En España se gestionaron en 2024 casi 100.000 incidentes relacionados con la ciberseguridad, que crecen a un ritmo superior al 16% anual y ya suponen un coste medio de hasta 75.000 euros por cada ataque a una pyme. Esto es la quiebra absoluta de la empresa por un simple descuido como no verificar una URL o un email. Nuestras empresas están en riesgo y seguimos mirando para otro lado.
Las cifras de la ciberseguridad en España son abrumadoras: el INCIBE gestionó más de 97.000 incidentes en 2024, con un crecimiento del 16,6% respecto al año anterior. De ellos, más de 31.000 afectaron directamente a empresas y negocios, sin importar su tamaño (luego volveremos a esta idea).
En 2025, las empresas españolas han sufrido casi 2.000 intentos de ataque cada semana. Eso supone que, cada día, las empresas de nuestro país se enfrentan a casi 300 intentos de ataque. Así es como funciona la ciberdelincuencia: a base de lanzar ataques masivos que, sí, la mayoría de las veces son repelidos; pero basta que uno de esos intentos triunfe para arrasar a la víctima.
Se estima que el coste medio que debe afrontar una pyme española atacada es de 75.000 euros. Si tenemos en cuenta que algo más del 97% de las empresas españolas facturan menos de dos millones de euros al año, afrontar un coste de hasta 75.000 euros supondría drenar el 4% de los ingresos anuales para paliar las consecuencias de un ataque. ¿Te parece poco el 4%? Piensa en una pyme que vea esos dos millones de facturación como una quimera: la realidad es que una pequeña empresa o negocio raramente llega a esas cifras.
En todo caso, si consideramos que el margen de beneficios de una pyme oscila entre el 5 y el 10%, esos 75.000 euros supondrían el 75% de las ganancias anuales de la empresa en el mejor de los casos (si facturase dos millones). Si la empresa factura un millón de euros (una cifra nada despreciable y difícilmente alcanzable), el ataque borraría de un plumazo el 7% de sus ganancias. Y si esa empresa apenas factura 100.000 o 200.000 euros (algo habitual en pequeños negocios), el impacto de un ataque supondría entre el 40 y el 70% de su facturación. O, visto de otra forma, una inapelable condena a la quiebra.
Si además tenemos en cuenta que ese coste para solucionar el problema de ciberseguridad generalmente tiene que ser desembolsado con rapidez para limitar la amplitud del daño, la consecuencia inmediata para la empresa puede ser la incapacidad para afrontar sus pagos esenciales, como salarios, proveedores o impuestos. En el caso de pequeños negocios, seguramente habría que recurrir a financiación extraordinaria para poder solucionar las consecuencias del problema, que muchas veces también podrán ser legales si involucran filtración de datos de clientes o proveedores. La ruina iría más allá de la inmediata quiebra de la empresa, extendiéndose más allá y prolongando su duración en el tiempo.
La ciberseguridad no es gratis, pero casi
Uno de los grandes mitos que rodean a la ciberseguridad es que se trata de un asunto complejo y costoso. La realidad desmiente el mito, del que deriva un inmovilismo que pone en riesgo a las empresas españolas (y de donde sean) cada minuto del día.
Para empezar, la industria de la ciberseguridad es muy dinámica y ofrece soluciones a todos los niveles: desde los más básicos, en forma de un antivirus que, en muchas ocasiones, ni siquiera cuesta dinero, hasta sistemas más complejos creados a la medida de cada organización, precisamente para proteger sus áreas más sensibles. También hay especialización, con productos y herramientas enfocados a distintos ámbitos que permiten crear una seguridad por capas para mejorar las capacidades defensivas y reactivas de la empresa.
Vamos a verlo con números: para una microempresa, una solución de ciberseguridad aceptable se movería en una horquilla de entre 500 y 2.500 euros al año. Soluciones más avanzadas suponen una mayor inversión: hasta 10.000 euros al año en el caso de empresas de hasta 50 empleados o 50.000 euros anuales en el caso de empresas de 250 empleados. Para que te hagas una idea, el coste medio de proteger un dispositivo o puesto de trabajo supone unos 200 euros anuales si queremos un servicio gestionado por profesionales.
Sin embargo, no toda la estrategia de ciberseguridad de una empresa debe dejarse exclusivamente en manos de la propia tecnología. Hay un segundo factor casi tan importante como ese. Y es el humano.
El papel de las personas
¿Sabías que en el 74% de los ciberataques los delincuentes han contado con la inesperada ‘ayuda’ de los empleados de la propia empresa para acceder a sus ecosistemas y atacar?
La ciberdelincuencia es más un juego psicológico que técnico. Gracias a la ingeniería social, que permite camelarse a los empleados para engañarlos y obtener acceso a la empresa para atacarla, los ciberdelincuentes consiguen que en 7 de cada 10 ataques esté involucrado el factor humano. O, dicho de otro modo: podríamos evitar 7 de cada 10 ataques con solo formar a esos humanos para hacerlos más resilientes a un ciberataque. Sobre todo, si tenemos en cuenta que 9 de cada 10 ataques comienzan con técnicas tan rudimentarias como el phishing. Si no sabes qué es, estás en peligro.
Los principales errores que comenten los humanos son utilizar contraseñas débiles y reutilizarlas en diferentes servicios y plataformas (de manera que con solo vulnerar uno de esos servicios ya se podrá acceder a los demás); tener mal configurados los dispositivos, con vulnerabilidades obvias a disposición de los atacantes; o no verificar correctamente mensajes SMS, emails, enlaces o llamadas telefónicas que se reciben por parte de remitentes generalmente desconocidos (o bien de remitentes que aparentan ser verídicos, pero de los cuales no se realiza una labor de comprobación antes de realizar acciones o tomar decisiones).
Estas son las principales conductas de riesgo, que se pueden evitar con formación: desde la más básica hasta la más profunda. Pero si ni siquiera la básica está presente en las empresas, ¿qué futuro les espera?
Por dónde empezar
Vamos a dejar ya los nubarrones para centrarnos en las soluciones. Te planteo una hoja de ruta muy fácil de seguir, que puedes o no seguir y que ni siquiera es el camino único hacia la protección (pues la absoluta no existe):
- Si no sabes nada de ciberseguridad y te suena a algo esotérico que se juega en despachos de ‘frikis’ expertos en programación, empieza por leer ‘Ciberseguridad: una guía para la vida digital’, el libro de Marlon Molina en colaboración con el clúster MAD FinTech que explica los conceptos básicos de ciberseguridad de forma sencilla y amena. Para que no pienses que trato de venderte algo ‘de la casa’, elige, en su defecto, uno de los cientos de libros similares que encontrarás en cualquier librería. Lo puedes adquirir en este enlace.
- Con esa base de conocimiento sobre las técnicas que usan los ciberdelincuentes para engañarte, ármate a dos niveles: el primero, a nivel técnico, contratando una solución de ciberseguridad a la medida de tus necesidades personales y empresariales; el segundo, a nivel psicológico, implementando desde ya una estrategia de desconfianza por sistema ante cualquier email, SMS o enlace que recibas de un contacto desconocido, verificando siempre que los enlaces y mensajes sean o no reales antes de tomar cualquier decisión. Como parte de esa estrategia, nunca tomes decisiones bajo presión, prisa o amenazas: tómate tu tiempo para analizar la situación, verificarla y actuar en consecuencia.
- Si diriges una empresa o eres autónomo, contrata un ciberseguro que te cubra potenciales pérdidas derivadas de un ciberataque. Son soluciones sencillas que te ayudarán a recuperarte a todos los niveles si los cortafuegos técnicos y psicológicos fallan (que pueden fallar, porque nada es infalible).
- Únete a organizaciones que te ayuden a reciclarte y protegerte. El clúster MAD FinTech realiza labores de formación y actualización en ciberseguridad para sus socios y para la sociedad en general, con talleres, publicaciones, cursos y seminarios, además de a través de acompañamiento de empresas y entidades expertas en ciberseguridad. Si te unes a MAD FinTech, podrás proteger mejor a tu empresa, además de formar parte de un ecosistema innovador donde entrarás en contacto con más de 100 empresas. Puedes consultar aquí las modalidades de acceso y, si quieres unirte, solicítalo escribiendo a s.fernandez@madfintech.es
Como ves, la ciberseguridad es un problema de primera magnitud que, sin ninguna duda, debería estar entre tus prioridades en 2026. Y comenzar a prestarle atención es rápido, fácil y económico. Las consecuencias de no hacerlo, por el contrario, pueden ser dramáticas. Es el momento de actuar.
Miguel Ángel Ossorio Vega, periodista especializado en tecnología.
