15 de septiembre de 2008: La quiebra de Lehman Brothers desencadena una caída del 4,5% en un solo día del Promedio Industrial Dow Jones, entonces el mayor descenso desde los atentados del 11 de septiembre de 2001.

Muchos recordamos este acontecimiento como el clímax de la crisis de las hipotecas de alto riesgo. Un suceso de tan rara ocurrencia se conoce como suceso de cola gorda (fat-tail event); en otras palabras, uno con sólo un 0,3% de probabilidades de ocurrir en circunstancias normales. La otra característica de este tipo de sucesos es que sus consecuencias suelen ser catastróficas, como ocurrió con el sistema bancario en 2008 y el consiguiente impacto económico mundial.

Ahora, consideremos la ocurrencia de ciberataques y su impacto en las pequeñas y medianas empresas (PYME) dados los siguientes hechos:

  • Hay más de 400 millones de PYME en el mundo.
  • La mayoría de las pymes tienen menos de 50.000 dólares de ingresos anuales.
  • En 2022, los ataques de ciberdelincuencia afectaron a más de 1.000 por millón de usuarios de Internet.
  • El ransomware es globalmente el principal tipo de ataque, costando a una empresa una media de 1 millón de dólares o más.

Si hacemos cuentas, resulta que hay menos de un 0,1% de probabilidades de que se produzca un ciberataque catastrófico para las PYMES, pero las aproximadamente 400.000 PYMES de todo el mundo que resultan ser víctimas de este tipo de ataques cada año es probable que quiebren y cierren el negocio indefinidamente. Si lo pensamos de este modo, estas empresas experimentan un evento de cola gorda del que son incapaces de recuperarse.

¿Cómo pueden las PYME reducir el riesgo de que se produzcan estos acontecimientos y el impacto en su negocio?

La respuesta a esta pregunta es sencilla: Las empresas necesitan crear suficientes medidas de protección y controles de mitigación para que, incluso si tuvieran la mala suerte de ser el 0,1% de la población de PYMES, pudieran recuperarse y salir fortalecidas. Para lograrlo, una PYME puede empezar invirtiendo en tecnología "de mesa" para proteger sus dispositivos, hacer copias de seguridad de sus datos y escanear los correos electrónicos, así como el tráfico web, para garantizar que el acceso a la información sensible está restringido y supervisado.

Aunque esto pueda parecer de sentido común, una estadística preocupante es que sólo dos tercios de las PYMES parecen invertir en la forma más básica de protección (seguridad de puntos finales como antivirus, antimalware, etc.), mientras que son aún menos las que cuentan con medidas adecuadas para la seguridad web y del correo electrónico. En general, se calcula que sólo un tercio de las PYME cuentan con una protección adecuada en materia de ciberseguridad.

Cuando se trata de estimar el riesgo, la seguridad y las compensaciones, los seres humanos han demostrado ser bastante malos a la hora de juzgar la probabilidad y el impacto, y lo mismo parece ocurrir con las PYMES. La naturaleza oscura, intangible y a veces aterradora de las ciberamenazas, junto con la disyuntiva entre reducir el riesgo del negocio existente o gastar más en marketing para conseguir nuevos negocios, son probablemente la razón por la que tan pocas PYMES están adecuadamente preparadas para un ciberataque catastrófico.

Es responsabilidad de la comunidad de expertos cibernéticos y de los proveedores de soluciones tecnológicas ayudar a educar a las PYMES y proporcionar herramientas de seguridad cibernética adecuadas, de modo que cuando se produzca el suceso catastrófico, más PYMES puedan confiar en su tasa de supervivencia.

En Avast, nos comprometemos a poner de nuestra parte para reducir el riesgo de ciberamenazas para las PYMES. Obtenga más información sobre cómo podemos ayudarle a usted y a su empresa suscribiéndose a nuestra prueba gratuita.