Si las pymes se enfrentan día a día no solo al desafío del desarrollo, sino de la propia supervivencia, la ciberseguridad se ha convertido en los últimos años en un vector a tener en cuenta… O, al menos, así debería ser, como se señala en la publicación, esta misma semana, del Observatorio de Competitividad Empresarial de la Cámara de España, dedicado a la ciberseguridad: «Una de cada diez empresas (11,4%) ha sufrido algún ciberataque en los últimos dos años». Otro dato a tener en cuenta, como 'aviso anticonfianza': «En 2025, el 53,1% de las empresas encuestadas consideran que son 'nada o poco atractivas' para los ciberdelincuentes». El estudio incide en el trabajo por hacer («nueve de cada diez empresas españolas se consideran digitalizadas, pero menos de la mitad tiene una estrategia de ciberseguridad»), y añade cómo «el 87,6% de las empresas españolas percibe su nivel de digitalización como intermedio o avanzado, pero menos de la mitad –42,9%– dispone de una estrategia de ciberseguridad». Un entorno en el que las medidas básicas de protección, como antivirus y copias de seguridad, están prácticamente universalizadas (más del 95%) «pero sólo un 10,7% ha implementado medidas específicas frente a amenazas emergentes de la IA». «La ciberseguridad –subraya Raúl Mínguez, director del Servicio de Estudios de la entidad cameral– es condición necesaria, esencial, para operar de un modo competitivo, tanto en mercado doméstico como internacional, ya que el mercado penaliza cada vez más la interrupción del servicio, por falta de datos, falta de resiliencia ante ciberataques , etc.». Un difícil encuentro, sin duda, entre el sentido común («más confianza, más ventas, mayor productividad») y los rigores presupuestarios y de personal a los que se enfrenta el inmenso tejido de pymes españolas. En este contexto, el tamaño es relevante, como indica Mínguez: «Apenas el 0,5% de empresas de 1 a 9 empleados dicen que van a incrementar esta partida, frente a cerca del 53% de más de 50 trabajadores que sí lo tienen previsto». Y recuerda que, al menos, cada vez hay más empresas externas que pueden ayudar en esta labor «además de ayudas institucionales, como las que proporcionamos nosotros mismos, o iniciativas como el Kit Digital o el menos conocido Kit Consulting. La cuestión es afrontar estos riesgos en tiempos en que los tipos de ciberriesgos aumentan muy rápido». Excelia, multinacional española de consultoría, tecnología y servicios profesionales, también ha publicado recientemente un estudio, desde un enfoque general: 'Ciberataques, IA y Estrategia: Informe de Ciberseguridad de 2025'. Subraya cómo los ataques de 'phishing' (emails o llamadas) y 'smishing' (SMS) crecieron un 1.265% en el último año y que el 'ransomware' ('malware' que exige un pago de rescate para descifrar lo pirateado) ya supone el 35% de los incidentes graves detectados. De lo general a lo particular, Josep Bardallo, su Cybersecurity & Cloud director, señala cómo «las pymes están cada vez más expuestas a ataques más rápidos y difíciles de detectar: la automatización de estas amenazas permite a los ciberdelincuentes atacar también a organizaciones con menos recursos. Por ello, la ciberseguridad se debe integrar en la estrategia del negocio, para reforzar la gestión de identidades y formar a las personas (el factor humano y la 'confianza digital' se han convertido en elementos críticos)». Excelia aporta soluciones como la figura del 'CISO as a Service' «que aporta liderazgo y gobierno de la seguridad de forma flexible y permite estructurar y evolucionar estas capacidades de manera progresiva y alineada con el negocio, y nuestro estudio señala cómo los sistemas de detección basados en IA permiten cerrar automáticamente hasta el 90% de las alertas de bajo nivel y anticipar intrusiones mediante análisis de comportamiento», como comenta Bardallo. Y su informe ratifica la evidencia de una mayor concienciación en el ámbito de la UE: «Se identifican como prioridades estratégicas en Europa la integración de la ciberseguridad con el cumplimiento normativo (NIS2, DORA, AI Act), la protección de la identidad digital como nuevo perímetro de seguridad y la gestión avanzada de riesgos en la cadena de suministro». De hecho, la Comisión Europea ha anunciado la apertura de una primera ronda de apoyo financiero a través del proyecto Secure, en línea con la Ley de Ciberresiliencia de la UE. Un universo de soluciones, de aplicaciones como antivirus, 'cortafuegos', sistemas de autenticación multifactorial, etc., ante el que desde el área de Empresas de Incibe (Instituto Nacional de Ciberseguridad) recuerdan cómo «según nuestro 'Balance de ciberseguridad' en 2025 se registraron 122.223 incidentes de ciberseguridad y cuatro de cada diez fueron fraudes online… Se piensa que la ciberseguridad es cara, compleja o solo para grandes compañías, cuando la mayoría de ataques aprovechan fallos simples como contraseñas débiles, equipos sin actualizar o empleados sin formación». Desde Incibe recomiendan contar con una primera línea de defensa: «El correo electrónico es la principal puerta de entrada de los ataques, así que formar a los empleados para detectar mensajes sospechosos puede evitar muchos incidentes. Otra medida clave es limitar los accesos: no todo el mundo necesita ver todos los datos. Las copias de seguridad periódicas y desconectadas de la red son también una gran defensa frente al 'ransomware', siempre que se prueben para comprobar que realmente se pueden recuperar». Protección de los dispositivos que se usan fuera de la oficina, «y un documento sencillo que indique qué hacer en caso de pérdidas de acceso, sospecha de fraude, planes de contingencia, etc.» forman también parte de estas precauciones. La institución ofrece servicios como 'Qué te interesa', 'Herramienta de autodiagnóstico' o las 'Políticas de seguridad', además de iniciativas como las Jornadas+Ciberseguridad, con Fundación CEOE (recorren España con talleres para pymes y profesionales) o su Línea de Ayuda en Ciberseguridad (017). Todo suma en un entorno en el que las grandes empresas españolas y las administraciones públicas ya pueden exigir a sus proveedores pyme que tengan un seguro de ciberriesgo. Desde la academia, diversas instituciones preparan a su alumnado para este tipo de incidencias (con una elevadísima empleabilidad) y creciente protagonismo de la FP. Un ejemplo es Keep Coding, cuyo cofundador y CLO, Fernando Rodríguez, señala cómo «las pymes se enfrentan a un escenario de ciberamenazas que se ha transformado por completo. El 'ransomware' se ha profesionalizado hasta convertirse en un negocio criminal con franquicias». Rodríguez coincide en la importancia de aspectos como la IA o el trabajo remoto en un entorno «en el que lo peligroso es que estos factores se encadenan: un trabajador remoto, en una red insegura, recibe un correo generado por IA que parece legítimo, hace clic, y el 'ransomware' paraliza la empresa. Más del 80% de los incidentes tienen origen humano, lo que revela una verdad incómoda: la inversión en herramientas tecnológicas sin formación es dinero mal gastado. La continua y específica no es un complemento de la estrategia de ciberseguridad: es su columna vertebral. Detecta antes, reacciona mejor, se recupera más rápido». Hay mucho en juego, como destaca Eric Maciá, abogado y director de consultoría legal en I+D+i en PONS IP: «Las pymes atesoran cada vez más información relevante y diferencial para su negocio. Esto es sabido por cibercriminales, quienes industrializan el lanzamiento de ataques que tratan de explotar debilidades conocidas en sistemas o realizar ataques de ingeniería social». Maciá coincide en la importancia de hacer balanza entre el sentido común y la complejidad tecnológica, como en el caso de «segmentar y contar con protocolos claros de acceso a la información: evitar que todo el mundo pueda acceder a toda la información en la compañía es una buena estrategia, tanto para evitar que la información se filtre como para minimizar daños si alguien entra en nuestros sistemas». Una consideración en línea con una reciente comunicación de la institución: «La ciberresiliencia no trata solo de evitar el ataque, sino de asumir que ocurrirá y asegurar que la empresa pueda resistir, responder con rapidez y recuperarse sin detener su actividad». Una cuestión que incumbe a todo tipo de sectores, como en el caso de la empresa de 'crowfunding' inmobiliario Crowpire (antes Housers), que ha presentado esta semana su nueva denominación. Su CEO, Juan Guruceta, destaca cómo la ciberseguridad «contribuye a generar credibilidad y reputación ante nuestros clientes, como empresa regulada que se ciñe a los estándares del Banco de España y de la CNMV. Por ello, tenemos un especial cuidado en este aspecto, con persona 'in house' para prevenir y, si suceden, solucionar estos problemas». En el caso de Thomas Wellness, especializados en equipos de 'fitness' y 'wellness' apunta cómo «para nosotros, la ciberseguridad no es solo una herramienta técnica, es una práctica fundamental para defender la información, los datos y la vida digital de los clientes». Recurre a medidas mencionadas en estas líneas, «en un entorno 'cloud', con copias de seguridad diarias, que evitan amenazas de secuestro, con una política de actualizaciones actualizadas, que es algo que parece redundante, pero ayuda a tener más seguridad».
