Informe de GoDaddy sobre seguridad en Internet de las pymes

La paradoja de la seguridad web

Las pequeñas empresas trabajan en la cuerda floja, en la que cualquier error se puede pagar muy caro. Por esa razón, la seguridad en Internet es un obstáculo a superar. Sus páginas web son blanco fácil, ya que la mayoría de empresas tienen poca experiencia en materia de seguridad, no dedican mucho presupuesto a estas tareas y existe cierta falta de capacidad financiera para implementar un nivel de protección más avanzado en las grandes compañías.

Según un estudio sobre ciberseguridad hecho por GoDaddy, el 67% de las pequeñas empresas de Estados Unidos (aquellas que tienen entre 1 y 5 empleados) invierten entre 1 y 500 dólares al año en seguridad web. Si hablamos de vulnerabilidades en web, hay todo un reto por delante: solo el 30% de los encuestados declararon que hacen análisis periódicos en busca de posibles vulnerabilidades, mientras que el 40% dijo que casi nunca hacen revisiones.

Los hackers y demás delincuentes lo saben y lo ponen en su punto de mira.

 

Cuando hablamos de víctimas por ataques de malware, el 58% son los pequeños negocios. Uno de los ataques que más ha crecido en los últimos años es el ransomware, con el cual los delincuentes secuestran los datos de las tarjetas de crédito de los usuarios a través de código en las páginas web afectadas hasta que se produce el pago para liberarlos.

Una de cada cinco empresas sufrieron un ataque de ransomware en 2017, creando pérdidas por valor de cientos de millones de dólares. En la mayoría de casos, cuando los empresarios plantean denunciar su situación, el consejo habitual es “págalo”.

Esta es la paradoja de la seguridad en Internet: la gran mayoría de pequeños negocios tienen un conocimiento muy limitado sobre seguridad web y destinan poco presupuesto a ello, de forma que facilitan los ataques contra sus sistemas, causando pérdidas económicas.

Pérdida financiera

Según la investigación de GoDaddy hecha a más de 1000 pequeñas y medianas empresas, casi la mitad admitieron haber sufrido una pérdida financiera tras ser hackeados, y uno de cada ocho encuestados dijeron que las pérdidas superaban los $5000. Y a veces, no se trata solo de dinero.

Daño reputacional

No solo dinero, sino también se produce daño reputacional o de imagen. Tres de cada 10 negocios que sufrieron un ataque cibernético reconocieron haber tenido que informar a sus clientes, perjudicando seriamente sus relaciones.

Listas negras

Una web que esté comprometida puede poner a la empresa en la peor situación posible: entrar en las listas negras de los motores de búsqueda o de las empresas de seguridad en Internet. Si eso ocurre, el tráfico de dicha web caerá en picado ya que los clientes no podrán ver tu web en los resultados de búsqueda.

Es el doble problema de la seguridad web: primero el hacker roba y luego la empresa no puede ganar dinero porque acaba siendo invisible para sus clientes.

Ahí es donde la paradoja crece y se hace más intensa. Quedar marcada y listada por poseer malware significa prácticamente cerrar la web del negocio; si no te marcan teniendo malware crea más facilidades a los hackers para encontrar vulnerabilidades.

GoDaddy reveló que en el 90% de los casos las webs infectadas no eran marcadas como nido de malware ni fueron clasificadas en listas negras. Eso significa que el dueño de la web seguía siendo blanco fácil para los hackers sin que él lo supiese.

Por ello, los empresarios necesitan ayuda.

 

Sabido lo anterior, desde GoDaddy aportamos el siguiente informe sobre seguridad web en las pequeñas empresas basado en nuestras propias investigaciones extraídas de nuestros clientes y de las experiencias de otras pymes. Tenemos una gran cantidad de datos al respecto, gracias en parte a la llegada de Sucuri, líder en detección y protección de páginas web, así como en ayudarlas a recuperarse después de sufrir un ataque.

Análisis forense de páginas web comprometidas

Un análisis de miles de páginas web revela datos esclarecedores sobre la facilidad que existe de que se produzca un ataque cuando las personas que se encargan del mantenimiento de una web bajan la guardia. Por ejemplo, de las más de 65 mil solicitudes a nivel global recibidas el año pasado pidiendo ayuda para solucionar los problemas de páginas web con su seguridad comprometida, la mitad tenían las herramientas o plataformas más comunes como WordPress, pero con el software desactualizado.

Una vez infectada, los hackers atacan toda la web, sus archivos y cualquier zona que puedan dañar. De media, el equipo de seguridad de GoDaddy limpia 110 archivos comprometidos por ataque, pero hay casos en los que la cifra superó los 35 mil archivos.

Los datos de GoDaddy muestran que no es suficiente si solamente se limpian los archivos.

 

Puertas traseras

Cuando consiguen infiltrarse en el sistema, los hackers suelen crear puertas traseras de forma que puedan volver a entrar en la plataforma incluso después de haber limpiado el malware. Estas puertas traseras podrían ser archivos escondidos en la web o archivos subidos en un directorio que contenga más archivos y se pueda camuflar. A través de estas puertas, un hacker experto puede hacerse con el control de una web entera.

Gráfico con datos de seguridad en Internet sobre cómo se distribuyen los ataques de malware
Según el análisis de las peticiones de limpieza web hechas por los clientes de GoDaddy, en el 83% de los casos los hackers crearon una puerta traseras.

SEO spam

Las puertas traseras no son la única amenaza real. El spam hecho para optimizar una web en los motores de búsqueda (SEO) solo logra mandar a los clientes a otra parte e incrementa el riesgo de entrar en las listas negras. Como muestra el gráfico, es uno de los favoritos de los hackers porque lo usan para redireccionar a los visitantes de una web hacia las webs con código malicioso. Con esta manipulación el hacker usa la web de un negocio pequeño como portal de acceso a la “dark web.”

Firmas con código malicioso

Los expertos en seguridad en Internet buscan el origen del malware y las firmas de los archivos para comprender a qué se están enfrentando. En 2017 la firma más común en las solicitudes relacionadas con limpieza de archivos se llamana rex.multi_var.004.

Gráfico con las 10 firmas de malware más destacadas en 2017

En ese último caso, el cliente comentó que algunos archivos estaban activos desde 2013. Otros pàrticipantes en el debate que se generó en nuestra Comunidad le dijeron que no tardase en escanear y eliminar los archivos infectados.

Entrar en listas negrasImagen con la lista de aplicaciones que más veces han metido en listas negras a las páginas web

Un motivo real de preocupación es que el malware puede distorsionar los resultados que se muestran en los motores de búsqueda como Google o Bing, o incluso meter en las listas negras aquellas webs cuya seguridad está comprometida. Según los datos de la investigación, el 10% de las webs que se limpiaron estaban antes en las listas negras.

Por verlo en números, de las 65 mil webs infectadas que analizó GoDaddy, 6500 estaban listadas, es decir, eran invisibles a los motores de búsqueda. Sin embargo, hubo una gran variación de criterio entre los motores de búsqueda y las empresas de seguridad en Internet que marcaban dichas web para que entrasen en listas negras.

Nota: En algunos casos, muchas empresas de seguridad mandaron esas páginas web a las listas negras, por eso en los resultados la suma sale una cifra superior al 100%.

Saliendo de la lista negra

El hecho de estar en listas negras supone una alerta para las pequeñas empresas de que su seguridad está amenazada y es el último lugar en el que cualquier negocio querría acabar. Los motores de búsqueda como Google escanean una cantidad enorme de dominios buscando malware, spam SEO y estafas a través de phishing. Si una web es sospechosa, se debe a que puede dañarla y hacerla invisible a los usuarios:

“Si Google mete en su lista negra una web infectada, esta queda literalmente fuera de la Red hasta que se arregle la página.” – Peter Jensen

Esto puede acarrear pérdidas de miles de dólares, pero no todo es blanco o negro en las causas que activan las alarmas. Cada motor de búsqueda o empresa de seguridad tiene su propio criterio. Por ejemplo, los datos sobre los clientes de GoDaddy revelaron que Norton y Site Adviser multiplicaban por tres el número de veces que salían las webs en listas negras.

Gráficos relacionados con las páginas web que entraron en listas negras en 2017

Para salir de esa zona, es necesario que las empresas destinen dinero para pedir a distintos profesionales de seguridad en Internet que les ayuden a limpiar sus archivos. Una vez eliminados el malware y demás software malicioso, se debe revisar que está todo preparado y protegido para evitar que los hackers puedan volver a colarse en el sistema a través de una puerta trasera o usando las contraseñas establecidas.

Luego, depende del motor de búsqueda hacer que la página web afectada mostrar la web en sus resultados, lo que puede llevar varios días, costándole al negocio perder clientes, ventas y reputación.

Rompiendo barreras sabiendo a qué enfrentarse

Los datos recogidos por GoDaddy mostraron que casi la mitad de las pequeñas empresas encuestadas en Estados Unidos admitieron hacer sufrido un ataque cibernético causado por malware, virus informático o phishing entre los más comunes. El ataque puede dirigirse a cualquier punto del negocio.

Gráfico con datos sobre aquellos elementos o factores comprometidos en materia de seguridad en Internet

Uno de cada tres encuestados informaron que su web estaba en el blanco de las miradas, aunque los hackers pueden atacar a varios lugares al mismo tiempo. El impacto es fuerte: la revista Security publicó que el 60% de los negocios hackeados cerraron sus puertas en los 6 meses posteriores al ataque. Esto se debe a la caída de ingresos sufrida, que puede arruinar a más de una empresa.

Por tanto, el coste real de ser hackeado puede ser perjudicial hasta límites insospechados.

 

Según la encuesta hecha por GoDaddy, 1 de cada 8 casos reconocieron pérdidas superiores a $5000.

Gráfico con las estimaciones de pérdidas tras un ataque informático

Un aspecto clave a considerar es cómo de seguras están las webs de las pequeñas empresas. Solo la mitad de los negocios encuestados usan un servicio de monitorización web, la mayoría de ellas protegidas mediante contraseña.

Gráfico sobre cómo protegen sus negocios los dueños de las empresas

El reto que marca esta idea es ver que los hackers tratan de vulnerar las páginas web usando cualquier truco. Y en ataques como el phishing, puede ser duro saber que tus contraseñas están en peligro cuando un hacker entra en tu sistema y crea una puerta trasera para entrar y salir a su gusto.

No debería sorprender que la primera preocupación de los desarrolladores web y los empresarios sea que su información financiera y cuentas bancarias estén en peligro tras un ataque.

Gráfico con datos sobre qué información preocupa que roben los hackers

Sin embargo, menos de la mitad de los encuestados declaran haber actualizado o cambiado sus datos bancarios tras un ataque informático. Siguiendo los datos de la investigación hecha, el 48% sí afirma haber cambiado sus datos. Un porcentaje mucho mayor (81%) afirma haber cambiado sus contraseñas.

Gráfico con la inversión de las empresas para protegerse frente a los hackers

Esto nos hace volver sobre nuestros pasos y dirigirnos a la paradoja de la seguridad web en los pequeños negocios. Las personas que las gestionan entienden qué riesgos hay, pero no tienen ni la experiencia ni el dinero para estar plenamente a salvo. Según la investigación, 1 de cada 5 empresas no invierten dinero en seguridad online, mientras que el 4% se gasta más de $1000.

Gráfico con la frecuencia de análisis de vulnerabilidades de las empresas

De igual forma, solo tres de cada 10 afirman hacer análisis semanales de su web buscando vulnerabilidades. Dadas las exigencias que tienen los negocios, es entendible que la seguridad no sea una prioridad, pero sí refuerza la idea de que los servicios de monitorización y detección pueden ahorrarle a las empresas más de un disgusto en forma de ataques letales.

El enfoque “perro ladrador y gato dormilón” para proteger una página web

La ciberseguridad no trata de prevenir riesgos. Eso no es posible. Se trata de reducir el riesgo. Es comprensible que las empresas hagan de todo y les resulte difícil focalizarse en la seguridad, no resulta una prioridad. Pero tomar pequeñas medidas sí puede marcar la diferencia.

Es tan simple como el ejemplo de un ladrón que se queda mirando a dos casas para determinar cuál debe robar. En una de ellas hay un perro ladrando sin parar. En la otra, un gato durmiendo. La elección es obvia.

Gastarse algo de dinero en seguridad en Internet puede marcar la diferencia.

 

Con el servicio de Seguridad web de GoDaddy puedes conseguir un producto que detecta y recupera aquellos archivos donde se identificó riesgos para tu web, además de mitigar el efecto de cualquier ataque y ayudar a la recuperación de la web en poco tiempo.

Independientemente de las herramientas usadas, es importante mantenerse al tanto en ciberseguridad. Una pequeña empresa que abre su propia web llega a la culminación de su sueño. La investigación hecha muestra que este logro libera a los dueños del negocio para que trabajen como quieran, donde quieran, cuando quieran. Es desgarrador comprobar que un hacker puede acabar con ese sueño en segundos.

Si bien la ciberseguridad será durante mucho tiempo un juego de gatos y ratones, hay avances a la hora de contener a los hackers. Se están introduciendo nuevas estrategias en materia de ciberseguridad, que incluyen hacer que las herramientas usadas sean tan fáciles de adquirir como descargar una canción en iTunes.

Trabajando de la mano empresarios, proveedores de dominios, desarrolladores y expertos en cibernética, pueden mantener Internet a salvo de los piratas informáticos.

Sobre los datos de este informe de seguridad en Internet

Imagen de una mujer trabajando con su portátil con libretas a su lado

El equipo de seguridad de GoDaddy analizó las solicitudes de clientes de pequeñas empresas para limpiar sus webs infectadas desde mayo de 2017 hasta marzo de 2018. GoDaddy intenta informar regularmente sobre los datos que obtiene con el objetivo de brindar a las pequeñas empresas y expertos en seguridad la máxima ayuda para mejorar su seguridad.

GoDaddy encargó a la empresa Morar que encuestara a 1.012 negocios de EE. UU. para conocer sus actividades y perspectivas sobre seguridad. La investigación, realizada entre el 24 de mayo de 2018 y el 30 de mayo de 2018, encuestó a empresas de cinco o menos empleados. Este informe está disponible bajo demanda.

Tony Perez
Tony Perez is the General Manager and Vice President of GoDaddy’s Security Product Group. He is responsible for managing GoDaddy Security, Sucuri, and Media Temple Security brands. Tony leads a diverse and global team spanning over 20 countries from sales agents to software engineers. As a two-time business founder, Tony combines his understanding of the needs and concerns of small businesses with his expertise in cyber security products and services. Previously, Tony was the Vice President of Product Management for Sucuri under GoDaddy, Co-Founder, CEO, and COO of Sucuri Inc., Co-Founder and COO of CubicTwo LLC, and served as a US Marine.