La ciberseguridad en las pequeñas y medianas empresas (pymes) no siempre recibe la atención que merece, incluso por parte de las propias organizaciones. Esto resulta preocupante por varias razones, especialmente si se considera que estas compañías representan el 90 % de las empresas del mundo, el 70 % del empleo global y el 50 % del PBI mundial, según el Foro Económico Mundial (WEF). Con menos recursos para destinar a ciberseguridad, los fondos disponibles deben asignarse de la forma más eficaz posible.

Para estas organizaciones, la resiliencia cibernética debería ser el rumbo a seguir: es decir, la capacidad de continuar operando y recuperarse incluso durante un incidente grave. Pero ¿dónde comienza ese camino? La preparación cibernética consiste en implementar procesos y controles que permitan prevenir, detectar y responder a amenazas. Un nuevo informe de ESET detalla qué tan bien están posicionadas las pymes, cuáles son sus mayores desafíos y qué debería ocurrir a continuación.

La ciberseguridad como condición operativa

En muchos aspectos, las pymes no difieren de las grandes empresas. Enfrentan un panorama de amenazas que evoluciona rápidamente, con adversarios que aprovechan las tecnologías más recientes para aumentar el volumen, la escala y la velocidad de los ataques. La superficie de ataque corporativa se amplía con cada nueva herramienta digital y cada inversión tecnológica. Los empleados siguen siendo una fuente de riesgo. Y las empresas deben cumplir con un número creciente de exigencias regulatorias.

Según el informe de ESET, el 45 % de las pymes sufrió un incidente de ciberseguridad el año pasado, y un porcentaje aún mayor (61 %) teme sufrir un ataque en los próximos 12 meses. Las principales preocupaciones están relacionadas con la pérdida de datos, la interrupción operativa y el impacto financiero.

Estas son las mismas preocupaciones que comparten los dueños de pymes con los CISO y los directorios de las mayores multinacionales. Reflejan el carácter crítico de la preparación cibernética para el negocio y explican por qué la seguridad debe funcionar como una condición operativa: no como una función aislada del área de TI, sino como algo profundamente integrado en la cultura y en las operaciones del negocio. Este cambio es clave porque, si bien muchas pymes logran recuperarse, el 34 % aún necesita entre dos y seis semanas para resolver un incidente, un período de impacto operativo que puede resultar devastador para muchas empresas.

IA desde la perspectiva de las pymes

El informe también revela que la mayoría de las pymes (73 %) está incorporando inteligencia artificial en su negocio, aun cuando reconoce que esto introduce nuevos riesgos. También existen preocupaciones sobre su potencial en manos equivocadas. De hecho, el malware impulsado por IA es mencionado como la “amenaza más preocupante” por una pluralidad de los encuestados. ¿Debería ocupar un lugar tan destacado?

La realidad es que el malware que utiliza IA de forma automatizada y en tiempo real sigue siendo poco común, pese a lo que puedan sugerir los titulares. Los casos observados son relativamente escasos, lo que lo convierte más en un tema de investigación para especialistas que en una preocupación inmediata para las pymes.

Si observamos los incidentes reales de ciberseguridad, los responsables habituales concentran la mayoría de los casos. El phishing y las vulnerabilidades sin parchear encabezan la lista, en línea con datos de otras fuentes como el último informe de Verizon, que señala la explotación de vulnerabilidades y el phishing entre los tres principales vectores de acceso inicial para las pymes. Las contraseñas débiles y la falta de monitoreo de seguridad también ocupan posiciones destacadas en los datos de ESET.

En el caso de la IA, la amenaza más inmediata proviene del interior de las organizaciones. Según el DBIR, el shadow AI es la tercera acción interna no maliciosa más común. Al mismo tiempo, aunque el malware impulsado por IA no sea la principal preocupación, la IA y la automatización están ayudando a los actores de amenazas a mejorar sus capacidades y escalar sus operaciones, especialmente en ingeniería social, investigación y explotación de vulnerabilidades y otras amenazas “tradicionales”. En este contexto, las pymes consultadas por ESET muestran interés en utilizar IA para combatir estas amenazas, anticiparlas antes de que ocurran, identificar y mitigar ataques con mayor rapidez y detectar ingeniería social.

El desafío es que estas herramientas o bien no existen aún, o bien las pymes no siempre pueden beneficiarse de ellas.

Antes y después

Las pymes que adoptan programas de concientización en ciberseguridad están bien encaminadas hacia una postura de mayor preparación. Sin embargo, ¿lo hacen de forma proactiva? ESET detectó que la adopción de capacitación es más alta entre las empresas que han experimentado múltiples incidentes (81 % frente a 53 %). Estas organizaciones también muestran una mayor confianza en su resiliencia, posiblemente porque adoptaron de forma reactiva medidas de seguridad consideradas buenas prácticas.

En un escenario ideal, las pymes pasarían de una mentalidad de “más vale tarde que nunca” a otra en la que comprendan los beneficios de la preparación cibernética antes de que un incidente les deje lecciones difíciles.

La confianza es alta

La buena noticia es que cuatro de cada cinco encuestados consideran que su presupuesto de seguridad es suficiente o más que suficiente, y la mitad espera que aumente el próximo año. Esto indica una planificación inteligente y una asignación adecuada de recursos, incluida la externalización cuando resulta conveniente desde el punto de vista financiero y operativo. También refleja confianza en el gasto actual, aunque eso no significa que todas las pymes hayan alineado su presupuesto con los riesgos más probables para el negocio.

Entonces, ¿es razonable que la confianza en la resiliencia cibernética sea tan alta, especialmente cuando las organizaciones siguen siendo atacadas en reiteradas ocasiones? La confianza aumentó del 48 % en 2022 al 87 % este año. La realidad es que no existe un estado final de preparación o resiliencia cibernética. En lugar de celebrar lo logrado hasta ahora, las pymes deberían seguir enfocándose en:

  • Tecnologías y procesos con enfoque preventivo, incluyendo capacitación, parches regulares y una gestión sólida de identidades.
  • Evaluaciones de riesgo realistas y periódicas que ayuden a priorizar inversiones en seguridad.
  • Respuesta a incidentes que permita una recuperación más rápida y reduzca el impacto en el negocio.
  • Externalización de capacidades cuando corresponda, como servicios de detección y respuesta gestionadas (MDR).
  • Mejora del gobierno de TI para reducir el shadow IT y el shadow AI.

El camino recién comienza

A pesar de una gestión presupuestaria cuidadosa, una cuarta parte de las pymes afirma que contar con más fondos les permitiría mejorar su postura de ciberseguridad con mayor rapidez. La complejidad y la integración siguen siendo desafíos persistentes para quienes disponen de menos recursos. Los encuestados señalan que buscan servicios y soluciones confiables, completos y fáciles de usar.

Acceder a estas herramientas no debería ser tan difícil como lo es para muchas pymes. Si realmente se busca mejorar la preparación cibernética de las pequeñas empresas, la comunidad de proveedores debería asumir un rol más activo. Aun así, no existe una solución única. Las pymes han demostrado que están bien encaminadas hacia una mayor resiliencia, pero este es un proceso continuo que evolucionará junto con la tecnología y las amenazas. La vigilancia constante y la capacidad de adaptación serán claves a largo plazo.