«¿Per què voldrà accedir al nostre sistema un pirata informàtic? Som una empresa petita». Si tu també ho has dit alguna vegada, aquest article t'interessa.
Molts autònoms i pimes segueixen repetint el mantra: «¿A mi qui m'atacarà?». Creuen que la seva pàgina web o presència en línia és insubstancial comparada amb la de les corporacions i, per això mateix, no pot tenir interès per a un pirata informàtic. Per això, continuen sent reticents a aplicar mesures de seguretat digital.
Les raons d'aquesta actitud són múltiples, però la majoria es poden resumir en poques paraules: manca d'informació. En general, els mitjans de comunicació només donen a conèixer els atacs contra grans empreses o institucions, ja que, com que són de gran importància, tenen més impacte com a titular.
A causa de les notícies (o, en aquest cas, la manca d'elles), molts petits negocis, professionals, associacions i altres organitzacions tenen la sensació que a ells no els afectarà.
Però les vostres pàgines web o intranets no estan ni molt menys exemptes d'amenaces reals. De fet, les pimes espanyoles són l'objectiu número u dels ciberdelinqüents i, a conseqüència de la manca de recursos, solen ser les més vulnerables.
Història real: «La meva web en escac per la negligència d'un proveïdor»
La Sílvia és la propietària d'una petita empresa de confecció. Durant la pandèmia, va decidir reorientar el negoci i fabricar màscares amb disseny personalitzat.
Gràcies al boca a boca, les visites al seu lloc web van augmentar força el 2020. Per poder absorbir la demanda creixent, li va demanar al seu dissenyador que actualitzés la pàgina.
En aquell moment, el dissenyador estava atenent un altre projecte i li va indicar a la Sílvia que trigaria uns dies a ocupar-se de l'encàrrec. Li va comentar que els canvis s'aplicarien de matinada perquè el servei no es veiés interromput.
Al cap de poc, Silvia va observar que la botiga havia estat fora de servei durant uns minuts al migdia. Va pensar que era el dissenyador fent els canvis i no hi va donar importància.
Tot i això, al cap d'uns dies, va començar a rebre trucades i correus dels seus clients, que es queixaven que no havien rebut els productes que havien comprat a la pàgina. Silvia els va demanar els detalls i va confirmar que passava alguna cosa: encara que els clients havien fet la compra, ella no havia rebut els encàrrecs ni els pagaments.
En realitat, el tall que havia observat era un indici que li havien hacker la botiga: com? Amb les presses, el dissenyador havia instal·lat un plugin per gestionar pagaments sense revisar que fos segur.
Uns dies abans, uns ciberdelinqüents havien aconseguit infiltrar-se en els sistemes del desenvolupador del plugin i ho havien modificat sense detectar-lo: el plugin corrupte, que va acabar instal·lat a la web de Silvia, obria una «porta del darrere» mitjançant la qual els pirates podrien accedir a les botigues en línia sense necessitat d'usar força bruta.
Els ciberdelinqüents van utilitzar eines de rastreig especials i van veure que la botiga en línia de Silvia feia servir el plugin corrupte, i després van accedir al panell d'administració.
El primer que van fer va ser redirigir els clients de Silvia a una pàgina que simulava ser la plataforma de pagament. Els clients no es van adonar perquè l'adreça amb prou feines era lleugerament diferent de la veritable i fins i tot van rebre un missatge de confirmació.
Silvia no només va perdre diners i temps a resoldre la situació. Segurament va perdre també clients que mai tornaran a confiar a la seva web.
No és una llegenda urbana ni un conte amb moralitat. És una història real denunciada per l'Institut Nacional de Ciberseguretat (INCEB).
Per què s'acarnissen els ciberdelinqüents amb les pimes?
Com assenyala l'INCIBE, «els ciberdelinqüents ataquen petites i mitjanes empreses perquè moltes vegades aquestes apliquen mesures de seguretat menys robustes que una gran companyia».
En molts casos, per exemple, usen gestors de continguts, com WordPress, Joomla o Prestashop per crear el vostre lloc web. El problema és que, si les webs d'aquest tipus no s'emmagatzemen a hosting assegurances i no es fa un manteniment periòdic i s'apliquen les mesures de seguretat adequades, són especialment susceptibles.
En vista de l'elevat volum de webs que estan creades amb aquestes aplicacions, els pirates han desenvolupat programes especials que rastregen automàticament tots els servidors del món. Quan localitzen aquestes eines, extreuen informació sobre la pàgina en qüestió.
En el moment en què detecten una vulnerabilitat coneguda i no “pegat”, injecten programari maliciós per explotar-la. Tot de forma automatitzada amb bots que poden omplir la pàgina danuncis, enviar milions de correus amb productes falsificats o simplement donar mala imatge de la marca i així aconseguir que els clients es passin a la competència.
Les botigues en línia de petites i mitjanes empreses, en particular, són un blanc sucós perquè manegen i emmagatzemen dades personals i bancàries que tenen un gran valor al mercat negre.
Altres vegades, les empreses són suplantades, sigui a webs falses oa les xarxes socials, per intentar enganyar i defraudar els seus seguidors. És cosa que li va passar a aquest petit negoci d'artesania espanyol que fa servir les xarxes a manera de catàleg: mai no va pensar que els ciberdelinqüents anessin a fixar-se en el seu compte, però així va ser.
Els recursos més limitats i la manca d'inversió fan que la capacitat de reacció dels negocis petits i mitjans sigui menor que la de les grans empreses. Tot i això, els danys d'un ciberatac a una pime poden ascendir a 35 000 euros, al marge dels costos operatius i reputacionals.
Per tant, per a un petit negoci, un ciberatac pot ser tant o més perjudicial que per a una corporació: segons Google, el 60% de les pimes es veuen obligades a tancar 6 mesos després d'un pirateig a causa de les pèrdues generades.
Com pots protegir la teva presència en línia?
Per evitar aquestes situacions, convé aplicar una sèrie de bones pràctiques, entre les quals:
- Usar sempre la darrera versió del maquinari i el programari (tant el gestor de continguts com els mòduls i els plugins), ja que la majoria de les actualitzacions són per arreglar forats de seguretat.
- Usar aplicacions, temes i plugins de confiança, i descarregar-los a la pàgina del fabricant o mercats oficials.
- Utilitza contrasenyes segures i canviar-les regularment.
- Instal·lar programari de protecció, com ara un sistema IDS/IPS o un UTM.
- Fer còpies de seguretat del lloc web de forma periòdica.
- Establir polítiques de seguretat i formar la plantilla.
- Comptar amb un pla de contingència.
- implantar una estratègia de monitorització i protecció de marca onlineper detectar possibles pirates que suplantin la teva identitat a Internet.
A més, ara pots deixar el manteniment de la teva pàgina web WordPress en mans dels especialistes de Nominalia. Els nostres tècnics s'encarregaran de gestionar totes les actualitzacions de seguretat i fer-ne còpies automàtiques, entre altres serveis per protegir la teva web. Pregunta'ns sense compromís!