Conforme se acerca el fin del año, la población en general es más propensa a realizar compras festivas. Y aunque la Navidad dispara las compras online, también impulsa las estafas digitales. Solo el año pasado, los fraudes digitales llegaron a perjudicar a 304.746 personas, de acuerdo con el Informe sobre la Cibercriminalidad en España 2024, elaborado por la Oficina de Coordinación de Ciberseguridad (OCC). Pero la ciberdelincuencia no afecta únicamente a personas físicas. Abordar la ciberseguridad para pymes se ha vuelto tan crucial como proteger al consumidor individual.
A grandes rasgos, las pequeñas y medianas empresas se han convertido en un objetivo de alto valor para el crimen organizado. Los ciberdelincuentes saben que estas empresas suelen contar con menos recursos y personal especializado, lo que las convierte en blancos fáciles y rentables para ataques. Por esa razón, la seguridad para pymes debe ser una prioridad.
Las pymes, primer objetivo de los ciberdelincuentes
Este año, 1 de cada 4 empresas (24%) ha sido víctima de un ataque de ransomware, lo cual evidencia un aumento preocupante en relación al año pasado, cuando esta cifra alcanzó el 18,6%. Ahora bien, ¿a qué se debe este cambio? Principalmente, a los siguientes factores, para los cuales hemos tomado como referencia el reciente informe de Hornetsecurity, Tendencias en ciberseguridad para 2026.
Errores humanos, el principal riesgo
Cada año crece el número de ciberdelincuentes dispuestos a cometer actos malintencionados a la mínima oportunidad. Sin embargo, resulta que la responsabilidad principal de que esto pueda ocurrir recae en las personas.
Así lo afirma Proofpoint, plataforma de ciberseguridad que se centra en proteger a las personas, los datos y las marcas frente a las amenazas avanzadas. Basándose en la experiencia del 66% de los CISOs, son las propias personas las que abren la puerta a los ciberdelincuentes, mediante la fuga de datos y falta de compromiso interno.
La IA, también motor de la ciberdelincuencia
Con la aplicación de la inteligencia artificial en todos los sectores y ámbitos, resulta evidente que los ciberdelincuentes no iban a tardar en subirse al tren de las nuevas tecnologías. Tal es así que más de tres cuartas partes de los CISOs (77%) han apreciado un aumento en el uso de phishing impulsado por IA.
No obstante, de momento, el phishing tradicional sigue siendo el vector principal de ataque en casi la mitad de los casos.
“Falsa conformidad”, un check ficticio
A pesar de los retos crecientes, esto no quiere decir que las pequeñas y medianas empresas los estén ignorando. Muchas, de hecho, cumplen con cierto nivel superficial de conciliación en ciberseguridad (en este sentido, una de las opciones más populares son las formaciones “check-box«).
Y aunque la intención es buena, si posteriormente no existe un seguimiento adecuado puede derivar en el aumento de errores humanos, especialmente en las circunstancias en las que hablamos de ingeniería social.
Buenas prácticas de seguridad para pymes
Tras analizar el contexto actual, conviene hacer una diferenciación entre los dos grandes pilares que sostienen la seguridad para pymes: por un lado, la seguridad digital y protección de los dispositivos, que se enfoca en proteger la infraestructura tecnológica y los datos; y, por otro lado, la cultura preventiva, el factor humano que se centra en concienciar a los empleados de la necesidad de crear una primera línea de defensa.
De hecho, esta última es la primera que debemos tener en cuenta e implementar, pues es la que nos asegurará en el 95% de los casos.
Seguridad digital y de los dispositivos
Al pensar en prácticas de seguridad para pymes que pueden realizar este tipo de negocios, lo más habitual es que consideren medidas digitales. Si podemos enfrentarnos a riesgos digitales, ¿qué mejor idea que proteger los dispositivos que utilizamos en nuestro día a día?
Ante la necesidad de protegerse, las pymes deben implementar varias capas de defensa:
Autenticación de doble factor
Utilizar únicamente una contraseña no es suficiente, por muy segura que sea. Añadir una capa extra de seguridad para pymes a través de una segunda verificación (como los códigos OTP) dificulta enormemente los accesos no deseados.
Software y sistemas operativos actualizados
Muchas veces olvidamos actualizar el software y el sistema operativo de los dispositivos que empleamos, como el móvil o el ordenador. No por nada en específico, sino porque, con el día a día, no solemos estar pendientes de cuándo debemos actualizarlo. Esto es un gran problema, ya que las actualizaciones, a menudo, incluyen parches de seguridad que corrigen errores o vulnerabilidades que los ciberdelincuentes podrían explotar.
Controlar el acceso a la información
Cada usuario debe tener su propia cuenta individual, así como establecer permisos de acceso para cada puesto, siguiendo el principio de “mínimo privilegio” (acceso solo a lo estrictamente necesario para su trabajo).
Realizar copias de seguridad
Regularmente se deben realizar copias de seguridad automáticas y cifradas, almacenadas en un lugar seguro (idealmente fuera de la red de la empresa), para poder recuperar los datos en caso de que se pierdan o sean borrados por ransomware o fallos técnicos.
Proteger los dispositivos portátiles
Para ordenadores, tablets y móviles que se utilizan fuera de la oficina, es fundamental el cifrado de disco para que la información sea ilegible si el dispositivo es robado o se pierde. También es recomendable el uso de sistemas de borrado remoto.
Bloquear dispositivos
Una práctica muy fácil de realizar que puede ayudar a cualquier empleado. Cuando dejen de utilizarlo (por ejemplo, al ir al servicio o calentar la comida) conviene bloquear los ordenadores y dispositivos móviles.
Cultura preventiva
El término cultura preventiva, también denominada como “cultura de la seguridad”, se refiere al conjunto de creencias compartidas y actividades que realizan los miembros de una empresa llevan a cabo para garantizar el bienestar de todos los empleados. Se trata de un compromiso que nace de la búsqueda de la seguridad, la promoción por el bienestar digital y salud, conociendo, para ello, las amenazas y consecuencias a las que podríamos enfrentarnos.
Aunque la cultura preventiva no se enfoca necesariamente al entorno digital y también se mueve alrededor de la prevención de riesgos laborales, sí es cierto que ha sido especialmente a partir de la última década cuando han tomado protagonismo las medidas preventivas destinadas a proteger a los trabajadores de ciberdelincuentes.
En la práctica, algunas de las medidas llevadas a cabo para fomentar la cultura preventiva dentro de la empresa son:
- Formar a los empleados. Todo comienza por concienciar a los trabajadores sobre a qué pueden enfrentarse y cuáles pueden ser las consecuencias. Una vez comprendidos los riesgos, hay que capacitarlos para que reconozcan situaciones de peligro o amenazas y sepan cómo reaccionar ante ellas. Pero no basta con formarlos: muchas empresas se han formado en ciberseguridad, pero a la hora de la verdad resultaba insuficiente o ineficaz. Para intentar evitar llegar a esto, las sesiones deben ser regulares, actualizadas conforme a las nuevas tendencias de ataque y adaptadas a cada rol o empresa.
- Establecer protocolos. Conviene plasmar por escrito políticas claras de seguridad y de respuesta a incidentes, tal como ya están realizando 8 de cada 10 empresas al contar con un Plan de Recuperación ante Desastres. Además, ponerlo en práctica mediante simulacros puede ayudar a que, cuando nos enfrentemos a una situación real, actuemos con más agilidad.
Ciberseguridad como doble defensa para las pymes
Para construir una buena defensa, las PYMES deben abordar la seguridad desde una perspectiva dual: invirtiendo en infraestructura tecnológica (seguridad digital) e invirtiendo en interiorizar en su núcleo una cultura preventiva. Factores digitales como la combinación de sistemas actualizados, copias de seguridad cifradas o la autenticación de doble factor, junto con una plantilla bien formada, es la única manera de reducir significativamente el riesgo a fraudes o estafas financieras.
Herramientas digitales como las que ofrece Viafirma facilitan esta doble capa de seguridad, por ejemplo, al requerir doble factor de autenticación para la firma de documentos importantes.
Así, la ciberseguridad no debe verse como un coste, sino como una inversión esencial en la seguridad para pymes del negocio, la confianza del cliente y la supervivencia de la pyme en el ecosistema digital.
Información relacionada
Seguridad digital: doble factor de autenticación
¿Alguna vez has escuchado hablar del doble factor de autenticación? En este artículo te explicamos cómo funciona, su importancia, principales...
5 formas de proteger tu identidad digital
Compartimos 5 formas de proteger tu identidad digital con hábitos de comportamiento seguro en la red
Las 14 Principales Vulnerabilidades de Seguridad en Sistemas
Las 14 principales vulnerabilidades de seguridad