Gestionar una empresa no es una tarea fácil. Fijar la estrategia, establecer relaciones comerciales, seleccionar proveedores y distribuidores, dirigir una plantilla, localizar oportunidades de negocio… El emprendedor se enfrenta a éstos y otros muchos desafíos cada día. Y la cosa se complica si quienes están a su alrededor no actúan de buena fe y tratan de sacar tajada de manera fraudulenta.
Guido Stein, profesor del IESE, hace hincapié en que hay que “evitar malas compañías” dentro de la propia empresa. Y esto se extiende tanto a los socios como a los trabajadores. Según el estudio ‘Global Economic Crime and Fraud Survey 2018’, elaborado por PwC, la amenaza de fraude procede más de dentro que de fuera. Así, el 52% de las empresas consultadas en todo el mundo sufrieron fraudes cometidos por actores internos. También crece alarmantemente la proporción del fraude atribuido a la alta gerencia, que afectó al 24% de las compañías, frente al 16% que suponía en 2016. Y el 40% de las empresas encuestadas afrontaron estafas realizadas por agentes externos (41% en 2016). Pero cuando hablamos de ‘agentes externos’ no debemos pensar en malvadas organizaciones criminales. En la mayor parte de los casos (68%), dicha amenaza proviene de ‘amienemigos’, personas o entidades con las que las que tenemos relación, como agentes y vendedores, proveedores de servicios o clientes. Se trata de actores con quienes se presume cierto grado de confianza mutua y con los que quizá bajamos la guardia.
Crecen las ciberamenazas
Además del fraude interno y de los ‘amienemigos’, las empresas se encuentran cada vez más expuestas a los riesgos cibernéticos de un mundo conectado, global y móvil. “Las empresas se enfrentan a muchas amenazas derivadas del uso creciente de las nuevas tecnologías. Los vectores de ataque de los bad guys del ciberespacio aumentan a un ritmo imparable debido al crecimiento de la digitalización de los procesos de negocio. Se estima que en 2021 el coste del cibercrimen alcanzará los 6 billones de dólares”, señala Gianluca D’Antonio, director académico del máster de Ciberseguridad del IE Business School, presidente de ISMS Forum y CIO de FCC.
El peligro de este tipo de incidentes es el alcance que pueden tener. “El impacto puede ser devastador. Pensemos en el caso de Equifax, en el que el robo de 143 millones de registros ocasionó una caída de la cotización de la empresa superior al 25%, así como una reducción de las ventas de más de 65 millones de dólares en un solo trimestre. Y las consecuencias se extienden a otros ámbitos, como la reputación, pudiendo poner en peligro la supervivencia de la compañía”, apunta.
Todas las compañías están expuestas a estos riesgos, independientemente de su tamaño. “El cibercrimen ataca cualquier objetivo que pueda darle beneficios. Aunque pudiera parecer más probable que el objetivo principal fuera la gran empresa, por sus activos elevados y su mayor volumen de facturación, la realidad es diferente. Las grandes organizaciones dedican recursos y presupuesto a proteger los sistemas de información, suelen tener personal especializado en ciberseguridad y realizan formación específica para concienciar a sus empleados acerca de las amenazas y riesgos relacionados con el ciberespacio. Por el contrario, las pymes carecen de estos recursos expertos. Confían en que su tamaño las haga menos visibles y atractivas para los cibercrimínales. Y suelen subcontratar los servicios básicos de TI, confiando la seguridad de sus sistemas a terceros generalistas. Por estas razones, son las más expuestas a ser víctimas de ciberataques. En 2017, 61% de los ciberataques tuvo como objetivo a pequeñas empresas, según Verizon. Son el principal objetivo de ransomware, phishing y suplantación de identidad”, precisa.
¿Cómo protegernos?
Repasamos algunas medidas para evitar los fraudes o mitigar su impacto.
Prevención. Antelas amenazas tradicionales, debemos aumentar la prevención al escoger socios, proveedores, distribuidores, clientes, trabajadores… Si los compañeros de viaje ofrecen garantías, evitaremos sorpresas desagradables. Afortunadamente, cada vez hay más información disponible y de fácil acceso. Por ejemplo, en el caso de la relación con otras empresas, los especialistas en criminalidad económica y tecnológica de la Unidad Técnica de Policía Judicial de la Guardia Civil recomiendan “chequear que la dirección de envío, teléfono y correo electrónico son auténticos y no presentan cambios respecto a los datos que publica en su web”. Además, se puede encontrar mucha información en internet. “Existen webs donde las víctimas de estafa suelen compartir sus experiencias. Y se puede localizar una calle en Google Street View o un programa similar”, indican. Incluso se puede buscar información en redes sociales. También es recomendable contar con asesores legales, financieros y tributarios para evitar fraudes de socios, directivos y trabajadores.
Medidas técnicas. Respecto a los ataques por internet, es esencial desplegar todas las medidas técnicas a nuestro alcance. Es imprescindible actualizar el software, contar con protección contra virus y malware, controlar los accesos, usar contraseñas seguras, restringir el uso de aplicaciones o equipos no permitidos, etc. Además, debemos programar copias de seguridad con relativa frecuencia. El profesor de IE Business School afirma que “es indispensable contar con recursos expertos, personal interno o externo que tenga la preparación adecuada para implementar las medidas organizativas y técnicas necesarias para proteger los sistemas y los activos de información”. Cada vez hay más empresas que contratan los servicios de un Centro de Operaciones de Seguridad (SOC).
Cuidado con el correo. La Guardia Civil aconseja “desconfiar de los mensajes muy insistentes, con presión en el tiempo”. Además, hay que prestar atención a la gramática de los correos, ya que muchas veces son textos realizados por traductores automáticos. También debemos revisar las direcciones de los mensajes y las webs, confirmando que no haya ligeras variaciones respecto a la dirección original. Por ejemplo, ‘directivo@empresa.es’ o ‘directivo@enpresa.com’, en lugar de ‘directivo@empresa.com’. Y hay que desconfiar de los correos de empresas que procedan de proveedores gratuitos, como Gmail. Tampoco debemos abrir archivos adjuntos con formatos desconocidos. Y hay que maximizar la prevención al consultar el email desde dispositivos móviles, donde es más difícil ver la dirección del remitente o de la web que visitamos.
Cultura de seguridad. La formación y concienciación de todos los miembros de nuestra plantilla es muy importante, ya que “el eslabón más débil es el humano”, como indica Francisco Rodríguez, jefe del Grupo de Fraudes de la Unidad de Investigación Tecnológica (UIT) de la Policía Nacional. “Los empleados son la primera línea de defensa”, apunta D’Antonio.
Transferir el riesgo. Si todo falla, en el mercado asegurador hay pólizas que permiten transferir los riesgos cibernéticos. “Son un instrumento extremadamente útil, sobre todo para las pymes, ya que ofrecen una cobertura sustancial frente a los daños provocados por un ciberataque”, anota D’Antonio. Suelen incluir revisiones periódicas de seguridad, análisis forense para determinar causa y alcance del ataque, gastos de mitigación del daño, comunicación a los afectados, gastos reputacionales, responsabilidad civil, pérdida de beneficios por interrupción de la actividad, etc.
Denunciar a las autoridades. “Es importante acudir a las fuerzas de seguridad cuanto antes. Si es posible, antes de que se rompa la relación de negocio con el atacante. Una vez que desaparece el delincuente, suele ser más difícil de localizar. El tiempo corre a su favor”, señala la Benemérita.
