Guía para prevenir el Business Email Compromise (BEC)

Los ciberataques son cada vez más sofisticados y utilizan desde la inteligencia artificial hasta los pequeños fallos de configuración, convirtiendo a las pymes en un blanco preferente. No por su tamaño, sino por la falsa sensación de seguridad que suele acompañarlas y por la falta de visibilidad real sobre sus activos.

Resulta tentador pensar que las ciberamenazas solo afectan a grandes corporaciones, pero la realidad es que afectan a todo tipo de empresas, independientemente de su tamaño. Un solo incidente puede paralizar completamente la actividad de una pequeña empresa, poner en riesgo su reputación y comprometer su viabilidad económica. Evaluar la verdadera madurez digital del negocio implica hacerse preguntas incómodas, pero necesarias, que pueden marcar la diferencia entre anticiparse a un ataque o enfrentarse a una crisis.

Definir una estrategia de ciberseguridad sólida debe ser una prioridad para las pymes ante el incremento sostenido de los ciberataques. Y es que los datos del último Informe de Ciberpreparación de Hiscox son concluyentes: un 59% de las pequeñas y medianas empresas ha sufrido al menos un ciberataque en los últimos doce meses, lo que evidencia que este riesgo afecta de lleno a uno de los principales motores económicos del país.

Estas cifras ponen de manifiesto las vulnerabilidades estructurales de muchas pymes, que en muchos casos operan con recursos limitados y sin una planificación específica en materia de seguridad digital. El riesgo es que los ciberataques ya no son frecuentes, son recurrentes. Tal y como apunta el informe, muchas empresas afectadas no han sufrido un único incidente, sino múltiples ataques a lo largo del año, con una media de cuatro ciberataques anuales.

Los ciberataques no son un problema ajeno a las pymes por lo que la ciberseguridad debe formar parte de los pilares estratégicos de estas empresas. Establecer una hoja de ruta clara que incluya un análisis de vulnerabilidades tiene que ser prioritario.

La ciberseguridad es uno de los pilares sobre los que deben sustentarse las estrategias de cualquier empresa. La principal diferencia con respecto a otras épocas es que, en la actualidad, no basta con sufrir incidentes de seguridad, sino que es necesario demostrar, de forma objetiva y documentada, que la empresa hace todo lo posible para proteger sus activos y datos críticos.

Hoy, las entidades reguladoras, los partners y los clientes no solo esperan medidas de protección, sino que exigen evidencias de que los datos con los que trabajan las empresas están protegidos. Es en este punto donde las auditorías de ciberseguridad se convierten en un instrumento clave para acreditar el cumplimiento normativo.

Los ciberataques están a la orden del día y suponen una amenaza constante y en aumento. Según datos del Centro Criptológico Nacional, en la última década el número de incidentes se ha incrementado un 1.384,7%), lo que supone un peligro para la continuidad operativa y reputación de cualquier empresa, incluidas las pequeñas y medianas.

De hecho, en España, las leyes de ciberseguridad imponen responsabilidades legales que van más allá de la mera recomendación, obligando a ciertas empresas a adoptar medidas concretas para proteger sus redes y sistemas de información. Un buen ejemplo es el Real Decreto-ley 12/2018.

No cabe ninguna duda de que la creciente digitalización de las empresas ha potenciado la eficiencia, la conectividad y la expansión de mercados. Sin embargo, esta transformación también ha abierto la puerta a una amenaza constante: el fraude digital.

Por este motivo, los ataques dirigidos a vulnerar los sistemas empresariales han hecho que la ciberseguridad sea una prioridad estratégica que requiere una atención permanente junto con soluciones adaptables a cada necesidad concreta.

Cada vez es más habitual que los empleados trabajen desde cualquier lugar y accedan a la información y a las aplicaciones corporativas desde sus smartphones y portátiles. Esta realidad ha impulsado la productividad de las empresas, pero también ha incrementado las posibilidades de sufrir un ciberataque.

Un único móvil comprometido puede poner en riesgo la información personal de su dueño y convertirse en la vía de entrada perfecta para que los ciberdelincuentes penetren en la red corporativa y pongan en jaque la seguridad de la empresa.

¿Sabrías qué hacer si tu empresa sufriera una brecha de seguridad mañana? Cualquier empresa, independientemente de su tamaño, puede ser víctima de un ciberataque exitoso. A diario se producen infinidad de ataques y las pymes son uno de los objetivos prioritarios. Según BitLife Media (2022), se estima que el 70% de los ciberataques tiene como objetivo a las empresas más pequeñas, por lo que tienen más probabilidades de sufrir una brecha de seguridad.

Esta realidad está estrechamente ligada al proceso de democratización de las empresas: hoy en día, gracias a la digitalización, pequeñas y medianas organizaciones acceden a herramientas tecnológicas que antes estaban reservadas a grandes corporaciones, lo que les permite competir en igualdad de condiciones. Sin embargo, esta apertura también las expone a los mismos riesgos en materia de ciberseguridad, obligándolas a asumir responsabilidades y medidas de protección al mismo nivel que las grandes compañías.

Muchas empresas carecen de un plan claro para responder a un incidente de seguridad por lo que, si se produce una brecha de datos o un ciberataque, el negocio se verá comprometido. Saber manejar una brecha de seguridad es un factor clave para mantener la operativa de la compañía y la confianza de los clientes, por lo que es esencial desarrollar una estrategia de ciberseguridad informática para empresas que permita contener cualquier incidente y protegerla frente a futuros ciberataques. Veamos cuáles son los pasos esenciales.

El objetivo de cualquier ciberataque es que sea exitoso, lo que está provocando que la sofisticación sea cada vez mayor. Entre la variedad de amenazas, las más exitosas suelen ser aquellas que pretenden engañar a los usuarios con el fin de obtener datos personales o financieros. Son los conocidos como ataques de phishing.

No obstante, la transformación que ha experimentado esta técnica de ciberataques ha sido notable. Atrás quedaron esos mensajes de correo electrónico mal redactados o con faltas de ortografía que hacían sospechar de manera inmediata a los usuarios sobre su veracidad. En esta evolución, está cobrando cada vez más protagonismo el spear phishing, una técnica de engaño hiperpersonalizada que suele ser el primer paso de la temida estafa del CEO.

La transformación digital ha revolucionado la manera en que las pequeñas y medianas empresas operan, pero también ha abierto nuevas ventanas de vulnerabilidad. Aunque muchas empresas se concentran en protegerse contra ataques digitales tradicionales, una amenaza más sutil pero igualmente devastadora acecha a través del medio más básico: el teléfono.

Es esencial proteger las conversaciones de la empresa para salvaguardar la información confidencial que circula dentro de la organización, aunque en ocasiones suele pasar desapercibida frente a otros riesgos de seguridad. Y es que, la protección de las comunicaciones evita que personas no autorizadas puedan acceder a datos sensibles que provoquen daños a la reputación de tu empresa. Existen diversas fórmulas y tecnologías para proteger los datos, pero una de las más efectivas es la encriptación de extremo a extremo, también conocida como E2EE (End-to-End Encryption).

La ciberseguridad es uno de los pilares sobre los que se debe construir cualquier estrategia empresarial. Y no es para menos. Según los datos del Instituto Nacional de Ciberseguridad (INCIBE), en 2024 los incidentes de ciberseguridad gestionados aumentaron un 16,6 % respecto al año anterior, con más de 31.500 casos que afectaron directamente a empresas. En este contexto en el que las ciberamenazas están creciendo y son cada vez más sofisticadas, un problema al que se enfrentan las empresas es la amplia oferta de soluciones que se encuentran en el mercado. Elegir una de ellas, sobre todo en el caso de las pymes, que cuentan con menos recursos, es complejo, pero hay soluciones que apenas tienen coste y mejoran la respuesta ante posibles incidentes y amenazas. Entre las más destacadas se encuentran las herramientas de Detección y Respuesta de Endpoint, también conocidas como EDR, que en la actualidad ven potenciadas sus virtudes gracias a la inteligencia artificial.

Hasta poner en marcha nuestro Plan Director de Ciberseguridad, todo lo que habíamos hecho en ese tema había sido a nivel interno, y eso que no contamos con un departamento de IT especializado. Habíamos ido aprendiendo, formándonos y asistiendo a jornadas y eventos formativos de los cuáles siempre sacábamos alguna conclusión o consejo útil, como eliminar la wifi de invitado. Pero al final todo evoluciona y, de la misma manera que los atacantes cada vez saben más, nosotros también tenemos que evolucionar.

La continuidad de un negocio depende en gran medida de su capacidad para proteger y recuperar su información crítica. Sin embargo, muchas pymes aún no cuentan con un sistema de copia de seguridad eficaz, por lo que subestiman el impacto real que puede tener una pérdida de datos.

El riesgo es más habitual de lo que parece y con consecuencias muy costosas: el coste medio de un ciberataque en una pyme española se sitúa entre los 75.000 y los 80.000 €, según datos publicados por la Revista Pymes. Además, la inactividad derivada de una brecha puede suponer hasta 10.000 € por hora en pérdidas económicas y operativas, afectando directamente a ingresos, productividad y reputación.

Y no hablamos solo de ciberataques. Fallos humanos, errores técnicos o desastres físicos también pueden dejar una empresa fuera de juego en cuestión de minutos. Ante este escenario, contar con un servicio de backup profesional ya no es una opción, sino una decisión estratégica para garantizar que el negocio pueda recuperarse con rapidez y seguir operando con normalidad.