Ciberseguridad para pymes: 7 medidas imprescindibles

Las pymes son el objetivo favorito de los ciberdelincuentes

Muchos empresarios piensan que los ciberataques solo afectan a grandes corporaciones. La realidad es la opuesta: una parte muy significativa de los incidentes con impacto económico van dirigidos a pymes, precisamente porque suelen tener menos medidas de protección. Según los informes anuales de INCIBE y el Verizon DBIR, las pequeñas empresas figuran cada año entre los objetivos prioritarios del ransomware y el fraude del CEO.

Un ataque de ransomware puede paralizar tu empresa durante días. Una filtración de datos personales puede costarte multas que, en su tramo superior, alcanzan el 4% de la facturación anual global según el RGPD. La pregunta deja de ser si te atacarán y pasa a ser cuándo y con cuánto coste.

Un ejemplo concreto: 72 horas paradas por un correo

Una pyme industrial de unos 30 empleados (cliente tipo, sin nombrar) recibe un correo aparentemente legítimo de un proveedor habitual con una factura adjunta. El administrativo la abre, el archivo ejecuta una macro y en minutos el ransomware empieza a cifrar el servidor de ficheros. La copia de seguridad existía, pero llevaba seis meses sin verificarse: al intentar restaurar, los últimos cinco backups estaban corruptos por un fallo del agente. La empresa estuvo 72 horas sin ERP ni CAD, perdió tres pedidos urgentes y pagó a una consultora externa para reconstruir parte de los ficheros.

El coste directo (horas de técnicos, consultoría forense, jornadas perdidas) fue muy elevado, en el rango de las decenas de miles de euros. El indirecto (clientes molestos, retrasos en producción, estrés del equipo) es difícil de cuantificar pero suele ser mayor. La inversión en seguridad que habría evitado el incidente es una fracción de ese impacto repartida en varios años. El informe IBM Cost of a Data Breach lo confirma año tras año: prevenir es radicalmente más barato que reparar.

Copias de seguridad que de verdad restauran

No basta con tener un backup: necesitas verificar que funciona. La regla 3-2-1 sigue siendo el estándar mínimo razonable: tres copias de los datos, en al menos dos soportes diferentes, con una de ellas fuera de la oficina (o en la nube con cifrado). A esa regla conviene añadir hoy un cuarto principio: al menos una copia inmutable o air-gapped, que el ransomware no pueda alcanzar ni con credenciales de administrador.

Y lo más importante: pruebas de restauración periódicas. Una pyme debería simular una restauración completa al menos cada trimestre y una restauración parcial cada mes. Si nadie ha restaurado nunca de tu copia, no tienes copia: tienes una creencia.

Identidades, MFA y gestión de accesos

El robo de credenciales sigue siendo, según Verizon DBIR, una de las vías de entrada más frecuentes. La medida con mejor relación coste-beneficio que puedes aplicar esta semana es activar MFA en todos los servicios críticos: correo (Microsoft 365 o Google Workspace), VPN, banca online, ERP, panel del proveedor cloud y administradores de sistemas.

Más allá del MFA básico

• Privilegio mínimo: nadie debería trabajar a diario con permisos de administrador. Crea cuentas separadas para tareas administrativas.
• Revisión de accesos: cada seis meses, revisa quién tiene acceso a qué. Las cuentas huérfanas son un riesgo silencioso.
• Gestor de contraseñas corporativo: 1Password, Bitwarden, Keeper. Coste muy contenido por usuario y elimina de un plumazo las prácticas inseguras.
• Bloqueo de protocolos legacy: en Microsoft 365, desactiva la autenticación básica. Es un imán para fuerza bruta.

Parches y gestión de vulnerabilidades

Una proporción muy alta de las brechas explotan vulnerabilidades conocidas con parche disponible desde hace meses. Para una pyme el mensaje es claro: los parches no son opcionales y el "ya lo haremos" es la frase que más cara sale. Tres niveles que cubrir:

1. Sistemas operativos y aplicaciones de usuario (Windows, macOS, navegador, Office, Adobe). Despliegue automatizado con WSUS, Intune o RMM.
2. Servidores y servicios expuestos (correo, VPN, ERP, web). Ventana mensual y parches críticos en menos de 72 horas.
3. Firmware y dispositivos de red (firewall, switches, NAS, cámaras IP). El gran olvidado, y a menudo el punto de entrada.

EDR moderno y segmentación de red

El antivirus de hace diez años no detiene al ransomware de hoy. Necesitas una solución EDR/XDR gestionada centralmente, con telemetría, aislamiento de equipos y respuesta automatizada. Hay opciones razonables y proporcionadas para pyme; el coste depende del fabricante y de si la gestión se externaliza.

La red también necesita estructura. Segmentación mínima razonable:

• Red de producción (servidores, ERP, ficheros) separada de la red de usuarios.
• Red de invitados completamente aislada.
• Red de IoT y OT (cámaras, sensores, máquinas industriales) en su propia VLAN. Es habitual encontrar máquinas-herramienta con Windows XP que no se pueden actualizar; lo mínimo es que estén aisladas y sin acceso a internet.

Un firewall de nueva generación (NGFW) con inspección de tráfico, control de aplicaciones y filtrado web es la pieza central. Para una pyme de 20-50 empleados, hardware y licencia anual del primer año dependen del modelo y los servicios contratados; lo dimensionamos en cada caso dentro de la propuesta.

La persona, no el firewall, es el primer perímetro

El phishing y la ingeniería social siguen siendo año tras año la vía de entrada más frecuente. Da igual cuánto inviertas en tecnología: si un comercial reenvía un PDF malicioso desde el móvil personal o un administrativo paga una factura falsa, el ataque ha funcionado.

La formación tiene que ser continua, no un curso anual de una hora que nadie recuerda. Lo que funciona en pymes:

• Campañas de phishing simulado cada 1-2 meses, con feedback inmediato a quien hace clic (sin culpabilizar).
• Microformaciones de 5-10 minutos sobre casos reales recientes.
• Procedimiento claro: "si tengo dudas, llamo a quien firma" antes de procesar facturas o cambios de IBAN.
• Canal abierto para reportar correos sospechosos sin miedo al ridículo.

Una plataforma de formación + simulación de phishing tiene un coste por usuario muy contenido y es, en relación al impacto evitado, una de las inversiones más rentables que puedes hacer.

Plan de respuesta a incidentes y RGPD

¿Qué hace tu empresa si mañana a las 8:30 nadie puede entrar al ERP? Un plan de respuesta breve y conocido por las personas clave evita el pánico y acorta el tiempo de recuperación. Debe responder a:

• Quién detecta y declara el incidente.
• Quién decide (CEO, IT, asesoría legal externa).
• A qué proveedor externo se llama (tu MSP, el seguro, INCIBE-CERT en el 017).
• Qué se desconecta primero (servidores comprometidos, segmentos de red).
• Cómo y a quién se comunica (clientes, empleados, AEPD).
• Plazos legales: las brechas de datos personales se notifican a la AEPD en menos de 72 horas desde su conocimiento.

Si tratas datos especialmente protegidos o eres proveedor de la administración pública, valora también el Esquema Nacional de Seguridad (ENS) y, si te aplica, NIS2: en sectores como sanidad, energía o transporte ya no son opcionales.

Qué pesa en el presupuesto: los conceptos a cubrir

No hay dos pymes iguales, así que en lugar de dar cifras (que no significan gran cosa fuera de tu contexto), conviene entender qué conceptos componen el presupuesto de una postura de seguridad razonable. La cifra final depende del número de usuarios, equipos, sedes, datos a proteger y nivel de servicio que necesites; lo trabajamos contigo en una propuesta cerrada.

• MFA + gestor de contraseñas corporativo: licencias por usuario y mes para activar segundo factor en servicios críticos y centralizar credenciales. Una de las medidas con mejor relación coste-beneficio.
• EDR/XDR gestionado: licencia por endpoint y mes, más el servicio de monitorización si se externaliza. Sustituye al antivirus tradicional.
• Backup con retención inmutable: software de backup (licenciado por máquina) más almacenamiento en nube por GB y mes. Suma también la copia local y, si aplica, una copia air-gapped.
• Firewall NGFW: inversión inicial en el equipo más licencia anual de servicios de seguridad (filtrado, IPS, control de aplicaciones, sandbox).
• Formación + simulación de phishing: licencia por usuario y mes para campañas continuas y microformaciones.
• Mantenimiento y monitorización gestionada (MSP): cuota recurrente por equipo o por usuario, según modelo de servicio (proactivo, 24x7, etc.).
• Auditoría inicial y plan director: trabajo puntual al principio para inventariar, detectar lo urgente y trazar la hoja de ruta.

A partir de ahí, en una pyme tipo se combina una inversión inicial (auditoría, firewall, despliegue de EDR y backup, MFA) con un coste recurrente mensual (licencias, monitorización, formación). Las horquillas dependen del alcance: lo aterrizamos contigo a partir de un diagnóstico breve y, si encaja, te pasamos una propuesta cerrada. Comparado con el impacto del ejemplo inicial (decenas de miles de euros para un incidente de gravedad media, no grave), los números siempre salen.

Por dónde empezar: hoja de ruta en 6 pasos

Si tu pyme está en el punto de partida, este es un orden razonable. No tienes que hacerlo todo el primer mes.

1. Inventario y diagnóstico (semana 1-2): equipos, servidores, servicios cloud, accesos, copias. No puedes proteger lo que no sabes que tienes.
2. Quick wins (mes 1): MFA en correo y VPN, gestor de contraseñas, verificar que la copia restaura y aplicar parches pendientes.
3. Endpoint y red (mes 2-3): sustituir antivirus tradicional por EDR gestionado, revisar firewall y segmentar invitados e IoT.
4. Personas (mes 2-4, en paralelo): primera campaña de phishing simulado y microformaciones mensuales.
5. Plan de respuesta (mes 3-4): IR plan en una página, contactos externos identificados, simulacro sobre papel.
6. Mejora continua (mes 4 en adelante): auditorías anuales, revisión de accesos cada 6 meses, simulacros de restauración trimestrales.

Si te aplica ENS o NIS2, encaja esta hoja de ruta dentro del plan de adecuación desde el inicio.

Mini-FAQ

¿Soy demasiado pequeño para que me ataquen? No. Los ataques masivos no eligen víctimas: barren rangos de IP y bandejas de entrada. Una empresa de 5 empleados sin MFA es un objetivo perfectamente rentable para un atacante automatizado.

¿No basta con el antivirus de toda la vida? No. El malware moderno usa técnicas que el antivirus por firmas no detecta: living-off-the-land, abuso de herramientas administrativas. EDR/XDR detecta comportamiento, no solo ficheros conocidos.

Tenemos copia de seguridad, ¿no es suficiente? Solo si la has restaurado recientemente y al menos una copia es inmutable. El ransomware moderno busca y cifra (o borra) los backups antes de pedir rescate.

¿Externalizar o llevarlo en casa? En pymes de menos de 100 empleados casi siempre sale a cuenta externalizar a un MSP especializado. Lo desarrollamos en externalizar la informática de tu empresa.

¿Y si ya hemos sufrido un incidente? Contén (aísla equipos), preserva evidencias, notifica a la AEPD si hay datos personales y restaura desde copias verificadas. Después, auditoría seria para cerrar la puerta. Puedes abrir un aviso urgente o contactarnos.

Cómo te ayudamos en Niebla

En Niebla Informática llevamos desde 1984 acompañando a pymes navarras en su infraestructura y, en los últimos años, en su postura de seguridad. Combinamos auditoría, despliegue de medidas técnicas (EDR, backup, firewall, MFA), formación al personal y mantenimiento informático profesional para que la seguridad sea algo que se mantiene en el tiempo, no un proyecto puntual. Si usas NIEGES ERP u otro sistema crítico, integramos su protección dentro del plan global.

Solicita una auditoría de seguridad sin compromiso y te diremos en qué punto estás y qué pasos tienen, en tu caso concreto, mejor relación coste-beneficio.