Uno de los mitos que circula en el ámbito de la ciberseguridad es que las pequeñas y medianas empresas (también llamadas pymes) no son atractivas para el cibercrimen ya que son “demasiado pequeñas”, si se las compara con las grandes corporaciones.

Sin embargo, según el informe Data Breach Investigations Report 2025 de Verizon, las pymes representaron casi cuatro veces más víctimas que las grandes organizaciones. Este dato se explica en parte por la enorme cantidad de pymes en actividad, pero también revela que los cibercriminales no las excluyen como objetivo.

Además, las pymes son un blanco frecuente para los actores maliciosos: el ransomware está presente en el 88 % de las brechas que sufren, una proporción mucho mayor que en grandes organizaciones (39 %) y significativamente más alta de lo que cabría esperar.

Aunque las grandes empresas concentran más ataques en términos absolutos, las pymes son afectadas por el ransomware de una forma llamativamente desproporcionada, ya que este tipo de ataque representa la mayoría de las brechas en este tipo de estructuras.

En este contexto, tomar acciones concretas de prevención emerge como una necesidad latente para las pymes.

Los 12 controles de ciberseguridad básica para pymes

A continuación, entonces, detallaremos los 12 controles de ciberseguridad básica para este tipo de empresas.

1. Multifactor de autenticación (MFA)

Es importante comprender que el multifactor de autenticación representa un sistema de seguridad para proteger el acceso a cuentas y aplicaciones. Para ello solicita dos o más métodos de verificación de la identidad del usuario, en vez de solo la contraseña. Este factor puede ser algo que la persona sabe (contraseñas o PIN), algo que la persona posee (teléfono) y/o algo que la persona es (huella digital o reconocimiento facial).

La activación del MFA debe ser obligatoria en los correos electrónicos (sea Microsoft o Google), VPN y cualquier tipo de cuentas administrativas. ¿El motivo? Suprimir el acceso que se basa solamente en “usuario y contraseña” para los puntos más críticos. Esto reducirá considerablemente el riesgo de ser víctima de ataques de phishing, filtración de credenciales y ataques de fuerza.

Criterio de cumplimiento: Cuando ningún acceso sensible funciona solo con “usuario y contraseña”.

2. Contraseñas

Otro punto clave es la implementación de un gestor de contraseñas, y también que cada una de esas claves sea única.

Aquí es importante mencionar que un gestor de contraseñas es una herramienta diseñada específicamente para almacenar credenciales de acceso y protegerlas mediante cifrado. Esto quiere decir que si utiliza un gestor de contraseñas solo se necesitará recordar una contraseña o llave maestra que nos dará acceso a todas las credenciales guardadas. A su vez, cuenta con una funcionalidad dedicada a generar contraseñas complejas y robustas.

El objetivo de su implementación es minimizar el riesgo de la reutilización de contraseñas y fortalecer la gestión de credenciales de toda la organización. De esta manera, también se reduce la exposición a filtraciones, ataques de fuerza bruta y phishing.

Criterio de cumplimiento: Cuando nadie reutiliza contraseñas y el gestor se encuentra instalado en cada dispositivo (PC y/o móvil).

3. Parcheo y actualizaciones automáticas

Una de las principales vías de entrada para los cibercriminales son los softwares desactualizados, ya que aprovechan vulnerabilidades conocidas en sistemas operativos, navegadores y aplicaciones de uso cotidiano.

¿Cómo reducir este riesgo? Una de las medidas más efectivas es activar actualizaciones automáticas en todos los equipos, aplicaciones y programas, evitando así depender de la memoria o disponibilidad del usuario.

Criterio de cumplimiento: Cuando todos los dispositivos cuentan con la última versión instalada sin intervención manual, garantizando que cada parche de seguridad se aplica apenas está disponible.

4. Copias de seguridad

En un contexto en el que el ransomware es una de las amenazas más peligrosas para las pymes, las copias de seguridad emergen como una medida de prevención clave. Porque, además, sirven para remediar también fallas técnicas y errores humanos.

Una buena técnica de protección es aplicar la regla 3-2-1-1-0: tener 3 copias de los datos, en 2 soportes distintos, 1 que esté fuera de la ubicación principal, y otro 1 inmutable u offline, obteniendo así 0 errores de restauración. ¿Cuál es el punto clave? Tener al menos una copia desconectada de la red o configurada como inmutable en la nube, así no puede ser vulnerada o alterada por un atacante.

Criterio de cumplimiento:Cuando se puede restaurar un archivo reciente sin errores, validando así que la copia funciona en la práctica y no solo en teoría.

5. Filtro de correo y bloqueo de macros por defecto

El correo electrónico sigue siendo uno de los vectores de ataque más comunes (a través de campañas de phishing o archivos maliciosos que simulan ser documentos legítimos), y por eso es prioritario activar filtros anti-phishing y anti-spam. A su vez, bloquear por defecto la ejecución de macros en documentos de Office y formatos similares.

Vale recordar que las macros son un recurso muy utilizado por los atacantes para ejecutar código malicioso sin que el usuario lo note. Por eso, deben estar deshabilitadas salvo en casos muy específicos y previamente aprobados.

Criterio de cumplimiento: Cuando cualquier archivo con macros requiere una aprobación explícita antes de ejecutarse, evitando que el usuario haga clic por costumbre y quede expuesto.

6. Accesos remotos seguros

En este punto hay que ser claros: que el Protocolo de Escritorio Remoto (más conocido como RDP) se encuentre expuesto directamente a internet es como dejar la puerta de la oficina abierta las 24 horas, sin ningún tipo de protección. Y así, los atacantes pueden lanzar ataques de fuerza bruta o explotar vulnerabilidades conocidas.

Ante este escenario, la acción recomendada es cerrar el acceso RDP desde internet y habilitar conexiones a través de una VPN protegida con MFA. ¿Qué garantiza? Que solo usuarios autorizados puedan llegar al entorno interno, con una capa extra de validación.

Criterio de cumplimiento: Cuando no existen puertos de escritorio remoto accesibles desde fuera de la red corporativa.

7. Principio de mínimo privilegio

La decisión de entregar más permisos de los necesarios a ciertos usuarios puede tener un lado B muy peligroso: abrir una ventana extra para que un atacante escale dentro de la red. Allí es donde entra en juego el Principio de Mínimo Privilegio, el cual implica que cada usuario solamente tenga los accesos estrictamente necesarios para sus tareas.

En la práctica, se trata de separar las cuentas administrativas de las cuentas de uso diario, y aplicar políticas de baja inmediata para las cuentas inactivas o de exempleados. ¿El objetivo? Reducir la superficie de ataque y evitar que credenciales con permisos altos queden expuestas sin control.

Criterio de cumplimiento: Cuando ningún usuario utiliza una cuenta de administrador para las tareas diarias, y las cuentas inactivas se eliminan de forma eficiente y sistemática.

8. Protección de los endpoints

Los equipos de los usuarios (PC, notebooks, teléfonos móviles) son blanco favorito de los atacantes, y por ello es clave convertirlos en la primera línea de defensa de las pymes.

El consejo, entonces, es no contar solamente con un antivirus tradicional, sino que lo ideal es implementar una solución de EDR (Endpoint Detection & Response); o bien un antimalware/antiransom avanzado que detecte comportamientos sospechosos.

La finalidad de este punto crítico es que todos los dispositivos de la organización estén protegidos y con la solución actualizada, y que puedan ser gestionados desde la consola central, para así tener visibilidad en tiempo real y poder actuar en consecuencia.

Criterio de cumplimiento: Cuando la consola muestra la totalidad de los endpoints protegidos y al día.

9. Inventario de equipos y software

Aquí aplica una premisa clara: no se puede proteger aquello que no se conoce. Entonces, otra acción básica de ciberseguridad es tener un inventario al día de todos los dispositivos (PCs, portátiles, servidores) y del software instalado. ¿El objetivo? Identificar qué está realmente en uso y qué quedó obsoleto o fuera de control.

Una vez realizado el check, se deben eliminar las aplicaciones que no se utilizan para así reducir riesgos. Esto simplifica las actualizaciones y disminuye la superficie de ataque.

Criterio de cumplimiento: Cuando no hay software desconocido ni aplicaciones sin uso instaladas; y el inventario de equipos refleja con exactitud lo que la organización tiene operativo.

10. Política de seguridad de teléfonos móviles

Toda la vida digital pasa por la palma de nuestras manos. Es que los teléfonos móviles hoy manejan información tan o más crítica que una PC de escritorio: almacenan contraseñas, correos y aplicaciones corporativas. Entonces, si no se gestionan de la manera correcta, se convierten en un blanco fácil para los cibercriminales.

Una buena práctica es implementar una política de seguridad móvil, sobre todo en entornos BYOD (Bring Your Own Device), donde equipos personales también se usan para trabajar. Esta iniciativa debe incluir PIN o biometría obligatoria, cifrado del dispositivo, capacidad de borrado remoto y separación clara entre datos laborales y personales.

Criterio de cumplimiento: Cuando todo dispositivo móvil que acceda al correo y recursos corporativos cumple con estos requisitos básicos de la política de seguridad.

11. Filtrado DNS/URL

Otra forma por la que las pymes pueden ser víctimas de un ataque es si algún colaborador visita un sitio web comprometido o malicioso. Para reducir este riesgo, es fundamental el filtrado de DNS y URLs.

¿Por qué es tan importante su implementación? Porque permite que se bloqueen de manera automática los dominios conocidos como peligrosos, y así se evita que los usuarios accedan por error a páginas que descarguen malware o busquen obtener sus datos mediante el phishing.

Criterio de cumplimiento: Cuando los dominios maliciosos quedan bloqueados sin intervención del usuario.

12. Formación breve y continua

La ciberseguridad no depende solo de la tecnología, sino que el factor humano es clave. Esto se debe a que las mejores herramientas pueden no ser suficientes si los usuarios no reconocen amenazas como correos de phishing o enlaces maliciosos.

La recomendación para cumplir con este punto es implementar micro-capacitaciones regulares, de unos 10 minutos al mes, enfatizando en acciones clave como no ingresar credenciales desde enlaces y reportar correos sospechosos.

De hecho, para reforzar el aprendizaje, se pueden usar simulaciones de phishing y establecer un canal claro de reporte para dudas o incidentes.

Criterio de cumplimiento: Cuando el equipo sabe identificar riesgos y a quién reportarlos, garantizando que la capacitación se traduce en acciones concretas frente a amenazas reales.

Pensamientos finales

El contexto actual invita a las pymes a revisar el estado de su ciberseguridad, entendiendo que no debe ser una opción, sino una prioridad. La implementación de estos 12 controles básicos puede construir una base sólida para reducir, de manera rápida y significativa, el riesgo de sufrir incidentes que pongan en jaque la continuidad del negocio.

Activar el MFA, mantener el software actualizado, realizar copias de seguridad y capacitar al equipo son acciones concretas, que pueden llevarse a cabo de manera inmediata. Lo ideal es contar con una solución de seguridad integral que acompañe estas prácticas. Una herramienta que combine protección de endpoints, detección de comportamientos sospechosos y gestión centralizada ayuda a que las políticas se cumplan en todos los dispositivos, reduciendo el margen de error humano y tecnológico.

Soluciones como ESET ofrecen este enfoque: mantienen los endpoints actualizados y protegidos, permiten visibilidad centralizada y facilitan la aplicación de controles de seguridad de manera consistente, lo que complementa y refuerza las medidas preventivas para pymes.

Implementar cada uno de estos controles es un paso hacia una empresa más resiliente y preparada frente a las amenazas que ya no discriminan por tamaño.