En Uruguay, el 29% de las micro y pequeñas empresas afirma que les preocupa la ciberseguridad. Y a un porcentaje mayor (36%) les «preocupa mucho», según consta en el último informe «El estado de la ciberseguridad en las empresas uruguayas», elaborado por la compañía local de ciberseguridad Datasec y Grupo Radar. Sin embargo, a pesar de ese análisis, pocos empresarios de ese segmento toman acciones al respecto, aseguró Reynaldo de la Fuente, socio y director de Datasec, firma con 35 años en plaza.

«Al mirar más en profundidad los datos, solo un 25% tiene un responsable de ciberseguridad, un 60% nunca le dio una charla mínima a sus empleados sobre formación o concientización en cómo comportarse ante un ataque o un incidente de seguridad informática, solo el 16% encriptan sus equipos portables e incluso 30% dijo no tener un antivirus», enumeró, al comentar los resultados del estudio que recopiló información de 600 empresas uruguayas, de las cuales 352 son micro y pequeñas.

Es que, en medio de la transformación digital que atraviesan todos los sectores económicos, las pymes uruguayas se encuentran en una posición delicada. Tras la pandemia, la aceleración de la digitalización abrió nuevas oportunidades, pero también trajo desafíos de ciberseguridad.

Para graficar en parte el crecimiento de los ciberataques en Uruguay, basta ver que en 2024, solo en el Estado Uruguayo se detectaron y respondieron 14.264 incidentes de seguridad de la información, lo que representó un 65% más que en 2023, según el último informe del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic). Las categorías con mayor crecimiento fueron recolección de información, seguridad de la información y malware, amplía el informe.

Esta realidad representa un gran peligro para las pymes. Pablo Giordano, cofundador y director de tecnología (CTO) de la firma uruguaya Hacknoid -que se dedica a ciberseguridad desde 2003-, explicó que, a diferencia de las grandes corporaciones que tienen políticas claras en seguridad digital, invierten y refuerzan sus sistemas de defensa, muchas veces impulsadas por sus casas matrices, las pymes se ven más expuestas a riesgos que pueden comprometer su continuidad. De hecho, en algunos casos no cuentan ni con los mínimos protocolos de seguridad, afirmó. «Lo que pasa es que las pymes se mantienen con poquita cosa y eso al atacante no le importa, te ataca y te saca todo», apuntó Giordano.

Un ejemplo de esta vulnerabilidad es que, según el estudio de Datasec y Radar, un 37% de la responsabilidad de la ciberseguridad en estas empresas aún recae en sus dueños.

De la Fuente, de Datasec, destacó cómo ha evolucionado la percepción del riesgo en los últimos años, principalmente debido al crecimiento de uno de los tipos de ataques más comunes: el ransomware, que encripta y secuestra los datos de las compañías.

«Antes, muchas empresas creían un ciberataque era algo que nunca les iba a pasar; sin embargo, el auge del ransomware ha dejado claro que no importa el tamaño o el sector, cualquier empresa puede ser secuestrada digitalmente, quedar sin operar o sufrir el robo de sus bases de clientes o datos de facturación. Todo lo que para vos es importante, es un negocio potencial», comentó.

Giordano, de Hacknoid, coincide. «El 90% de los ataques reportados en Uruguay se relacionan con ransomware, y en el 70% de los casos la entrada se produce a través de phishing, el otro 30% entran por vulnerabilidades como falta de parches en sistemas operativos o configuraciones más hechas. En esto, la clave es capacitar al personal», agregó.

Para Giordano, el nivel de protección en las pymes es tan bajo que «se convierten en blancos fáciles para cibercriminales». «Ellos lanzan ataques al azar y en muchos casos, ni siquiera tienen claro cuál es la información de valor que están robando», explicó. Además, dijo que si bien existen soluciones y herramientas -incluso gratuitas o de código abierto- en las pymes la implementación es fragmentada y se limita a acciones aisladas, como charlas de concientización que pierden vigencia en pocos meses.

Otro de los grandes problemas que detectan los expertos es que en las pymes, debido a sus límites de presupuesto, son más reactivas que activas. Esto significa que actúan luego de recibir un ataque y en cuanto solucionan un problema «bajan la guardia y la inversión», sostuvo De La Fuente.

Así también lo ve Andrés Gómez, socio y CTO de la empresa uruguaya de ciberseguridad Nexa, con 10 años en el mercado: «A pesar de la creciente conciencia sobre el problema, la respuesta en términos de presupuesto y continuidad es muy reactiva: después de resolver una crisis, la inversión suele disminuir, lo que deja a la empresa vulnerable a futuros ataques».

Gómez aseguró que lo importante en seguridad digital es atender tres puntos: disponibilidad, confidencialidad e integridad. «Hay que tener una protección perimetral robusta de la infraestructura que puede ser un firewall. También hacer un hacking ético para conocer la vulnerabilidad, porque las personas cuando aplican una tecnología piensan en el caso de uso, y el hacker piensa en el caso de abuso. Y hacer chequeos contra DoS (denegación de servicios) para verificar que el sistema no caerá y estará disponible». Según observa, uno de los puntos débiles en los últimos años son los celulares. «Entran por ahí, atacan a los usuarios finales de las empresas».

De La Fuente, por su parte, recomendó «prevenir». «La base es tener un antivirus, una infraestructura actualizada (por ejemplo, un sistema operativo original y actualizado), porque un antivirus no es suficiente si los equipos están obsoletos. También manejar políticas mínimas de contraseñas, (activar) un segundo factor para acceso de usuarios, pero sobre todo, tener un sistema de respaldo de la información, porque ante un problema de ransomware, si hay respaldo no hay problema». Sin embargo aclaró que, de contar con un respaldo, es necesario tener un plan de recuperación. «Ha pasado que no recuperan en forma segura (la información), y cuando hacen el respaldo se compromete, porque el atacante nunca se fue, y es más, seguramente hace meses está adentro y ve cómo funciona la empresa. Entonces, la segunda vez que pega, lo hace más fuerte».

Gómez, de NEXA, señala que uno de los problemas que percibe a la hora de la implementación de medidas de ciberseguridad es la inversión. «Para muchos, esto es visto como un gasto adicional, y no como una inversión estratégica. Como base, una empresa debe invertir entre US$ 20.000 y US$ 30.000 al año en diagnóstico, infraestructura y capacitación para estar en una posición más segura. Esto puede parecer caro al inicio, pero cuando ocurre un ataque, el costo colateral puede superar los US$ 50.000, con implicaciones que se extienden a meses de inactividad», advirtió.

El escenario uruguayo de ciberseguridad en las empresas presenta una paradoja: mientras las compañías de ciberseguridad ven cómo este tema es cada vez más importante, las pymes aun no activan sus protecciones.