Cuando un grupo de ransomware elige su próximo objetivo, no abre un periódico de negocios buscando Fortune 500. Más bien ejecuta un escáner. Identifica sistemas expuestos, versiones de software sin parche, credenciales filtradas en brechas anteriores. El criterio no es el tamaño de la empresa: es la relación entre el valor del activo y la dificultad de comprometerlo. Y en ese cálculo, la pequeña y mediana empresa sale perdiendo casi siempre.

El 43% de todos los ciberataques está dirigido a pymes, según datos compilados por Cisco. No es un daño colateral de campañas diseñadas para otros. Es targeting deliberado. Los adversarios desde grupos de ransomware como servicio hasta operadores de BEC han mapeado el ecosistema de las pymes con precisión: activos valiosos, conexiones con cadenas de suministro más grandes y defensas que en el mejor de los casos consisten en un firewall de consumo y un antivirus con la licencia vencida.

El adversario conoce tu superficie mejor que tú

Comcast Business monitoreó el tráfico de amenazas dirigido a pequeñas empresas entre junio de 2024 y mayo de 2025. Los números son contundentes: 4.700 millones de eventos de phishing y 9.700 millones de intentos de drive-by compromise en doce meses. Esa cadencia no es humana. Es infraestructura automatizada que sondea direcciones IP, enumera puertos, valida credenciales contra bases de datos de leaks y escala el ataque cuando detecta una apertura.

El vector de entrada preferido sigue siendo el correo electrónico. BEC, phishing dirigido y social engineering concentran la mayoría de los compromisos iniciales documentados. Y la IA generativa ha eliminado la última barrera de entrada que quedaba para los atacantes menos sofisticados: la calidad del señuelo. McKinsey cifra en un 1.265% el incremento de ataques de phishing desde la masificación de las plataformas de IA generativa en 2022. Un correo que antes delataba al atacante por sus errores ortográficos ahora llega en español impecable, con el logo del proveedor correcto, referenciando una factura real. La impersonación de voz por deepfake añade otra capa: el "contador" que llama pidiendo una transferencia urgente suena exactamente como el contador real.

Una vez dentro, el playbook es conocido. Reconocimiento interno, escalada de privilegios, movimiento lateral hacia sistemas de mayor valor, exfiltración de datos o cifrado para extorsión. El IBM Cost of a Data Breach Report 2025 fija el costo promedio global de una brecha en 4,4 millones de dólares. Para una pyme con márgenes ajustados, ese número no es un golpe: es una sentencia. Y eso antes de contabilizar la interrupción operativa, los pagos de extorsión, el coste legal y el daño reputacional. El 70% de los consumidores afirma que dejaría de comprarle a una marca tras un incidente de seguridad. Para una empresa cuyo negocio depende de la confianza del cliente local, ese porcentaje es el que realmente cierra empresas.

Por qué la pyme es una presa más rentable que la gran empresa

Imagen de louisehoffmann83 en Pixabay

Los grupos que operan RaaS —ransomware as a service— han ajustado su modelo de negocio con la misma lógica que cualquier empresa: maximizar retorno por unidad de esfuerzo. Comprometer una gran corporación puede requerir semanas de trabajo, evasión de EDR avanzados, movimiento lateral en entornos segmentados y equipos de IR que responden en horas. Comprometer una pyme que usa Microsoft 365 sin MFA, con RDP expuesto a internet y sin backups offsite verificados, puede tomar menos de 24 horas desde el primer punto de entrada.

La ausencia de controles básicos no es negligencia maliciosa, es consecuencia de la escasez de recursos. Solo el 38% de las pequeñas empresas tiene un experto o equipo de ciberseguridad a tiempo completo. El resto opera con lo que tiene, el responsable de IT que también gestiona el hardware, las licencias de software y el soporte a usuarios. En ese contexto la seguridad no es prioridad hasta que lo es, y para entonces ya es tarde.

El factor humano amplifica la exposición. El 65% de los empleados admite saltarse políticas de seguridad para ser más productivo. No por mala intención, sino porque nadie construyó el hábito de forma sistemática y porque las políticas suelen estar diseñadas para entorpecer en lugar de proteger. El 78% reutiliza contraseñas entre cuentas. Cada brecha pública de una plataforma de terceros se convierte, por tanto, en un vector de acceso potencial a la red corporativa de miles de pymes cuyos empleados usaron las mismas credenciales en ambos sitios. Es credential stuffing a escala industrial y es uno de los ataques más baratos y efectivos del catálogo adversarial actual.

Reducir la superficie cuando no tienes equipo

Seamos claros: la ciberseguridad de una pyme no va a igualarse a la de un banco. El objetivo no es la paridad; es elevar el costo de compromiso lo suficiente para que el atacante pase al siguiente objetivo. Los adversarios oportunistas, que representan la mayoría de los que apuntan a pymes, operan con economía de escala: necesitan que el ataque sea rentable. Si tarda demasiado o requiere demasiado esfuerzo, se mueven.

Las guías de CISA para pequeñas empresas ofrecen un marco de acción concreto sin requerir presupuesto de enterprise. El impacto real, sin embargo, se concentra en un puñado de controles que cierran los vectores más explotados:

• MFA en cuentas críticas: correo corporativo, acceso remoto, sistemas financieros. Un segundo factor bloquea la mayoría de los ataques de credential stuffing y phishing de credenciales sin inversión significativa. Es el control con mayor retorno por unidad de esfuerzo disponible hoy.
• Capacitación con simulaciones de phishing: no una presentación anual, sino ejercicios trimestrales que construyen el reflejo de verificar antes de hacer clic. El empleado entrenado es la diferencia entre un intento de BEC que se reporta y uno que termina en transferencia.
• Plan de respuesta a incidentes documentado: no necesita ser sofisticado. Necesita existir y estar accesible. Define qué cuenta como incidente, quién notifica, cómo se aíslan sistemas afectados y cómo se restauran backups. La parálisis en los primeros minutos de un ataque convierte un problema contenible en una brecha completa.
• MSSP para cobertura continua: un proveedor de servicios de seguridad gestionada ofrece capacidades de monitorización y respuesta a precios accesibles para pymes. Para una empresa sin recursos para un CISO, es la opción más racional para cubrir la brecha de expertise. La pregunta no es si es costoso; es si es más costoso que la alternativa.

La conexión de la pyme con cadenas de suministro más grandes añade otra dimensión al riesgo: comprometer a un proveedor pequeño puede ser el primer paso para acceder a su cliente corporativo. Los ataques de supply chain no siempre empiezan en el eslabón más fuerte. Empiezan donde hay menos resistencia y un vector de acceso hacia arriba en la cadena. Eso convierte la postura de seguridad de la pyme en un problema que trasciende sus propias fronteras.

¿Cuántos de tus sistemas críticos están expuestos a internet sin MFA habilitado? Ese número es exactamente lo que el siguiente escáner automatizado va a encontrar antes de que termines de leer esto.