- El 43% de los ciberataques se dirigen a pymes, muchas sin protección adecuada.
- Solo el 17% de las pequeñas empresas cuenta con ciberseguro.
- El verano y el uso de IA elevan los riesgos de seguridad digital.
- Reforzar la cultura de ciberseguridad interna es vital para prevenir incidentes.
La temporada estival puede ser sinónimo de relax para muchas pequeñas empresas, pero también representa un momento ideal para los ciberdelincuentes. Con menos personal disponible, menor vigilancia técnica y una falsa percepción de seguridad, las pymes son objetivos cada vez más frecuentes de ataques informáticos, especialmente en un contexto donde los ciberataques no discriminan por tamaño ni ubicación.
Un reciente análisis apunta a una clara desconexión entre la percepción de seguridad de las pymes y su preparación real. En muchos casos, los responsables creen estar a salvo simplemente por no considerarse relevantes para los criminales digitales, obviando que los ciberataques han dejado de ser selectivos y se han democratizado gracias a herramientas automatizadas, disponibles incluso en la dark web.
El verano: una ventana abierta para los atacantes
En los meses de verano se produce un descenso generalizado en la actividad de los equipos de IT, lo que reduce la capacidad de respuesta ante amenazas. La conexión desde ubicaciones no habituales —como segundas residencias, cafeterías públicas o aeropuertos— agrava el riesgo, sobre todo si se emplean redes WiFi abiertas o dispositivos mal protegidos.
Este entorno propicia un incremento de suplantaciones de identidad mediante ingeniería social. La rotación de personal y las sustituciones improvisadas facilitan ataques que simulan situaciones urgentes, como cambios de cuentas bancarias o solicitudes de acceso, que pueden pasar desapercibidas fácilmente.
Otro punto crítico es la automatización de amenazas: existen bots diseñados para explotar vulnerabilidades conocidas y que actúan especialmente cuando detectan una bajada de actividad en los sistemas, como suele ocurrir en el verano.
Un panorama más hostil con ataques cada vez más sofisticados
Actualmente, ya no es necesario ser un experto para lanzar un ciberataque. Plataformas como el “Ransomware as a Service” o “Hacking as a Service” permiten comprar herramientas listas para ser usadas por cualquier persona con intenciones maliciosas. Esta situación ha puesto en jaque a muchas pequeñas empresas, normalmente con menos recursos y conocimientos para hacerles frente.
Según diversos estudios, el 43% de incidentes informáticos afecta directamente a pymes, que muchas veces no sobreviven al impacto: más del 60% acaban cerrando en los seis meses posteriores a un ataque relevante.
El coste medio de un ataque, según IBM, ronda los 4,91 millones de dólares en 2024, incluyendo rescates, interrupción del negocio, pérdida de confianza de clientes y posibles sanciones legales.
Una cultura de prevención aún en construcción
Uno de los fallos más recurrentes es la escasa formación en ciberseguridad del personal. En muchas pymes, los empleados son la primera —y a veces la única— línea de defensa, pero sin formación adecuada sobre amenazas como phishing, vishing o malware.
Además, es frecuente encontrar infraestructuras desactualizadas, con equipos sin parches de seguridad o redes mal segmentadas. Esto amplía la superficie de exposición a posibles intrusiones.
La falta de herramientas para entornos móviles, la carencia de soluciones como MTD o directrices claras sobre el uso de dispositivos personales también son puntos débiles habituales.
El bajo nivel de aseguramiento agrava la situación
Un dato preocupante señala que apenas el 17% de las pymes disponen de un seguro cibernético. Esto pese a que casi la mitad de las pequeñas empresas —con menos de 10 millones de euros de facturación— fueron víctimas de ataques en 2024.
Esta cifra se debe, en parte, a que contratar una póliza suele requerir haber implementado medidas de seguridad concretas como MFA, EDR, backups, formación y respuesta ante incidentes de seguridad (IRP) documentada. Muchas pymes aún no cumplen con estos requisitos.
Una amenaza emergente: ataques dirigidos a asistentes de IA
La aparición de técnicas diseñadas para manipular asistentes de inteligencia artificial, como la recientemente descubierta en Gemini (IA de Google), abre una nueva vía de ataque donde el usuario no es la víctima directa, sino su propia herramienta digital.
En estos casos, un mensaje aparentemente inocente contiene instrucciones ocultas dentro del código que la IA lee y ejecuta sin que el usuario lo sepa. Así, pueden engañar al asistente para que recomiende links o acciones fraudulentas como parte del resumen de correo.
Google ha empezado a implementar medidas de protección como filtros de contenido malicioso y validaciones manuales, pero estos sistemas tardarán en estar disponibles para todas las cuentas. Mientras tanto, se recomienda una vigilancia activa y verificación manual de los mensajes resumidos por IA.
Cómo fortalecer la postura de ciberseguridad de una pyme
Frente a este panorama, los expertos coinciden en que hay que reforzar la cultura digital y adoptar medidas de ciberseguridad adaptadas a las capacidades reales de cada empresa:
- Sistemas actualizados y respaldos constantes: para mantener protegidos los datos ante vulnerabilidades o pérdidas.
- Soluciones asequibles para pymes: Existen herramientas adaptadas, como antivirus con gestión centralizada o firewalls simplificados para negocios pequeños.
- Evaluación y mejora continua: Revisar regularmente los sistemas de protección, aprendiendo de incidentes pasados.
- Aliarse con proveedores externos: MSPs y expertos en auditorías de seguridad pueden optimizar los recursos sin grandes costes.
- Formación constante: La concienciación frente a tácticas de ingeniería social es clave para evitar intrusiones.
Las pymes que integran la seguridad desde el diseño de sus procesos reducen sus riesgos, fortalecen su competitividad y mejoran su reputación, además de facilitar su crecimiento de forma sostenible.
