La cosa esta peor de lo que pensamos...

👻 La Newsletter de @weareDMNTRs 👻

Como profesionales de IT o ciberseguridad, tendemos a rodearnos de personas que hablan el mismo idioma técnico que nosotros. Estamos constantemente al tanto de las últimas vulnerabilidades, de las soluciones más innovadoras o de las herramientas de última generación. ¡Es más, en esta newsletter nos dedicamos a eso del hype, a crear necesidades continuas!

Sin embargo, esto nos lleva a un problema: la desconexión TOTAL con la realidad de muchas pequeñas y medianas empresas, las llamadas PYMES.

Y antes de seguir déjame que te diga algo, pertenecen a este segmento todas las empresas que tienen menos de 250 trabajadores y facturan menos de 50 millones de euros al año o tienen un balance general inferior a 43 millones de euros. O sea, creo que el 100% de mis clientes pertenecen a este segmento.

¡Sigamos! Debido a nuestra sobreinformación, es fácil pensar que todo el mundo está avanzando al mismo ritmo que nosotros. Nos impresionan las nuevas tendencias, desde la IA aplicada a la ciberseguridad hasta soluciones de Zero Trust, y creemos que al resto de la humanidad le impresionan tanto como a nosotros. Y te voy a descubrir algo: NO. Ni les impresiona igual, ni les interesa siquiera. CERO. NOTHING. RIEN DE RIEN.

La realidad es que muchas PYMES, de estas que facturan muchos millones de euros al año, siguen ancladas en sistemas que a nosotros nos parecen obsoletos. No obsoletos, nos parecen directamente prehistoricos. Muchas PYMES siguen operando con sistemas operativos que datan de hace más de dos décadas. Todavía te encuentras el “famoso” Windows 2003 Server en muchas de ellas, ese viejo guerrero que muchos administradores no han querido, o no han podido, jubilar.

Que te voy a contar del Contaplus y el Facturaplus, ese duo inseparable que, a pesar de los intentos de Sage por jubilarlos, siguen rodando, mientras todos hacemos malabares para mantenerlos compatibles con los entornos actuales.

Quizás sea un secreto a voces, pero no deja de sorprender: Windows XP y Windows 7 todavía están presentes en muchas oficinas y muchas fábricas. A menudo nos preguntamos por qué estas empresas no han actualizado, pero la respuesta muchas veces es la misma: “funciona, ¿por qué cambiarlo?”. Aquí nos encontramos con un gran enemigo de la evolución tecnológica: la comodidad.

También se da el caso peculiar de: "esta máquina solo funciona con esto". ¿Y aquí qué haces? Si la máquina de plegar acero que la empresa compró hace años sigue funcionando con Windows XP, te va a tocar mantener esa vieja máquina con Windows XP y acumular repuestos de la placa base por si las moscas... ¡Y encima el disco es IDE!

En cuanto al panorama de ciberseguridad, en estas empresas muchas veces hablamos de precariedad... Bueno, a ver, seamos realistas: es SIEMPRE PRECARIO. En lugar de robustos firewalls, las empresas confían en que el router del operador los salve de los problemas. La segmentación de redes suena como algo pijo, difícil e innecesario, y la idea de una VPN corporativa es algo que, si existe, probablemente funcione solo a medias. ¡Pero si puedes usar el Teamviewer o el Anydesk gratis!

Muchas veces hablamos de las amenazas avanzadas y los actores maliciosos que pueden comprometer grandes infraestructuras. Sin embargo, olvidamos que muchas de estas PYMES ni siquiera tienen lo básico cubierto. Esto no solo las convierte en objetivos fáciles, sino que, en un mundo donde las cadenas de suministro están interconectadas, su vulnerabilidad afecta a toda la red de empresas con las que interactúan.

Estas empresas no se aferran a tecnologías antiguas por nostalgia, sino porque, muchas veces, cambiar un sistema implica un riesgo para su operación diaria. Y si una solución tecnológica funciona, aunque esté desfasada, ¿por qué arriesgarse a actualizar? Lo que nosotros vemos como un problema, ellos lo ven como una solución que no necesita ser tocada.

Y aquí, gran parte de la culpa recae en la falta de educación sobre la importancia de la actualización continua. En muchas PYMES, las decisiones sobre tecnología se toman de manera reactiva, no proactiva. No hay una cultura de mejora continua en ciberseguridad y, en lugar de planificar actualizaciones, se espera a que el sistema falle o se quede completamente obsoleto antes de actuar.

Pero, también tenemos que entonar el mea culpa, ya que otras veces la culpa recae en nosotros mismos, los de IT. Hace poco he visto cómo un proyecto de ERP se tiraba atrás, después de casi un año de desarrollo, por la inutilidad manifiesta del equipo de integración para darse cuenta de que la empresa no podía funcionar como ellos idealmente querían que funcionara... Y sí, se ha vuelto a un precario software en dBASE IV. De locos pero real. ¡Así funciona esto!

Además, hablamos continuamente de lo último en seguridad y control de riesgos. Pero hay que admitir que a veces nos desconectamos de la realidad de estas empresas, que operan con lo que tienen y donde la seguridad es más un lujo que una necesidad.

La realidad es que este tipo de prácticas no solo afectan a la empresa en cuestión. Cualquier empresa conectada a una PYME que no esté adecuadamente protegida está en riesgo. La seguridad, al final, es tan fuerte como el eslabón más débil, y muchas veces esas debilidades vienen de estas empresas que todavía confían en sistemas antiguos y soluciones rudimentarias. Los "ataques de cadena de suministro" tan de moda últimamente.

Y la solución no es fácil. Obligar a una PYME a invertir en tecnología no es tan sencillo, especialmente cuando su prioridad es seguir siendo rentable, cosa que a veces es casi una heroicidad. Pero podemos empezar por educar, mostrar los riesgos reales de seguir operando de esta manera, y ofrecerles soluciones accesibles y progresivas para que mejoren su seguridad sin desestabilizar su operación. ¡Y aquí debemos ser flexibles todos!

A ver, te voy a ser sincero. Si llamas a la puerta de una PYME que ha funcionado así toda su vida y lo primero que le dices es que tiene que gastar 20K en un UTM o cosas así, ya te digo yo que no vas a vender nada. La cosa es ir poco a poco, ir solucionando lo más grave y educando al cliente en esta nueva realidad. Pasar de 0 a 100 te va a costar tiempo.

Estamos peor de lo que pensamos, porque aunque en nuestra burbuja todo parece avanzar a pasos agigantados, fuera, en muchas PYMES, el tiempo parece haberse detenido. Y es nuestra responsabilidad ayudarles a salir de ese estancamiento, antes de que el paso del tiempo les juegue una mala pasada.

¡Feliz Domingo!

🔗 Newsletter patrocinada por: 🔗

Protecting what matters most

🔊 Llámalo podcast... 🔊

El contenido de esta semana:

T2 Episodio 15: ¡El fin del mundo! ¡Lo de CUPS! -> https://pod.link/1721508436/episode/cf9d5b00024f5d39547ea53019e0adf6

T2 Episodio 16: El mundo es MUY GRANDE -> https://pod.link/1721508436/episode/86c089529d639dc1b520794ff8843ef2

T2 Episodio 17: Nuclei y el CLI -> https://pod.link/1721508436/episode/2af489b613a107e00bb15591bbbdbe99

Todos aquí: https://pod.link/1721508436

🔗 Cajón desastre... 🔗

Los enlaces que he ido recopilando:

LaLiga recibe la peor noticia. Cloudflare ha reactivado ECH a lo grande y eso hace las webs imbloqueables. ¡Que prohiban Internet!

Un CISO en tu WhatsApp ahora entrenado con Llama 3.2 90B que responde tus dudas de infosec. No lo he probado aún...

Rusia prohibirá Discord: casi 40 millones de personas entre jugadores y desarrolladores quedarán incomunicados.

¿Qué está pasando con Banco Santander? Usuarios reportan una "notificación de inversión" que no han hecho.

Alert: Over 700,000 DrayTek Routers Exposed to Hacking via 14 New Vulnerabilities. ¡Actualiza!

Y fin...

Pues nada, otro domingo que cumplimos, como debe ser. ¡Haz cosas y te pasarán cosas!

Esta próxima semana estaré preparando la charla en el ICT Solutions Day, entre otras 15 mil cosas...

Seguimos hablando por los canales habituales: Twitter y Telegram.

Por cierto, si quieres puedes invitarme a un cafelito. ☕☕☕

¿dBASE IV? ¿Pero eso existe?