Las 10 formas más comunes en que las pequeñas empresas son víctimas de ciberataques en 2026
- David Chernitzky
- hace 55 minutos
- 17 Min. de lectura
Las pequeñas empresas son el objetivo. Las cifras lo demuestran.
Existe un mito persistente entre las pequeñas empresas: los hackers atacan a bancos y gobiernos, no a una firma de contabilidad de diez personas ni a un distribuidor regional. Los datos cuentan una historia diferente.
El Informe de Investigaciones de Violaciones de Datos de Verizon de 2025 analizó más de 22 000 incidentes de seguridad y más de 12 000 violaciones confirmadas. Reveló que el 88 % de las violaciones en pymes involucraron ransomware. El Informe de Delitos en Internet de 2024 del FBI registró pérdidas totales por ciberdelincuencia de 16 600 millones de dólares, un aumento del 33 % con respecto al año anterior. IBM estimó el costo promedio global de una sola violación en 4,44 millones de dólares.
Las pequeñas empresas son el objetivo no por las grandes ganancias que obtienen, sino por las bajas barreras de entrada. La escasez de personal informático, las actualizaciones postergadas, la falta de capacitación de los empleados y la ausencia de un plan de respuesta ante incidentes convierten a las pymes en el blanco más fácil para los atacantes, que cada vez utilizan más automatización e inteligencia artificial.
88% Las brechas de seguridad en las pymes involucraron ransomware. | 4,44 millones de dólares Coste medio global de incumplimiento | 33% Aumento de las pérdidas por ciberdelincuencia en 2024 |
Fuentes: Verizon DBIR 2025 · IBM Costo de una filtración de datos 2025 · Informe anual del FBI IC3 2024
Figura 1: Estadísticas clave de ataques del informe DBIR 2025 de Verizon. Basado en más de 22 000 incidentes y más de 12 000 brechas confirmadas.
1. Phishing: ahora generado por IA por defecto.
El phishing fue el ciberdelito más denunciado en el Informe IC3 del FBI de 2024, con aproximadamente 193.000 denuncias presentadas. Lo que ha cambiado es la calidad.
Según el Informe de Amenazas y Tendencias de Phishing de KnowBe4 de 2025, el 83 % de los correos electrónicos de phishing se generan mediante inteligencia artificial. La investigación sobre seguridad de correo electrónico de Kaseya de 2025 calificó el phishing con IA como el "punto de partida" de las operaciones delictivas y descubrió que el 80 % de estos ataques se dirigen a las pymes, con una pérdida promedio de 50 000 dólares por incidente.
Las antiguas señales de alerta —mala gramática, direcciones de remitente incorrectas, redacción torpe— prácticamente han desaparecido. Las herramientas de IA ahora crean mensajes contextualmente precisos utilizando perfiles de LinkedIn, sitios web de empresas y datos públicos extraídos.
Cómo se ve en la práctica • Una factura de un proveedor real, con datos bancarios actualizados y el tono correcto. • Una alerta de inicio de sesión de Microsoft 365 que le pide que verifique su identidad tras una "actividad de inicio de sesión inusual". • Un código QR en un documento impreso que dirige a una página de recopilación de credenciales. • Un correo electrónico sin enlace que le pide que responda o llame a un número; no contiene archivos adjuntos que activen los filtros. |
✔ Qué hacer • Ejecute simulaciones de phishing utilizando plantillas con calidad de IA, no escenarios obsoletos de 2019. • Implemente DMARC, SPF y DKIM para bloquear la suplantación de dominio. • Capacitar al personal para que denuncie los correos electrónicos sospechosos, en lugar de simplemente eliminarlos. • Configure su filtro de spam para detectar ataques de phishing sin carga útil (ataques basados en respuestas y códigos QR). |
Fuentes: Informe de amenazas y tendencias de phishing de KnowBe4 2025 · Informe anual del FBI IC3 2024 · Informe de seguridad de correo electrónico de Kaseya 2025 · DBIR de Verizon 2025
2. Credenciales robadas: el principal vector de filtración de datos.
En el informe DBIR 2025 de Verizon, las credenciales comprometidas fueron el vector de acceso inicial más común, presente en el 22 % de todas las brechas de seguridad confirmadas. Además, el 88 % de los ataques contra aplicaciones web utilizaron credenciales robadas.
¿Cómo se roban las credenciales? El malware de robo de información recopila silenciosamente las contraseñas guardadas y los tokens de sesión. El phishing los captura directamente. Los mercados delictivos venden diariamente bases de datos de credenciales actualizadas. Y dado que la mayoría de los empleados reutilizan contraseñas, una brecha de seguridad en un servicio de atención al cliente de terceros suele desbloquear también las cuentas corporativas.
El informe DBIR reveló que, en promedio, solo el 49 % de las contraseñas de un usuario en todos los servicios eran únicas. El relleno de credenciales (pruebas automatizadas de inicios de sesión robados) representó el 19 % de todos los intentos de autenticación observados en los registros de los proveedores de SSO en un día promedio.
22% De todas las filtraciones confirmadas, todo comenzó con credenciales robadas. Informe de Verizon sobre investigaciones de filtraciones de datos de 2025 |
Cómo se ve en la práctica • Se accedió a una cuenta de Microsoft 365 desde una ubicación desconocida a las 3 de la madrugada; no se activó ninguna alerta porque las credenciales son válidas. • Bots automatizados que recorren su portal de clientes con pares de correo electrónico/contraseña filtrados. • Un inicio de sesión de contabilidad en la nube desde el extranjero utilizando las mismas credenciales que su empleado usa en un sitio de compras personal. |
✔ Qué hacer • Implementar la autenticación multifactor (MFA) en todas las plataformas de acceso externo, comenzando por el correo electrónico. • Implemente un gestor de contraseñas para eliminar la reutilización de credenciales en diferentes cuentas. • Supervise la exposición de credenciales comprobando su dominio con bases de datos de filtraciones conocidas. • Auditar y desactivar las cuentas inactivas inmediatamente después de la baja del usuario. |
Fuentes: Verizon DBIR 2025 · Investigación sobre el relleno de credenciales de Verizon DBIR 2025 (Langlois, 2025)
3. Ransomware: un ataque desproporcionado contra las pymes.
El ransomware estuvo presente en el 44 % de todas las filtraciones registradas en el informe DBIR 2025 de Verizon , lo que representa un aumento del 37 % con respecto al año anterior. En el caso específico de las pymes, el 88 % de las filtraciones involucraron ransomware.
Según un estudio de Sophos sobre el ransomware realizado en 2025, el coste medio de recuperación fue de 1,53 millones de dólares. El pago medio del rescate se redujo un 34%, hasta aproximadamente 1,3 millones de dólares; sin embargo, esta cifra resulta prácticamente irrelevante para las pequeñas empresas, donde el verdadero riesgo reside en la parálisis operativa, no en el rescate en sí.
Dato crucial: el 69 % de las empresas que pagaron un rescate fueron atacadas de nuevo. Pagar no te hace más seguro; simplemente demuestra que estás dispuesto a pagar.
Los atacantes ahora utilizan la doble extorsión: cifran tus archivos y amenazan con publicar los datos robados si no pagas. El 87 % de los ataques en 2025 implicaron la exfiltración de datos junto con el cifrado.
Cómo se ve en la práctica • Al llegar, el personal se encuentra con que todos los recursos compartidos de archivos están cifrados y hay una nota de rescate en cada estación de trabajo. • Las copias de seguridad también están cifradas porque estaban conectadas a la misma red. • Recibes una notificación: tus datos robados se publicarán en 72 horas a menos que realices el pago. |
✔ Qué hacer • Mantenga copias de seguridad sin conexión o inmutables, que se someten a pruebas periódicas. • Segmenta tu red para que el ransomware no pueda propagarse lateralmente desde un dispositivo comprometido. • Aplique parches a los sistemas conectados externamente según un cronograma definido. La mayoría del ransomware explota vulnerabilidades conocidas. • Tenga un plan de respuesta ante incidentes documentado antes de que lo necesite. |
Fuentes: Verizon DBIR 2025 · Sophos State of Ransomware 2025 · Informe anual del FBI IC3 2024
4. Compromiso de correo electrónico empresarial (BEC): no se requiere malware.
El fraude BEC es una de las amenazas más dañinas económicamente porque no requiere un ataque técnico. Un atacante se hace pasar por un proveedor, ejecutivo o contacto legal y desvía un pago legítimo . Sin malware. Sin alerta de firewall. Sin detección.
El IC3 del FBI recibió 21.489 denuncias de fraude BEC en 2023, con pérdidas ajustadas de 2.900 millones de dólares. En un periodo de tres años (2022-2024), se notificaron al IC3 pérdidas por fraude BEC de casi 8.500 millones de dólares. La Encuesta sobre Fraude de la Policía Federal Australiana (AFP) de 2025 reveló que el 63 % de las organizaciones sufrieron fraude BEC en 2024.
El equipo de recuperación de activos del IC3 del FBI reportó una tasa de éxito del 66 % en el bloqueo de transferencias fraudulentas, pero solo cuando las víctimas denunciaron en cuestión de horas. Los retrasos, incluso de unas pocas horas, suelen resultar en la pérdida definitiva.
8.500 millones de dólares en pérdidas BEC reportadas al FBI IC3 entre 2022 y 2024 Informe del FBI IC3/Nacha, 2025 |
Cómo se ve en la práctica • Un correo electrónico del dominio real de su proveedor con los datos bancarios actualizados para su próximo pago. • Un mensaje de su director ejecutivo solicitando una transferencia bancaria urgente antes del final de la jornada laboral. • Una solicitud de RRHH para actualizar los datos de depósito directo para la nómina, enviada desde una cuenta de empleado comprometida. |
✔ Qué hacer • Se requiere una llamada telefónica a un número conocido para cualquier cambio en los datos de pago o bancarios. • Habilitar la autenticación multifactor (MFA) en todas las cuentas de correo electrónico empresariales. • Exigir doble aprobación para las transferencias bancarias que superen un umbral definido. • Impartir formación específica sobre BEC al personal de finanzas y operaciones: este ataque tiene éxito por culpa del criterio humano, no por fallos técnicos. |
Fuentes: Informe anual del FBI IC3 2024 · Encuesta sobre fraude y control de la AFP 2025 · Análisis del IC3 de Proofpoint 2024 (mayo de 2025)
5. Software sin parchear y dispositivos periféricos expuestos
La explotación de vulnerabilidades aumentó un 34 % interanual en el informe DBIR 2025 de Verizon, representando el 20 % de las filtraciones confirmadas y superando al phishing como el segundo método de acceso inicial más común. Los ataques dirigidos a VPN se multiplicaron casi por ocho.
El riesgo para las pymes se concentra en la infraestructura perimetral: cortafuegos, dispositivos VPN, enrutadores y servidores de escritorio remoto. Estos dispositivos se encuentran directamente conectados a internet y, a menudo, ejecutan firmware obsoleto. El informe DBIR reveló que aproximadamente la mitad de las vulnerabilidades de los dispositivos perimetrales permanecieron sin resolver durante todo el período analizado.
Los atacantes no se dirigen a empresas específicas; realizan escaneos automatizados que identifican dispositivos vulnerables a gran escala y luego monetizan el acceso. Un firewall sin actualizar se detecta de la misma manera que Google indexa una página web.
Cómo se ve en la práctica • Un dispositivo VPN que ejecuta firmware de 2022 con una vulnerabilidad crítica documentada públicamente. • Protocolo de escritorio remoto (RDP) expuesto directamente a Internet sin controles de acceso adicionales. • Un plugin de CMS o un componente de sitio web sin actualizar durante seis meses, con una vulnerabilidad de inyección conocida. |
✔ Qué hacer • Mantener un inventario de todos los dispositivos con acceso a internet y las versiones de software. • Suscríbase a los avisos de seguridad de los proveedores: la mayoría de las vulnerabilidades se divulgan públicamente en cuestión de días. • Asigne un propietario designado responsable de aplicar los parches a cada sistema. • Desactive o reemplace los dispositivos periféricos antiguos que ya no reciben actualizaciones de seguridad. |
Fuentes: Verizon DBIR 2025 · Análisis de Enzoic DBIR 2025 (agosto de 2025)
6. Ataques de terceros y a la cadena de suministro
Las filtraciones de datos que involucran a socios externos se duplicaron con respecto al año anterior en el informe DBIR 2025 de Verizon, pasando del 15 % al 30 % del total de filtraciones . Su proveedor de contabilidad en la nube, su empresa de TI gestionada, su procesador de nóminas y su proveedor de sistemas de punto de venta (POS) introducen riesgos en su entorno.
El ataque no suele dirigirse directamente a tus sistemas, sino a los de tu proveedor. Los atacantes utilizan entonces la conexión de confianza ya existente para infiltrarse en tu entorno.
Un estudio de SensCy de 2025 reveló que el 41,4 % de los ataques de ransomware se originan a través de terceros. Cada 38 segundos, un ciberataque afecta a algún proveedor, socio, consultor o cliente. Las pequeñas empresas también son blanco de ataques, ya que se las utiliza como trampolín hacia las grandes empresas a las que proveen sus servicios.
Cómo se ve en la práctica • Su proveedor de servicios de TI gestionados ha sufrido una brecha de seguridad; los atacantes utilizan herramientas remotas para desplegar ransomware en las redes de los clientes. • La plataforma de nóminas que utiliza sufre una violación de credenciales y se filtran datos de los empleados. • Una actualización de software legítima de un proveedor contiene malware incorporado, que se instala automáticamente. |
✔ Qué hacer • Solicite a cada proveedor con acceso al sistema pruebas de sus controles de seguridad: aplicación de la autenticación multifactor, pruebas de penetración, capacidad de respuesta ante incidentes. • Revisa y restringe los permisos otorgados a las integraciones de terceros; la mayoría tiene más acceso del que necesita. • Asegúrese de que los contratos incluyan obligaciones de notificación de incumplimiento y plazos de respuesta. • Contar con un proceso para revocar rápidamente el acceso del proveedor si se sospecha de una vulneración de seguridad. |
Fuentes: Verizon DBIR 2025 · Informe de SensCy sobre amenazas de ciberseguridad para pymes 2025
7. Omisión de la autenticación multifactor: cuando la autenticación multifactor no es suficiente.
La autenticación multifactor (MFA) ya no es una solución casi completa. El bombardeo de notificaciones (inundar a un usuario con notificaciones push hasta que acepte una para detener las alertas) apareció en el 14 % de todos los incidentes en el informe DBIR 2025 de Verizon.
Los ataques de intermediario (AiTM) interceptan las solicitudes de autenticación multifactor (MFA) en tiempo real. El robo de tokens secuestra las cookies de sesión tras el inicio de sesión. El intercambio de tarjetas SIM permite a los atacantes controlar el número de teléfono de un empleado y todos los códigos SMS que recibe. El informe DBIR advierte explícitamente sobre los códigos OTP basados en SMS y señala las claves de acceso FIDO2 como la alternativa más fiable.
Esto no significa que deba eliminarse la autenticación multifactor (MFA); sigue siendo esencial. Significa que la MFA mediante notificaciones push ya no es suficiente para cuentas de alto valor.
Cómo se ve en la práctica • Un empleado recibe 30 solicitudes de autenticación multifactor en dos minutos a las 23:00 y acepta una para que dejen de llegar. • Un sitio de phishing captura simultáneamente la contraseña y la OTP, reproduciéndolas en tiempo real. • Un intercambio de tarjeta SIM le da al atacante el control del número de teléfono del empleado y de todos los códigos de verificación por SMS. |
✔ Qué hacer • Para correo electrónico, sistemas financieros y acceso de administrador: pase de la autenticación multifactor (MFA) mediante notificaciones push o SMS a claves de hardware FIDO2 o claves de acceso resistentes al phishing. • Capacite a los empleados para que informen de inmediato sobre las solicitudes inesperadas de autenticación multifactor (MFA); nunca acepte una que no haya iniciado usted. • Configure los sistemas de inicio de sesión para que emitan alertas sobre patrones de inicio de sesión inusuales, independientemente de que la autenticación multifactor (MFA) sea exitosa. |
Fuentes: Verizon DBIR 2025 · Análisis de Beyond Identity DBIR 2025 · Análisis de Descope DBIR 2025
8. Dispositivos personales no gestionados (BYOD)
El informe DBIR 2025 de Verizon reveló que el 46 % de los dispositivos comprometidos por ladrones de información que contenían datos de inicio de sesión corporativos no estaban gestionados: se trataba de ordenadores portátiles personales, ordenadores domésticos y teléfonos móviles utilizados para acceder a plataformas de trabajo.
Un dispositivo personal no registrado en la administración de dispositivos móviles (MDM) carece de políticas de seguridad, detección de puntos finales, cifrado forzado y borrado remoto. Si se infecta con malware de robo de información —a través de un correo electrónico fraudulento, una extensión del navegador o una descarga ilegítima—, todas las contraseñas y tokens de sesión guardados se extraen. Esto incluye credenciales para Microsoft 365, Google Workspace, plataformas bancarias y sistemas CRM.
Un estudio de VikingCloud de 2025 reveló que el 74 % de los propietarios de pymes gestionan la seguridad por sí mismos o confían en una persona sin formación específica. En muchas pequeñas empresas, nadie es responsable de definir ni de hacer cumplir los estándares de seguridad para los dispositivos finales.
Cómo se ve en la práctica • El ordenador portátil personal de un empleado se infecta a través de una extensión de navegador maliciosa instalada en su domicilio. • Sus credenciales de Microsoft 365 son extraídas y utilizadas para acceder al correo electrónico de la empresa en cuestión de horas. • Dado que el dispositivo nunca se registró en MDM, no hay visibilidad sobre la vulneración de seguridad. |
✔ Qué hacer • Defina una política BYOD que especifique a qué plataformas se puede acceder desde dispositivos personales. • Exigir comprobaciones de conformidad de los dispositivos antes de conceder acceso a sistemas sensibles. • Implementar la autenticación multifactor (MFA) y configurar los tiempos de espera de sesión en todas las plataformas en la nube. • Para entornos de mayor riesgo: implemente un acceso a la red de confianza cero que valide el estado del dispositivo al conectarse. |
Fuentes: Verizon DBIR 2025 · Estudio del panorama de amenazas cibernéticas de VikingCloud 2025
9. Suplantación de identidad por voz, deepfakes e inteligencia artificial
El vishing (phishing por voz) afectó al 30 % de las organizaciones en 2025 , un 15 % más que el año anterior. La clonación de voz mediante IA ahora alcanza una precisión del 98 % a partir de una muestra de audio de tres minutos. La tecnología de vídeo deepfake ha llegado al punto en que es posible la suplantación de identidad en tiempo real durante videollamadas en directo.
Un estudio de SensCy de 2025 documentó un aumento drástico de los archivos deepfake, pasando de 500.000 en 2023 a una cifra proyectada de ocho millones para finales de 2025. Un empleado del departamento financiero de una empresa de Hong Kong transfirió 25 millones de dólares tras una videollamada en la que todos los participantes, incluido el aparente director financiero, eran deepfakes generados por inteligencia artificial.
Para las pequeñas empresas, el riesgo práctico es más sencillo: una llamada de alguien que suena como su director ejecutivo, solicitando una transferencia bancaria urgente. Los oídos de sus empleados ya no son una herramienta de autenticación fiable.
Cómo se ve en la práctica • Una llamada de alguien que suena exactamente como tu director ejecutivo, pidiéndole al departamento de finanzas que procese un pago urgente. • Una videollamada con su "contable" solicitándole que confirme sus credenciales bancarias antes de una auditoría. • Un mensaje de texto del número real de un proveedor (teléfono comprometido) con un enlace a las condiciones de la factura actualizadas. |
✔ Qué hacer • Establecer una palabra clave verbal para las solicitudes financieras de alto valor, que deberá utilizarse independientemente de quién parezca estar llamando. • Capacite a los empleados para que sepan que un ejecutivo legítimo no se opondrá a una llamada de verificación. • Amplíe la capacitación sobre phishing para incluir escenarios de vishing y deepfake, no solo correo electrónico. • Implementar un proceso de confirmación fuera de banda para cualquier transferencia que supere un umbral definido. |
Fuentes: Informe de amenazas de ciberseguridad de SensCy 2025 · Informe de amenazas y tendencias de phishing de KnowBe4 2025
10. Error humano y riesgo interno
El informe DBIR 2025 de Verizon reveló que aproximadamente el 60 % de todas las filtraciones confirmadas involucraron una acción humana: un clic malicioso, una llamada manipulada o la entrega errónea de datos confidenciales. El Foro Económico Mundial sitúa el porcentaje de filtraciones atribuibles a errores humanos en un 95 %.
Esto no es una acusación contra los empleados. Es un reflejo del hecho de que los atacantes diseñan sus métodos específicamente para explotar la toma de decisiones humanas, y que los controles técnicos no pueden cerrar todas las brechas.
Para las pequeñas empresas, el problema se agrava por el exceso de permisos de acceso. Cuando todos los empleados tienen acceso a todas las carpetas y bases de datos porque así resulta más sencillo configurarlas, una sola cuenta comprometida puede acceder a todo. El acceso con privilegios mínimos —que otorga a los empleados acceso solo a lo que necesitan para su función específica— es uno de los controles más eficaces y, sin embargo, uno de los menos utilizados.
Cómo se ve en la práctica • Se envió por correo electrónico un archivo de datos de un cliente a una dirección externa incorrecta, lo que generó la obligación de notificar la violación de seguridad. • La cuenta de un exempleado seguía activa dos semanas después de su dimisión y se utilizaba para acceder a los archivos de la empresa. • Una contraseña de administrador compartida, que nunca se cambiaba, utilizada por un antiguo contratista para acceder a un sistema en la nube desde el extranjero. |
✔ Qué hacer • Implementar una lista de verificación para la baja de usuarios: desactivación inmediata de la cuenta y revocación del acceso en todas las plataformas. • Revise los permisos periódicamente. Elimine el acceso que ya no sea necesario. • Impartir formación sobre concienciación en seguridad al menos una vez al año, con sesiones de actualización específicas después de incidentes. • Registrar y recibir alertas sobre patrones de acceso anómalos: horarios inusuales, volúmenes de datos inusuales, ubicaciones inusuales. |
Fuentes: Verizon DBIR 2025 · Foro Económico Mundial Perspectivas Globales de Ciberseguridad 2025 · BD Emerson 2025
El costo de no hacer nada
Ninguno de los ataques mencionados es exótico. Ninguno requiere recursos estatales. Su éxito se debe a fallos operativos que son totalmente subsanables: credenciales reutilizadas en distintas plataformas, actualizaciones postergadas durante meses, empleados que nunca han visto un correo electrónico de phishing generado por IA, proveedores con acceso excesivo y exempleados con cuentas activas.
El informe "Costo de una filtración de datos 2025" de IBM reveló que las organizaciones con IA y automatización en sus operaciones de seguridad ahorraron un promedio de 2,2 millones de dólares por cada filtración. VikingCloud descubrió que el tiempo de inactividad provocado por un ciberataque le cuesta a las pymes aproximadamente 53 000 dólares por hora. El costo de los controles que previenen una filtración es casi siempre menor que el costo de la filtración en sí.
La cuestión es clara. Para la mayoría de las pequeñas empresas, la pregunta no es si pueden permitirse invertir en seguridad, sino si pueden permitirse no hacerlo.
Guía rápida: Los 10 vectores de ataque
Vector de ataque | Estadística clave | Control primario |
1. Suplantación de identidad (con ayuda de IA) | 193.000 denuncias, FBI IC3 2024 | Simulas de phishing; DMARC/SPF/DKIM |
2. Credenciales robadas | 22% de las infracciones; DBIR 2025 | Autenticación multifactor; monitorización de credenciales; gestor de contraseñas |
3. Ransomware | 88% de las filtraciones de datos de pymes; DBIR 2025 | Copias de seguridad sin conexión; segmentación de red; aplicación de parches |
4. Compromiso del correo electrónico empresarial | Pérdidas de 2.900 millones de dólares en 2023; FBI IC3 | Verificación verbal; autenticación multifactor por correo electrónico; doble aprobación |
5. Vulnerabilidades sin parchear | Explotación +34% interanual; DBIR 2025 | Inventario de activos; calendario de parches; desmantelamiento de sistemas heredados |
6. Cadena de suministro / Terceros | Las infracciones de terceros se duplicaron; DBIR 2025 | Evaluación de proveedores; limitar permisos; cláusulas de notificación |
7. Bypass del MFA | Bombardeo inmediato en el 14% de los incidentes. | FIDO2/claves de acceso para cuentas de alto riesgo |
8. BYOD / Dispositivos no gestionados | 46% de la exposición a credenciales; DBIR 2025 | Política de MDM; controles de cumplimiento; confianza cero |
9. Deepfakes y Vishing | Vishing: 30% de las organizaciones; 2025 | Palabras clave; verificación fuera de banda |
10. Error humano / Riesgo interno | 60% de las infracciones; DBIR 2025 | Proceso de desvinculación; trato preferencial; formación de sensibilización |
Preguntas frecuentes
¿Cuál es la forma más común en que las pequeñas empresas sufren ataques informáticos en 2026?
Según el informe DBIR 2025 de Verizon, las credenciales robadas siguen siendo el vector de acceso inicial más común, presente en el 22 % de todas las filtraciones confirmadas. El phishing es el tipo de ataque más frecuente en términos de volumen.
¿Cuánto le cuesta un ciberataque a una pequeña empresa?
El informe "Costo de una filtración de datos 2025" de IBM sitúa el costo promedio global de una filtración en 4,88 millones de dólares. Para las pymes en particular, un estudio de VikingCloud calcula que el costo por tiempo de inactividad asciende a aproximadamente 53 000 dólares por hora. El estudio de Total Assure de 2025 reveló una pérdida promedio por filtración para las pymes de aproximadamente 120 000 dólares.
¿La autenticación multifactor protege contra todos los ataques?
La autenticación multifactor (MFA) reduce significativamente el riesgo, pero ya no es una solución completa. El informe DBIR 2025 de Verizon documentó un aumento en las técnicas para eludir la MFA, incluyendo el bombardeo de mensajes (en el 14 % de los incidentes), los ataques de intermediario y el intercambio de tarjetas SIM. Para cuentas de alto riesgo, se recomienda el uso de claves de acceso FIDO2 resistentes al phishing en lugar de notificaciones push o códigos SMS.
¿Son realmente las pequeñas empresas un objetivo de los hackers?
Sí. El informe DBIR 2025 de Verizon reveló que el 88 % de las filtraciones de datos en pymes involucraron ransomware, y la investigación de KnowBe4 de 2025 encontró que el 80 % de los ataques de phishing generados por IA se dirigen a pymes en lugar de a grandes empresas. Las pequeñas empresas son objetivos atractivos precisamente porque suelen tener defensas más débiles.
¿Cuál es el control de seguridad más importante para una pequeña empresa?
Autenticación multifactor en plataformas de correo electrónico y financieras. Previene la gran mayoría de los ataques basados en credenciales y está disponible sin costo adicional en la mayoría de las plataformas. Combínala con un programa de simulación de phishing y un proceso formal de baja de usuarios para obtener el máximo retorno de la inversión en seguridad.
Acerca de este documento
Elaborado por Armour Cybersecurity ( armourcyber.io ) con fines informativos y de concienciación. Todas las estadísticas provienen de fuentes primarias publicadas en 2025 o 2026: Verizon 2025 DBIR, FBI IC3 2024 Annual Report (publicado en mayo de 2025), IBM Cost of a Data Breach 2025, Sophos State of Ransomware 2025, KnowBe4 2025 Phishing Trends Threat Report, Kaseya 2025 Email Security Report, VikingCloud 2025 Cyber Threat Landscape Study, AFP 2025 Fraud and Control Survey y otras fuentes citadas en cada sección. Las estadísticas deben verificarse con los informes originales para su uso formal. Armour Cybersecurity no garantiza la exactitud continua de los datos de terceros.
armourcyber.io · © Armour Cybersecurity 2026
Comentarios