José E. López García

En los últimos años, las pymes españolas han avanzado claramente en su concienciación frente a las ciberamenazas. Sin embargo, ese avance todavía no se traduce en un nivel de protección acorde al riesgo real. La sensación general es clara: la pyme sabe que está más expuesta que nunca, pero no cuenta con los recursos, el tiempo o el conocimiento necesarios para protegerse adecuadamente por sí sola. La pyme es más consciente del riesgo, pero sigue sin estar protegida al nivel que exige la realidad. Una pyme más preocupada, pero aún poco protegida La mayoría de las pymes reconoce que no se siente preparada para afrontar un incidente serio de ciberseguridad. Diversos estudios, como los de la aseguradora Hiscox y el Observatorio Nacional de las Telecomunicaciones y de la Seguridad de la Información (ONTSI), indican que menos del 30% de las pymes españolas dispone de una estrategia de ciberseguridad madura y probada. Y alrededor del 70% admite tener sus planes solo parcialmente implementados. Las barreras son conocidas: falta de recursos económicos (35%) y escasez de formación o conocimiento especializado (29%). Además, se repite una peligrosa paradoja. Las pymes adoptan nueva tecnología y digitalizan procesos, pero esa evolución no va acompañada de la necesaria adecuación de sus capacidades de protección. Menos del 30% de las pymes españolas cuenta con una estrategia de ciberseguridad madura y probada. El mismo estudio de ONTSI, o este otro de INDESIA, muestra que aunque la digitalización avanza de forma sostenida, solo entre un 20% y un 30% de las pymes cuenta con una estrategia definida de ciberseguridad. Por ejemplo, en el ámbito de la IA, el contraste es aún más evidente: mientras el 82% de las pymes ya la utiliza, solo el 31% ha integrado la ciberseguridad en su estrategia tecnológica. Las pymes; un objetivo frecuente… y con impacto real Las pymes se han convertido en un objetivo prioritario para los ciberdelincuentes. El estudio de Hiscox nos dice que el 60% de las pymes ha sufrido al menos un ciberataque en el último año y que más de la mitad ha sufrido hasta 10 incidentes en ese periodo. El problema no es solo la frecuencia, sino el impacto real para la pyme: uno de cada tres ataques ha llegado a poner en riesgo la viabilidad del negocio y el 38% de las empresas afectadas reconoce un deterioro de su actividad tras el incidente. Y es que el sector estima que el coste medio de un ciberataque en una pyme ronda los 75.000 euros. Uno de cada tres ataques ha llegado a poner en riesgo la viabilidad del negocio de una pyme. Un problema estructural que irá a más En 2024, INCIBE gestionó cerca de 100.000 incidentes de ciberseguridad, un 17% más que el año anterior, y casi el 30% afectaron a empresas de cualquier tamaño. Por otra parte, la empresa de ciberseguridad Sophos afirma que el ransomware concentra el 70% de los incidentes graves en pequeñas empresas. Manteniéndose como uno de los principales vectores de ataque. Las numerosas consultorías de ciberseguridad realizadas por Telefónica Tech a pymes, dentro del programa Kit Consulting de Fondos Europeos, ponen de manifiesto una brecha recurrente entre la percepción de seguridad y la realidad. Sorprende la frecuencia con la que se identifican vulnerabilidades en la identidad digital y contraseñas débiles. Además, los vectores de entrada han evolucionado y ya no basta con disponer de un antivirus. Es necesario proteger correo, accesos remotos y red con soluciones avanzadas y monitorización continua. Ya no basta con tener un antivirus. Qué necesitan las pymes Cuando se analiza qué demandan las pymes en materia de ciberseguridad, las prioridades son claras: coste y soporte. Las pymes demandan soluciones ajustadas a su tamaño, con modelos de pago predecibles y sin complejidad innecesaria. Al mismo tiempo, valoran el acompañamiento de un socio de confianza que gestione su seguridad sin que la empresa tenga que convertirse en experta en ciberseguridad. La falta de equipos internos especializados hace que el soporte, la cercanía y la proactividad sean claves en este acompañamiento. De la ciberseguridad básica al servicio gestionado La evolución de programas públicos de ayuda como Kit Digital ha permitido que soluciones antes reservadas a la gran empresa estén hoy al alcance de la pyme. Así se ha logrado crear un contexto favorable para que den un salto en su madurez en ciberseguridad. Servicios avanzados como MDR (Managed Detection and Response) o SOC (Security Operations Center) ya pueden ofrecerse bajo modelos llave en mano, con gestión externalizada y costes asumibles. Esto encaja con la tendencia hacia una seguridad como servicio (SECaaS), que permite a la pyme centrarse en su negocio mientras un equipo especializado se encarga de la protección. Las prioridades de la pyme en ciberseguridad son claras: coste y soporte. Lo que viene: regulación, IA y seguridad como servicio De cara a los próximos años, la regulación, la inteligencia artificial y la consolidación de la seguridad como servicio marcarán la agenda de la ciberseguridad en la pyme. La directiva NIS2 ampliará el número y tipo de organizaciones sujetas a requisitos más estrictos de seguridad, obligando a muchas empresas a revisar su gestión de riesgos, sus políticas de continuidad de negocio y sus capacidades de detección y respuesta en plazos muy ajustados. La ciberseguridad avanzada ya no es solo cosa de grandes empresas. En paralelo, la inteligencia artificial seguirá incorporándose tanto al lado defensivo como al ofensivo: fabricantes y proveedores de servicios utilizan IA para mejorar la detección, automatizar la respuesta y reducir costes operativos, mientras que los atacantes la emplean para sofisticar campañas de phishing, generar contenido fraudulento y explotar vulnerabilidades a gran escala. Por último, el ya mencionado modelo SECaaS, permitirá que más pymes accedan a niveles de protección avanzados sin necesidad de construir equipos internos especializados. La seguridad como servicio permite a la pyme centrarse en su negocio. Conclusión: más conciencia, ahora toca actuar La fotografía actual de la pyme española en ciberseguridad muestra una evolución positiva en concienciación, pero también evidencia que el nivel de protección sigue lejos de lo deseable frente al riesgo real. El mensaje de fondo es que la pyme ha dado el primer paso al reconocer el problema; ahora necesita traducir esa preocupación en acciones concretas: diagnósticos especializados, adopción de servicios gestionados y prioridad real de la ciberseguridad en la agenda de negocio. Solo así será posible transformar la mayor concienciación en un nivel de protección acorde a los desafíos actuales y futuros. La preocupación debe traducirse en decisiones concretas. Telefónica Tech Kit Consulting: las nuevas ayudas para pymes que debes conocer