Disponer de una tienda en línea, redes sociales y aplicaciones de mensajería para vender los productos o servicios es parte del día a día de muchas pequeñas empresas. No es suficiente: hay que mercadearse. Y tampoco es todo: hay que hacerlo con seguridad, para que Usted, su empresa o sus clientes no sean víctimas de los ciberdelincuentes.
Por ejemplo, el pirateo de cuentas en la red social Facebook creció 93% en lo que llevamos del 2021 en comparación al mismo periodo del 2020, según Atlas VPN, firma especializada en información de ciberseguridad. Desde el 2016, el hackeo de cuentas en esta red aumentó 188%. El reporte recuerda que en abril anterior los datos confidenciales, incluidos números telefónicos, de 533 millones de usuarios de Facebook fueron recopilados y publicados en un foro de piratería informática.
Costa Rica sufrió más de 251 millones de intentos de ciberataques en el primer semestre de este año 2021, de acuerdo con los datos de FortiGuard Labs, el laboratorio de análisis e inteligencia de amenazas de la compañía Fortinet. “El incremento es preocupante no solo por el alto volumen de amenazas, sino también por las consecuencias que pueden tener”, explica Arturo Torres, estratega regional de FortiGuard.
Los ciberdelincuentes utilizan identificadores o palabras claves (nombre, apellido, correo electrónico, compañía, teléfono, dominio, dirección IP y usuario en redes sociales), los buscan en Internet y enlazan la información para descubrir nuevos indicadores y correlacionarlos. “Un hecho alarmante es que la detección de un ataque puede tardar hasta más de 200 días”, afirmó Andrés Roldán, especialista de Fluid Attacks, compañía de ciberseguridad para empresas.
Las personas creen que no son parte del target de los ciberlincuentes. Sin embargo, la información que tienen en sus dispositivos permite desde el robo de datos para pedir dinero por rescate (ramsonware) hasta la suplantación de identidad, el fraude bancario y el uso de los equipos para realizar ataques, lo que provoca problemas de funcionamiento. “Cualquier comportamiento anómalo implica que puede haber un malware (software maligno)”, dijo Rebeca Esquivel, profesora de ciberseguridad de la Universidad Cenfotec.
La seguridad en los canales digitales es un requerimiento que requiere estrategias, cuidados y protocolos tanto para los canales como para los contenidos: doble autenticación para sus perfiles y cuentas, no publicar comentarios políticos, religiosos o de otro tipo ni mezclar lo personal con el negocio y no confundir redes sociales, entre otras. Y requiere herramientas.
“Entramos en una era donde la gente no estaba preparada”, insistió Gerzer Molina, experto de ciberseguridad del Colegio de Profesionales de Informática y Computación (CPIC). “La tecnología es una solución, pero hay riesgos y amenazas que nos pueden llevar incluso a problemas legales, porque hay que tener cuidado con el manejo de los datos de información de clientes y proveedores”.
Los especialistas recomiendan que las personas y las empresas deben ser cuidadosas y muy proactivas, adoptando una serie de recomendaciones y buenas prácticas en el uso de sus dispositivos.
—Lo primero: se debe contar con soluciones, como antivirus con funcionalidades avanzadas de seguridad. Molina indica que los paquetes existentes pueden tener un precio de hasta $100 al año, que dividido en la cantidad de meses o de días resulta ínfimo, en especial frente a las consecuencias y las pérdidas que puede ocasionar un ataque o un fraude informático. Se pueden valorar planes de sistemas de protección informática de Eset, Panda, Kaspersky, Cisco, Fortinet y Palo Alto, entre otras.
—Las empresas, al igual que a nivel personal los usuarios, deben actualizar sus contraseñas, utilizar claves fuertes (más de 12 caracteres de longitud y que combinen símbolos y letras) y que no utilizar datos que puedan adivinarse fácilmente (por ejemplo, fechas de nacimiento, nombres o siglas de mascotas o familiares, que usualmente se exponen en redes sociales). Esquivel recordó utilizar sistemas de doble autenticación.
—Las personas encargadas de redes sociales deben tener claro qué puede publicar y qué no, así como se debe tener una política frente a críticas, insultos o comentarios salidos de tono de los usuarios en una publicación en las redes sociales del negocio.
—Es conveniente capacitarse (para entender y decidir qué hacer) y contratar a una persona especializada en gestión de redes o community manager, ya sea como parte de la planilla o por servicios profesionales, que ayude a definir esas estrategias, normas y políticas y le ayuden a obtener mejores resultados de ventas a través de los canales digitales.
—La definición de reglas laborales en este campo son también indispensables. Hay compañías que, por ejemplo, tienen prohibiciones para que sus colaboradores se tomen fotografías en el sitio de trabajo donde se pueda exponer involuntariamente información o datos de clientes, proveedores o de la empresa.
—En la empresa los colaboradores deben tener claro a qué tipo de sitios web, correos electrónicos, links, y publicaciones pueden acceder cuando están en su trabajo. Molina recomendó que la computadora o dispositivo que se le entrega a un colaborador (por ejemplo, la computadora para cobrar en el punto de venta o POS, por sus siglas en inglés) tenga únicamente las aplicaciones que se requieren para su labor.
—Los sistemas operativos y las aplicaciones también se deben actualizar periódicamente, con el fin de incorporar los últimos parches que implementan los fabricantes para evitar fisuras por donde se metan los ciberdelincuentes.
—Las empresas deben tener claro cuáles son los mecanismos de seguridad informática, alojamiento y respaldo de sus proveedores de servicios y aplicaciones de gerencia (ERP), gestión de clientes (CRM), facturación electrónica, tienda web, contabilidad, manufactura y bases de datos, entre otros. Lo mismo aplica para los proveedores de facilidades de chatbots y ventas por WhatsApp o Messenger.
—Todos deben saber los riesgos de descargar o ver archivos, fotografías o links de correos o mensajes sospechosos: de desconocidos, con un saludo genérico que no acostumbra un contacto, con un título muy llamativo o con una dirección electrónica sospechosa. Se debe aprender a identificar sitios y direcciones seguras.
—Con todos los proveedores se debe tener un contrato que especifique lo que se está brindando y las responsabilidades, niveles de seguridad y calidad de servicio, y solución e indemnización ante problemas.
—Los colaboradores deben tener claro qué hacer en caso de una situación de riesgo, una amenaza o el descubrimiento de un virus informático, un robo de credenciales o de datos, una suplantación de identidad y un intento de fraude.
—Los equipos deben tener programado cuándo bloquear sus pantallas cuando no están en uso.
—Es importante que la empresa se preocupe por la capacitación de sus colaboradores y que sus clientes conozcan medidas personales de seguridad informática para que no sean víctimas de fraude.
—Para que las medidas realmente den resultados, se debe mantener vigilancia permanente, por lo que es imprescindible contar con una persona especializada (en planilla o por contrato profesional) que realice el monitoreo de los sistemas y periódicamente active los protocolos de actualización de sistemas, aplicaciones y herramientas de seguridad. Al igual que en su contabilidad, realice una auditoría con un tercero de lo que se está haciendo.