Las pymes sufrieron en 2024 más de 31.500 ciberataques, de lo que se deduce que estos ataques son cada vez más frecuentes, y recuperarse de ellos es cada vez más caro para este tipo de empresas.
Esto se debe a que los ataques son cada vez más sofisticados, así como al aumento de la presión regulatoria, han aumentado el impacto de los accidentes. Especialmente, en los sectores que dependen de sistemas críticos para su actividad diaria. Todo esto está llevando a ataques más eficaces, costosos y disruptivos para las empresas.
Como hemos visto, la subida del coste de los ciberataques se debe a la suma de varios factores. Por un lado, a la mayor sofisticación de ataques, que combinan ingeniería social, secuestro de equipos, robo de credenciales y exfiltración de datos.
Por otro está la dependencia digital, que hace que cualquier interrupción tengan un impacto notable en procesos esenciales como las ventas, la facturación, la atención al cliente o la cadena de suministro. A esto se suman las nuevas obligaciones en materia de regulación, como NIS2, DORA, ENS o CRA.
Estas exigen notificar incidentes, demostrar diligencia y mantener medidas de seguridad adecuadas. Esto coloca a las pymes en una situación de fragilidad especial, ya que la mayoría reconoce que no tiene un plan formal de respuesta a incidentes. La mayor parte, además, depende de un solo backup, o no tiene visibilidad de los accesos y dispositivos conectados a su red.
Por otro lado, la falta de prácticas básicas para protegerse de ciberataques, como las copias de seguridad, una autenticación robusta, la monitorizacion continua o las revisiones periódicas de proveedores siguen siendo uno de sus principales puntos débiles.
Según Secure&IT, el coste medio de los ciberataques ha subido desde 2020, y supera ya el 25% de incremento a nivel global. Además, la compañía reconoce que recuperarse de ciberataques es mucho más caro que hace cinco años porque aunque la empresa no haya crecido, los ataques son más complejos y exigen más trabajo técnico, legal y organizativo.
Francisco Valencia, Director general de Secure&IT, ha recordado que «la pyme sigue siendo uno de losobjetivos prioritarios del cibercrimen, no por su tamaño, sino por su exposición y, en muchos casos, por su limitada capacidad defensiva. Por ello, el coste de un ataque seguirá aumentando mientras las necesidades del negocio crezcan más rápido que la adopción de medidas preventivas.
Valencia ha subrayado también que «la pyme española está más informatizada que nunca, pero también es más vulnerable. Una parada del ERP, un fraude por suplantación, un ataque de ransomware o la caída de un servicio, puede suponer días sin facturar, pérdida de clientes y posibles sanciones. Y ese coste no deja de crecer».
