Pymes vulnerables: Una de cada cuatro pymes está en riesgo muy elevado de sufrir un ciberataque
En BOTECH hemos elaborado el Informe “El estado de la Ciberseguridad en Pymes”, una completa radiografía sobre el nivel de exposición y las medidas de protección de las pequeñas y medianas empresas. Un documento elaborado tras un proceso de captación de datos y análisis entre casi 1.000 pymes donde se desvelan datos tan preocupantes como:
Este estudio ofrece una radiografía inédita de la ciberseguridad en el tejido empresarial de las pymes y gracias a ese análisis, ha sido posible definir una puntuación de riesgo de 0 a 100 en los principales vectores de amenazas, así como a nivel global. La puntuación media de riesgo es de 43,80 sobre 100, lo que revela una cobertura media deficitaria frente a ciberataques. Además, se ha detectado una gran diferencia en las medidas de protección adoptadas por las pymes y una urgente necesidad de acción.
Una de las principales conclusiones del estudio es que 1 de cada 4 pymes está en riesgo muy elevado de sufrir un ciberataque. Intrusiones dirigidas y escaladas de privilegios (amenazas derivadas del uso indebido de cuentas con privilegios elevados o atacantes externos que han logrado escalar privilegios) encabezan la lista de las ciberamenazas más peligrosas y el 100% de las pymes está expuesto en fases iniciales de acceso por privilegios mal gestionados.
A pesar del aumento en los últimos años del ransomware y el malware (conjunto de amenazas basadas en la instalación de código malicioso en los sistemas de la organización), solo un 6% mantiene baja exposición ante este tipo de incidentes, dato que llama la atención si lo comparamos frente al 35% en países como Reino Unido o Estados Unidos. No obstante, el estudio nos muestra una desigualdad extrema en el panorama de ciberseguridad en España. Por un lado, nos encontramos con pymes totalmente vulnerables o un muy bajo nivel de seguridad, que conviven en el mismo ecosistema con compañías que sí cuentan con defensas más robustas.
El patrón que más se repite es el de áreas razonablemente cubiertas en algunas etapas, junto a áreas completamente vulnerables y desatendidas. Más que desigualdad, es heterogeneidad absoluta. En este sentido, el estudio pone en evidencia algunas carencias críticas en la protección digital de las pymes españolas. Por un lado, sólo un 18% de las empresas logra limitar eficazmente la instalación de malware en sus dispositivos clave, lo que deja al resto expuesto a infecciones que pueden propagarse sin control. Y, por otro lado, nos encontramos algo aún más preocupante, como que menos del 10% cuenta con mecanismos adecuados para gestionar el impacto final lo que implica una capacidad de respuesta muy limitada ante incidentes graves.
Además, 1 de cada 4 negocios permite la ejecución de herramientas maliciosas una vez que el atacante ha superado la fase de acceso inicial, lo que demuestra una falta de contención en las etapas críticas del ataque. A esto se suma un alarmante déficit de vigilancia técnica: apenas un 5% de las pymes realiza auditorías externas de seguridad o ha desplegado firewalls específicos para sus aplicaciones web (WAF), elementos clave para detectar vulnerabilidades y frenar ataques en tiempo real.
Estos datos confirman que, pese a cierta conciencia del riesgo, la implementación de medidas eficaces sigue siendo muy baja, especialmente en los entornos más sensibles y vulnerables.
Estos datos confirman que, pese a cierta conciencia del riesgo, la implementación de medidas eficaces sigue siendo muy baja, especialmente en los entornos más sensibles y vulnerables.
Reforzar el acceso a sistemas críticos mediante MFA y políticas estrictas de contraseñas reduce drásticamente el riesgo de intrusiones por robo de credenciales.
Dividir la red en zonas aisladas y protegerlas con firewalls específicos impide que un atacante se desplace libremente (“lateralmente”, en la jerga de la ciberseguridad), tras una brecha inicial.
Implementar copias de seguridad desconectadas y seguras incrementa la capacidad de recuperación, incluso en caso de cifrado masivo de datos.
Capacitar al personal y realizar simulacros reales permite detectar debilidades humanas, responsables de buena parte de los accesos iniciales.
Mantener los sistemas actualizados y supervisar fallos de seguridad de forma proactiva ayuda a cerrar puertas antes de que sean explotadas.
El panorama general de los datos analizados nos confirma un punto de partida de riesgo intermedio-alto, con grandes brechas entre empresas avanzadas y rezagadas. Casi el 60% de las pequeñas y medianas empresas tienen un riesgo medio-alto o alto de sufrir un ataque de ransomware y malware. Lo que nos muestran los datos del estudio es que, actualmente, las pymes tienen unas coberturas mínimas en algunas áreas y grandes carencias en la mayoría por lo que es importante tomar medidas para su protección.
Este informe no busca alarmar, sino dar herramientas concretas y servir de punto de apoyo para que las pymes tomen sus mejores decisiones desde una base empírica y comparativa. Las pymes son el corazón económico de la sociedad y necesitan soluciones realistas, escalables y efectivas para enfrentar un entorno cada vez más complejo.
Puedes acceder al informe completo aquí 👉 https://botech.info/informe-pymes-2025/
Envíanos un correo a info@botech.info o bien rellena el siguiente formulario de contacto.