Para luchar contra esta situación, el Instituto Nacional de Ciberseguridad (Incibe) está desarrollando distintas medidas de concienciación, entre ellas la creación de un videojuego que enseña a las pymes a detectar sus vulnerabilidades y lo importante que es protegerse y evitar fugas de información.

El protagonista de Hackend: Se acabó el juego, es Max, un pequeño empresario que se enfrenta a nueve situaciones que imitan la vida real en las que se ve comprometida la seguridad de su empresa. A lo largo de las pantallas los jugadores pueden descubrir cuáles son las principales vías de acceso de los hackers en el sistema informático de su negocio y la importancia de, por ejemplo, cambiar las claves de forma habitual, invertir en antivirus o no conectarse a redes wifi sin protección.

Cada misión que se presenta simula una situación en el día a día de una pyme: la elaboración de un presupuesto, el uso del correo electrónico y la presentación de un producto en un congreso, entre otras. La compañía sufre ataques como el robo de la base de datos de clientes, se infecta con un troyano, acceden a sus sistemas sin permiso y reciben cargos en el banco sin haber comprado nada. En cada caso el jugador tendrá que identificar lo que ha fallado, poner remedio y capturar al hacker. Este juego ha recibido el premio al mejor serious game del año en el Fun & Serious Game Festival de Bilbao, donde también fueron galardonados otros como Uncharted 4, Watch Dogs 2, FIFA 17 y Pokémon GO. Está disponible tanto en una versión web como para smartphones y ordenadores de Windows y Mac.

Se trata de una aventura gráfica muy intuitiva que tiene como objetivo principal concienciar a los pequeños empresarios de la importancia de protegerse ante los ciberataques. Los expertos aseguran que las pymes aún no han entendido los riesgos del ciberespacio y que viven ajenas a los ataques “aún cuando sus consecuencias pueden ser imprevisibles para sus cuentas de resultados y su reputación”. El problema no es la inversión económica o la falta de recursos tecnológicos, sino que muchas empresas aún no ven la necesidad de escudarse.

Según Adolfo Hernández, cofundador de Thiber, un centro de estudios español dedicado a la ciberseguridad, las grandes compañías financieras, aeroespaciales, de telecomunicaciones, de servicios relacionados con las tecnologías de la información, energéticas o de defensa muestran un mayor nivel de concienciación ante las ciberamenazas. Esto se refleja en una preparación y unos presupuestos destinados a ciberseguridad más grandes. “En el sector industrial se percibe un nivel de madurez menor, con una gran diferencia entre aquellas compañías que ya han sufrido algún ciberincidente y, por lo tanto, se han visto obligadas a mejorar su postura defensiva; y aquellas que no han sido atacadas o lo están siendo y no lo han detectado”, explica Hernández.

Los ataques a empresas tienen cada vez consecuencias más nefastas. En España las pérdidas anuales solo por robos de información alcanzan los 482 millones de euros, según un estudio de 2013 del fabricante de antivirus Symantec. A esto hay que añadir los sabotajes en la red, accesos sin autorización, descubrimiento y revelación de secretos y falsificación de documentos, que son otros delitos cada vez más comunes.

En 2015, las compañías de uno a 250 empleados fueron las principales dianas para los ataques de spear phishing, una estafa focalizada por correo electrónico cuyo principal objetivo es obtener acceso no autorizado a datos confidenciales como propiedad intelectual, datos financieros y secretos comerciales o militares para después venderlos.

Con estos ataques cada vez más perfeccionados y específicos, los expertos de Symantec recomiendan “estar preparados para lo peor”. Y aunque puede parecer una afirmación derrotista, lo cierto es que en un mundo cada vez más interconectado ya no hay que preguntarse si se va a ser víctima de un ataque, sino cuándo sucederá y qué se puede hacer para sea lo menos dañino posible.