Seguridad informática para PYMEs: lo que no puede faltar

El 43% de los ciberataques van dirigidos a pequeñas y medianas empresas. No porque sean objetivos más interesantes que las grandes, sino porque suelen ser más fáciles: menos controles, menos recursos dedicados a seguridad y más confianza en que «a nosotros no nos va a pasar».

Estos son los 6 controles básicos que reducen drásticamente ese riesgo. No requieren grandes inversiones ni un equipo técnico especializado.

Por qué las PYMEs son objetivo frecuente de ataques

La mayoría de ataques a PYMEs no son ataques dirigidos. Son ataques automatizados que escanean internet buscando sistemas con vulnerabilidades conocidas, contraseñas débiles o configuraciones por defecto.

El perfil habitual de víctima no es la empresa más pequeña ni la más grande: es la que tiene sistemas expuestos y sin actualizar, contraseñas reutilizadas en varios servicios y sin ningún sistema de detección de accesos no autorizados.

El coste medio de un incidente de seguridad para una PYME en Europa supera los 75.000 € cuando se suman el tiempo de inactividad, la recuperación de datos, las posibles multas por incumplimiento del RGPD y el daño reputacional. Muchas empresas no lo superan.

Los 6 controles básicos que toda PYME debería tener

1. Contraseñas únicas y un gestor de contraseñas. Reutilizar contraseñas entre servicios es el error más común y más peligroso. Si una filtración expone la contraseña de un servicio secundario, los atacantes la prueban automáticamente en correo, banca online y herramientas de trabajo. La solución es un gestor de contraseñas corporativo (Bitwarden, 1Password Teams) que genere contraseñas únicas y fuertes para cada servicio.

2. Doble factor de autenticación en servicios críticos. El correo corporativo, el panel de administración de la web, el acceso a cloud y la banca online deben tener 2FA activado. Si alguien consigue la contraseña, el segundo factor lo detiene. Es gratis, tarda 5 minutos en configurarse y elimina la mayoría de accesos no autorizados.

3. Backups verificados y externos. No basta con tener backups: hay que saber que funcionan. Un backup que no se ha restaurado nunca puede estar corrupto, incompleto o apuntando a datos que ya no existen. La regla mínima es 3-2-1: tres copias, en dos soportes distintos, una fuera de la empresa (o fuera de la misma cuenta cloud).

4. Actualizaciones al día. La mayoría de ataques exitosos explotan vulnerabilidades que llevan meses con parche disponible. Sistemas operativos, aplicaciones, plugins de WordPress, firmware de routers: todo tiene que estar actualizado. Si no hay un proceso para hacerlo, se quedan atrás de forma inevitable. No mantener actualizaciones es uno de los errores tecnológicos más comunes en PYMEs.

5. Principio de mínimos permisos. Cada persona solo debería tener acceso a lo que necesita para su trabajo. El comercial no necesita acceso a los servidores. El técnico externo no necesita acceso permanente a todos los sistemas. Cuando alguien deja la empresa, sus accesos tienen que revocarse el mismo día.

6. Cifrado en tránsito y en reposo. El correo con datos de clientes, los documentos compartidos por herramientas en la nube, las conexiones a sistemas internos: todo debería viajar cifrado. HTTPS en la web es el mínimo. VPN para accesos remotos, cifrado de disco en portátiles de empresa y herramientas de comunicación con cifrado de extremo a extremo completan el cuadro básico.

Qué pasa cuando falta alguno de estos controles

Algunos ejemplos reales del tipo de incidentes que ocurren cuando estos controles no están:

Sin 2FA en el correo corporativo: un empleado cae en un phishing, el atacante toma el control del correo y lo usa para enviar facturas fraudulentas a clientes o solicitar transferencias bancarias internas. Es el ataque BEC (Business Email Compromise) y en 2025 causó pérdidas medias de 125.000 € por incidente en Europa.

Sin backups verificados: un ransomware cifra todos los archivos de la empresa. Se paga el rescate (entre 5.000 € y 50.000 €) o se pierden los datos. El backup existía pero apuntaba a la misma unidad de red que fue cifrada.

Sin revocar accesos: un proveedor externo que trabajó con la empresa hace dos años sigue teniendo credenciales activas. Esas credenciales se filtran en una brecha de seguridad del proveedor y se usan para acceder a los sistemas.

Por dónde empezar si partes de cero

El orden importa. Si hay que priorizarlo todo, este es el orden de mayor a menor impacto inmediato:

1. Activar 2FA en correo corporativo y accesos críticos (1 hora, coste cero).
2. Verificar que los backups se pueden restaurar (medio día).
3. Implantar un gestor de contraseñas corporativo (1 día, ~3-5 €/usuario/mes).
4. Revisar y revocar accesos de usuarios que ya no deberían tenerlos.
5. Comprobar el estado de actualizaciones de sistemas críticos.
6. Documentar qué hay, quién tiene acceso y cómo se recuperaría el negocio ante un incidente.

Preguntas que aparecen en cada revisión

¿Cuánto cuesta implementar los 6 controles básicos?

La mayoría son gratuitos o muy baratos. 2FA es gratis. Un gestor de contraseñas corporativo cuesta entre 3 y 5 € por usuario y mes. El cifrado de disco viene incluido en Windows Pro y macOS. Los costes reales suelen ser de tiempo (1-2 días de una persona técnica) más la formación del equipo, no de licencias.

¿Hace falta un responsable de seguridad dedicado?

En una PYME de menos de 50 empleados casi nunca. Lo habitual es que la responsabilidad esté distribuida: el responsable de IT o un proveedor externo se ocupa de la operación, y un CTO externalizado o asesor supervisa que las políticas y procesos existan y se cumplan.

¿Qué antivirus conviene para una PYME?

Cualquiera de los principales (Microsoft Defender incluido en Windows, Bitdefender, ESET, Kaspersky) es suficiente para el uso básico. La diferencia real no suele estar en el antivirus sino en el resto de controles: 2FA, actualizaciones y accesos mínimos hacen mucho más que cambiar de antivirus.

¿Qué diferencia hay entre ciberseguridad y protección de datos?

Ciberseguridad es proteger los sistemas contra accesos no autorizados, ataques y pérdida de información. Protección de datos es el marco legal (RGPD) sobre cómo tratar los datos personales. Se solapan: el RGPD exige medidas técnicas de seguridad, pero la ciberseguridad va más allá (proteger propiedad intelectual, sistemas internos, continuidad de negocio).

¿Cada cuánto hay que revisar los accesos?

Trimestralmente como mínimo, y siempre cuando alguien deja la empresa o cambia de rol. Lo ideal es que los accesos caduquen automáticamente si no se usan durante 90 días, y que haya un proceso de revisión programado.

¿Qué hago si ya he tenido un incidente?

Tres pasos en este orden: contener (aislar los sistemas afectados), documentar (qué pasó, cuándo, qué datos se vieron afectados) y notificar si había datos personales comprometidos. Después de la emergencia inmediata, conviene una revisión completa para entender cómo entraron y qué más podría estar comprometido.

¿Sirve contratar un ciberseguro?

Puede ayudar a cubrir costes tras un incidente grave, pero las aseguradoras exigen cada vez más controles previos (2FA, backups verificados, formación). Sin esos controles, el seguro no paga. El ciberseguro es complemento, no sustituto de la seguridad real.

¿Cómo sé si estoy cumpliendo estos mínimos?

Una auditoría tecnológica o una revisión específica de seguridad da la respuesta en 1-2 días. También existen autochequeos más ligeros como el checklist de auditoría tecnológica para tener una primera idea antes de contratar nada.

Si no sabes por dónde empezar o prefieres una foto clara del estado real, una auditoría tecnológica te da un diagnóstico honesto y un plan ordenado por impacto y esfuerzo, sin alarmar y sin vender lo que no hace falta. Dos complementos útiles para leer después: 5 señales de que tu empresa necesita una auditoría y RGPD para PYMEs.