Los directivos, ejecutivos y CEO de las pequeñas y medianas empresas poseen en sus dispositivos informáticos datos e información corporativa crucial, por lo que se han convertido en el punto de mira de los ciberdelincuentes. En este estudio, descubriremos exactamente cuán vulnerables son los ejecutivos españoles ante los ciberataques y cómo se pueden mitigar las filtraciones y el robo de datos.
En este artículo
- El 61 % de profesionales de IT españoles afirma que los altos ejecutivos han sido objetivo de amenazas de ciberseguridad
- Las empresas deben formar a ejecutivos y empleados para reducir el riesgo de los ciberataques
- A medida que aumenta la inversión en seguridad, las empresas pueden reasignar gastos a acciones para mitigar las amenazas
- En materia de ciberseguridad para pymes, es mejor prevenir que curar
Pequeños errores como descargar un archivo dañado con malware o hacer clic en un enlace malicioso puede llevar a las empresas a comprometer datos confidenciales. Muchos ciberdelincuentes están al acecho de este tipo de descuidos para secuestrar o vulnerar datos empresariales.
Si la víctima de un ciberataque es un empleado, es posible que el hacker no pueda acceder a datos demasiado comprometidos de la empresa. No obstante, si la víctima es el CEO o un alto cargo del negocio, la cosa cambia. El estudio de Capterra sobre Ciberseguridad para Ejecutivos* muestra que los hackers son más que conscientes de esto y se dirigen específicamente a ellos. Para llevar a cabo este estudio, se ha encuestado a 2648 empleados que desempeñaban funciones de IT y ciberseguridad de todo el mundo, de los cuales 243 residen en España.
- El 61 % de ejecutivos de nivel senior en España han sido objetivo de un ciberataque al menos una vez en los últimos 18 meses.
- En España, los ataques a ejecutivos de nivel senior han aumentado en un 57 % en los últimos 3 años, según aquellos empleados en cuyas empresas ha habido uno o varios ciberataques a ejecutivos en los últimos 18 meses.
- Un 76 % de encuestados españoles afirma que la inversión en ciberseguridad en sus empresas se ha incrementado en los últimos 18 meses.
También descubrimos las tendencias de ciberseguridad que utilizan las empresas para proteger los datos de los altos ejecutivos, lo que será útil para ejecutivos, directivos y miembros del equipo técnico de las pymes que quieran estar preparados para un panorama de ciberataques cada vez más sofisticado, especialmente si se tiene en cuenta el aspecto de los ataques basados en inteligencia artificial (IA).
El 61 % de profesionales de IT españoles afirma que los altos ejecutivos han sido objetivo de amenazas de ciberseguridad
Antes que nada, ¿qué son los ciberataques a empresas? Los ciberataques a empresas son acciones maliciosas que tienen como objetivo comprometer la seguridad de sistemas informáticos y redes de las empresas, para poder robar datos, interrumpir operaciones comerciales o extorsionar de algún modo a la organización. De ahí la importancia de la ciberseguridad.
De hecho, según Gartner, el phishing, los ataques remotos a infraestructuras de cara al público y las conexiones no autorizadas a escritorios remotos siguen siendo las principales fuentes de infiltración de ransomware (un caso en el que un sistema malicioso retiene datos y sistemas como rehenes a cambio de grandes sumas de dinero). [1]
Para añadir más urgencia, en el siguiente gráfico vemos que el 61 % de empleados de IT admiten que los ciberataques han ido dirigidos a ejecutivos al menos una vez en los últimos 18 meses.:
Esto confirma la importancia de la ciberseguridad y la necesidad de tomar medidas para proteger los datos que almacenan los cargos ejecutivos. Gartner recomienda implementar una autenticación fuerte para usuarios con privilegios, como pueden ser las cuentas de servicio y los usuarios que administran bases de datos e infraestructuras.
En el entorno pyme, es esencial conocer los tipos de ciberataques a empresas y, en este caso, los tipos de ciberataques a los ejecutivos senior de las empresas españolas para poder elegir la herramienta adecuada para mitigarlos:
- Maniobras de phishing. Son intentos de engañar a usuarios vía correo electrónico o sitios web para que revelen información confidencial. Algunos software de gestión de correo electrónico contienen filtros anti-phishing. El 46% de encuestados que trabajan en empresas donde ha habido ataques a ejecutivos en los últimos 18 meses han sufrido este tipo de ciberataque.
- Ataques de malware. Usando un software malicioso, se dañan o interrumpen sistemas informáticos. El software antivirus se encarga de detectar y eliminar virus informáticos. El 42 % de encuestados se enfrenta a este tipo de ataque.
- Ataques de ransomware. Se trata de un tipo de malware que cifra archivos y exige un rescate para que pueda recuperarlos. Los programas para hacer copias de seguridad son una buena forma de anteponerse a estos ataques. El 36 % de ejecutivos recibe este tipo de ataque.
- Ataques a las contraseñas. Métodos para obtener contraseñas de usuarios. Ejemplos comunes de estos métodos incluyen ataques de phishing, donde los usuarios son engañados para que revelen sus contraseñas, y ataques de fuerza bruta, donde los atacantes intentan múltiples combinaciones hasta encontrar la correcta. El uso de un software para administrar contraseñas puede ayudar a mantenerlas seguras. Un 32 % de ejecutivos recibe este tipo de ataque.
- Suplantación de DNS. Se manipulan los registros DNS y se redirige el tráfico a webs maliciosas. Como medida empresarial, la implantación del software de firewall evita el acceso no autorizado a la web. El 25 % de ejecutivos recibe este tipo de ataque.
- Maniobra de suplantación de la identidad. Se obtiene acceso no autorizado al hacerse pasar por otro usuario. El software CIAM permite gestionar la identidad y los datos de los usuarios de forma segura. El 24 % de ejecutivos recibe este tipo de ataque.
- Interpretación o contaminación de URL. Los hackers manipulan las URLs para redirigir a usuarios a sitios web maliciosos. Para evitarlo, las empresas pueden usar el software de seguridad de sitios web. El 17 % de ejecutivos recibe este tipo de ataque.
- Ataque mediante deepfake con ayuda de la IA. Se emplea la IA para crear vídeos o audios falsos que parecen reales. La autenticación multifactor contribuye a verificar la identidad de los usuarios. El 15 % de ejecutivos recibe este tipo de ataque.
- Ataque man-in-the-middle o de intermediario. Se altera la comunicación entre dos partes sin que estas lo sepan. El uso de un software VPN puede resultar de gran utilidad en estos casos. Un 13 % de ejecutivos recibe este tipo de ataque.
Teniendo en cuenta los ciberataques dirigidos a empresas que muestra el estudio, hay que considerar el aumento global de esta tendencia en los últimos años. De los profesionales de IT españoles que anteriormente indicaron que alguno de los altos directivos de su empresa ha sufrido ciberataques, el 57% afirma que estos ataques han aumentado:
El aumento de ciberataques se debe, en parte, a ciertas conductas o descuidos de los ejecutivos senior. En España, los tres tipos de conductas que más conducen a los ciberataques de ejecutivos son:
- La descarga de archivos procedentes de orígenes que no son de confianza (41 %)
- La falta de formación en ciberseguridad (38 %)
- El uso de contraseñas débiles o poco seguras (34 %)
Estos datos sugieren que en este momento, los ejecutivos senior están cayendo en trampas que podrían ser fáciles de evitar con formación y el uso del software adecuado.
Las empresas deben formar a ejecutivos y empleados para reducir el riesgo de los ciberataques
Una de las principales razones de los ataques a ejecutivos es la falta de formación en ciberseguridad, lo que conduce a preguntarse si los ejecutivos senior reciben algún tipo de formación adicional: un 52 % afirma que los ejecutivos reciben formación más avanzada, mientras que un 41 % del total de encuestados declara que no, dado que la formación sobre seguridad es la misma para todos los empleados independientemente de su rol.
Este último segmento de empleados (los que trabajan en empresas donde los ejecutivos no reciben una formación especial) admiten que estos no reciben formación adicional por cinco principales razones:
- Falta de tiempo o de recursos (31 %)
- No se considera una prioridad (31 %)
- Los ejecutivos senior ya tienen conocimientos suficientes (29 %)
- Resistencia de los equipos senior de liderazgo a participar debido a la falta de tiempo (26 %)
- Limitaciones de presupuesto (22 %)
Como posible solución a estos obstáculos, las empresas pueden programar ciertas horas durante la semana para que los empleados que trabajan en los departamentos de IT o técnicos ofrezcan formación adicional a estos altos ejecutivos, con pautas para aplicar una capa extra de protección a sus dispositivos y datos. Los sistemas LMS pueden ayudar creando cursos flexibles que se adapten a todo tipo de horarios, creando cursos tanto online como presenciales, o incluso cursos que incluyan elementos de gamificación para un mayor compromiso.
El 75 % de empleados recibe formación en ciberseguridad al menos una vez al año
Además de la formación específica a los ejecutivos de nivel senior, es conveniente que la empresa también implemente sesiones de formación y concienciación en ciberseguridad a todos los empleados. Según los profesionales informáticos encuestados en España, ¿con qué frecuencia reciben este tipo de formación todos los empleados de la empresa?
Destaca que un 77 % de encuestados en España afirma que, al menos una vez al año, los empleados de su empresa reciben formación en ciberseguridad.
Las empresas cuentan con diferentes opciones para formar a sus empleados en materia de ciberseguridad. Estos son los principales tipos de formaciones en ciberseguridad para empresas:
- Ciberseguridad. Aporta información general sobre cómo proteger sistemas informáticos y redes contra ataques. El 75 % de empresas que imparten formación en seguridad ofrecen este tipo de formación.
- Privacidad de datos. Consiste en cómo manejar, proteger y respetar la información sensible siguiendo las regulaciones. El 68 % de empresas ofrece este tipo de formación.
- Seguridad en las instalaciones y acceso al edificio. Son medidas para controlar y monitorear el acceso físico a las instalaciones de la empresa. El 42 % de empresas imparte esta formación.
- Ingeniería social. Se enseña a identificar técnicas de manipulación y engaño usadas para obtener información confidencial. El 40 % de empresas imparte esta formación.
- Directrices sobre redes sociales. Pautas para el uso responsable de las redes sociales con el fin de proteger los datos. El 37 % de empresas imparte esta formación.
- Política de usos aceptables (AUP). Define las normas sobre el uso aceptable de los recursos tecnológicos. El 33 % imparte esta formación.
A medida que aumenta la inversión en seguridad, las empresas pueden reasignar gastos a acciones para mitigar las amenazas
Teniendo en cuenta que los riesgos de ciberataques aumentan con el tiempo, la protección de los datos de la empresa es cada vez más urgente. Por esa razón conviene que la inversión en ciberseguridad sea una prioridad máxima en la empresa.
En España, la inversión en ciberseguridad ha aumentado considerablemente en los últimos 18 meses: un 76 % de encuestados afirman que la inversión en ciberseguridad en sus empresas se ha incrementado.
Además del aumento de inversión, las empresas que han sido objetivo de ataques a ejecutivos ya están poniendo en marcha diferentes estrategias para prevenir las amenazas:
Cabe destacar que un 30 % de encuestados afirmó que la empresa ha adquirido un nuevo software como medida para protegerse de los ciberataques. En caso de que no estés seguro de qué plataforma implantar y en cuál invertir, el mercado ofrece multitud de opciones de software de ciberseguridad con versión o prueba gratis, lo que permite a las empresas probar la herramienta antes de comprometerse a gastar dinero en ella.
Entre el total de encuestados, los cinco tipos de software de seguridad más utilizados son:
- Software antivirus (73 %)
- Software de firewall (72 %)
- Software para copia de seguridad (66 %)
- VPN (65 %)
- Software para gestión de contraseñas (55 %)
En materia de ciberseguridad para pymes, es mejor prevenir que curar
Nuestro estudio sobre ciberseguridad en empresas españolas concluye que los ejecutivos de nivel senior son un blanco de los ataques informáticos, por lo que cualquier pequeño error por su parte puede tener graves consecuencias para la seguridad informática de la compañía.
En todas las empresas, y especialmente las pymes, conviene concienciar a los empleados y ejecutivos de los riesgos informáticos a los que pueden estar expuestos, así como ofrecer la formación necesaria en ciberseguridad y fomentar el uso del software adecuado para proteger datos y dispositivos vulnerables.
Los empleados de pymes suelen desempeñar múltiples funciones, por lo que probablemente tienen acceso a un conjunto más amplio de datos de la empresa que los empleados de empresas más grandes, que tienen un departamento de TI específico y funciones concretas para cada área, lo que hace aún más imperativo disponer de políticas y herramientas de seguridad adecuadas.
Fuentes
Metodología
*La Encuesta de Capterra sobre Ciberseguridad para Ejecutivos se realizó en mayo de 2024 entre 2648 encuestados de Estados Unidos (n:238), Canadá (n:235), Brasil (n:246), México (n:238), Reino Unido (n:254), Francia (n:235), Italia (n:233), Alemania (n:243), España (n:243), Australia (n:241) y Japón (n:242). El objetivo del estudio era explorar cómo responden los profesionales de TI y ciberseguridad a la creciente amenaza del fraude biométrico. Se seleccionó a los encuestados que desempeñaban funciones de TI y ciberseguridad en empresas que utilizan software de seguridad y tienen más de un empleado. Se examinó si los encuestados estaban implicados o eran plenamente conscientes de las medidas de ciberseguridad aplicadas en su empresa.