Los ciberataques crecen y alerta a las pymes
Ciberseguridad
La adopción de medidas básicas, la formación de los empleados y el acompañamiento de entidades como BBVA elevan la resiliencia de las pymes frente a fraudes y suplantaciones cada vez más sofisticados
Implementar medidas de seguridad en los dispositivos corporativos es esencial para salvaguardar la información y garantizar la continuidad del negocio
En muchas empresas empieza a ser habitual recibir correos, llamadas o mensajes que despiertan recelo. Una dirección de email que no encaja, una petición urgente de pago o una llamada que reproduce la voz de un servicio oficial. La digitalización avanza y las pequeñas y medianas empresas asumen cada vez más procesos en línea, pero ese progreso abre la puerta a riesgos que crecen con rapidez. El Instituto Nacional de Ciberseguridad registró 97.348 incidentes en 2024, un 16% más que el año anterior, y una parte significativa afectó a pymes, que continúan como objetivo prioritario.
“La tecnología forma parte de la vida diaria de las empresas y avanza a un ritmo muy intenso. Ese progreso trae oportunidades, pero también obligaciones en materia de seguridad”, afirma Laura del Pino, responsable de Seguridad de Información de BBVA en España. La entidad anima a las pymes a adoptar una postura activa ante un escenario que cambia de forma constante. “La clave no consiste en temer el entorno digital, sino en conocer sus riesgos y aplicar medidas de protección adecuadas”, añade.
Un empleado que reconoce un correo extraño evita un incidente que puede paralizar la actividad
Las amenazas más extendidas siguen un patrón similar: aprovechar la confianza que generan proveedores, organismos públicos o compañeros de trabajo. La suplantación de identidad continúa entre los ataques más frecuentes. Los delincuentes modifican direcciones o teléfonos para obtener información confidencial y operar en nombre de la empresa. El ransomware, que bloquea sistemas y datos y exige un rescate económico, mantiene su avance y afecta de forma especial a negocios con estructuras mínimas de seguridad. También persiste el fraude del CEO, que modifica facturas reales para desviar pagos a cuentas bajo control criminal. Según firmas especializadas, casi cuatro de cada diez intrusiones permanecen activas más de 200 días antes de ser descubiertas.
El Estado ha empezado a mover ficha. La orden ministerial publicada el 15 de febrero refuerza las medidas contra las estafas basadas en suplantación mediante llamadas y mensajes fraudulentos. Las entidades financieras valoran este paso. “Medidas como esta avanzan en la dirección adecuada. Ahora resulta imprescindible acelerar su aplicación, supervisar su cumplimiento y crear canales de colaboración reales entre instituciones, operadoras y empresas”, señala Del Pino. El banco insiste en la necesidad de disponer de mecanismos seguros para compartir información y reaccionar con rapidez ante un intento de fraude.
Formar a los empleados
Las medidas básicas funcionan como un primer muro de contención. Proteger los equipos, actualizar sistemas, cifrar la información sensible o controlar el acceso a aplicaciones y redes evita múltiples ataques. Las contraseñas robustas, la autenticación en dos factores y la limitación del uso de dispositivos externos refuerzan este blindaje.
La formación ocupa un lugar central. “La seguridad empieza por las personas”, afirma Del Pino. Un empleado que reconoce un correo extraño evita un incidente que puede paralizar toda la actividad. La responsable subraya que muchas pymes carecen de equipos especializados y necesitan apoyo externo: “Tenemos capacidad para invertir en innovación y, al mismo tiempo, mantener la proximidad suficiente para acompañarlas con formación y con soluciones que incrementan su nivel de protección”. BBVA ha impartido formaciones presenciales a más de 1.000 pymes y sus cursos digitales superan las 718.000 visualizaciones.
Cómo blindar una pyme sin grandes inversiones
Equipos bien protegidos: Antivirus actualizado, cortafuegos activo, contraseñas sólidas y normas internas claras crean un primer escudo eficaz ante cualquier intento de acceso.
Software al día: Cada actualización corrige fallos y cierra vulnerabilidades. Mantener programas y sistemas operativos actualizados evita riesgos.
Copias de seguridad con criterio: La regla 3-2-1 garantiza una protección real: varias copias, en soportes distintos y una fuera de la empresa. El cifrado y las pruebas periódicas de restauración completan esta defensa.
Autenticación en dos factores: Un segundo paso de verificación limita el acceso de terceros incluso cuando conocen la contraseña.
Huella digital y protección: Ajustar la privacidad, revisar qué datos se comparten y desconfiar de mensajes dudosos evita filtraciones. Un ciberseguro añade un respaldo económico ante ataques que afectan a la continuidad del negocio.
Peticiones sospechosas: Desconfiar de llamadas o SMS en nombre de su entidad financiera en la que soliciten datos de identificación o instalación de aplicaciones. En caso de duda, consultar a los canales oficiales de su entidad.
Igual de importante es la concienciación. El cambio de mentalidad se refleja por ejemplo en la contratación del ciberseguro BBVA Allianz Cyber, que ha crecido un 87% interanual. El producto cubre restauración de datos y sistemas, asistencia técnica permanente, responsabilidad civil y pérdidas por interrupción del negocio, además de apoyo legal y servicios de reputación.
“Las pymes deben ver la ciberseguridad como parte esencial de su transformación. No se trata solo de proteger datos; hablamos de proteger la continuidad del negocio, su reputación y la confianza de sus clientes”, concluye Del Pino. El mensaje coincide con la advertencia que hacen los expertos: solo dos de cada diez organizaciones alcanzan un nivel de madurez adecuado en ciberseguridad. Disponer de una estrategia clara, formar a los empleados y buscar aliados donde hagan falta marca la diferencia entre sufrir un incidente crítico o superarlo sin consecuencias graves.