medidas básicas como revisar minuciosamente la ortografía o signos sospechosos en los mensajes, correos o enlaces que reciban, sobre todo si son de nuevos remitentes.
Lamentablemente, en la cadena de ciberseguridad, los empleados son el eslabón más débil, y por ello en este espacio no dejaremos de reiterar la recomendación más sencilla y menos implementada por las organizaciones: la capacitación a todos los niveles. Mantener un alto nivel de conciencia de seguridad entre los colaboradores es indispensable para todas las empresas, pero en especial, para las PyMEs.