Acabo de volver del Congreso de Ciberseguridad de Málaga. Y tengo la cabeza hirviendo.
No por las charlas técnicas, que también. Sino por lo que vi en los pasillos, en las conversaciones de café, en las caras de los asistentes. Hay una desconexión total entre lo que saben los expertos y lo que hace la empresa media. Y con “la empresa media” me refiero a la pyme de 15 trabajadores, al autónomo que factura bien, al despacho de abogados que guarda todo en un NAS sin contraseña. Esa empresa.
Y es que el panorama ha cambiado. Ya no hablamos de virus raros que te llegan por correo con una señora nigeriana que necesita tu ayuda. Hablamos de inteligencia artificial usada para hackearte. Y no, no es ciencia ficción.
Los ciberataques basados en inteligencia artificial crecieron un 63% en 2024 (McKinsey Digital Security Report). Las pymes son el objetivo favorito: el 43% de los ataques van contra negocios de menos de 50 empleados (INE, 2024). La mayoría fracasan por errores humanos básicos, no por falta de tecnología.
Subestimar al enemigo (y pensar que no te va a tocar)
Este es el error número uno. El más común. El que yo mismo cometí durante años.
Cuando montas un negocio pequeño, piensas: “¿Quién va a querer atacarme a mí? No soy ni el Banco de España ni una multinacional farmacéutica”. Y tienes razón en parte. No eres un objetivo prioritario para un ataque dirigido con un equipo de hackers sentados en una habitación oscura. Pero eres el objetivo perfecto para un ataque automatizado que barre miles de direcciones IP y busca la más vulnerable.
Ahí está el truco. La inteligencia artificial permite a los ciberdelincuentes lanzar ataques masivos y personalizados al mismo tiempo. Suena contradictorio, pero no lo es. Un bot con IA puede analizar tu presencia online en segundos, extraer de qué trabajas, quién es tu contable, cómo te diriges a tus clientes, y generar un correo de phishing que parezca escrito por tu mejor amigo. Y puede hacerlo con 10.000 empresas a la vez.
Lo que me sorprendió en el congreso fue escuchar a un experto del INCIBE decir que el 90% de los ataques exitosos a pymes empiezan con un error humano. No con un fallo técnico. Con alguien que picó. Y ese alguien pica porque el mensaje estaba muy bien hecho.
Un caso que me contaron: una asesoría fiscal de 8 personas recibió un correo que parecía de la Seguridad Social. Mismos colores, mismo logo, mismo tono. Solo que pedía actualizar los datos de un cliente con un enlace. La administrativa picó. En 20 minutos tenían secuestrados los archivos de todos sus clientes. El rescate: 4.000 euros en Bitcoin. Pagaron. Y luego tuvieron que pagar a un consultor para recuperar los sistemas.
La alternativa no es carísima. Empezar con un sistema de detección de anomalías no cuesta lo que crees. Y hacer pruebas de penetración (que es básicamente contratar a un hacker amigo para que intente colarse) una vez al año. Si me preguntas, yo recomendaría hacerlo cada seis meses si tratas con datos de clientes, como es el caso de muchos de nuestros clientes en chatbots y automatización.
Confiar en que el antivirus de hace tres años sigue valiendo
Este error es más sutil. Porque no es que la gente no quiera actualizarse. Es que piensa que su capa de seguridad actual sigue siendo suficiente. “Total, el firewall lo compré hace dos años”. Como si la seguridad informática funcionara como un seguro de coche que pagas una vez y olvidas.
Pues no.
Las amenazas evolucionan cada semana. Y los sistemas de seguridad tradicionales están diseñados para detectar patrones conocidos. Pero la IA generativa permite crear malware que cambia su firma constantemente. Es como intentar pillar a un ladrón que se cambia de disfraz cada cinco segundos. El antivirus clásico no lo ve.
Esto lo cambia todo para las empresas que todavía usan Windows 7 o tienen un router que les dio el proveedor de internet en 2018. Porque los ataques modernos no necesitan encontrar una vulnerabilidad compleja. Les basta con que no hayas aplicado el parche de seguridad de hace tres meses.
En el congreso, un ponente de Gartner soltó un dato que me heló: el 58% de las brechas de seguridad en pymes ocurren por vulnerabilidades conocidas para las que ya existía parche. La empresa no lo había instalado. Punto.
El coste medio de un ciberataque para una pyme española ronda los 35.000 euros (Deloitte Cyber Survey, 2024). Para un autónomo, unos 5.000. Y el tiempo medio de recuperación es de 22 días.
La alternativa es aburrida pero funciona: calendario de actualizaciones. Literalmente, ponerte en Google Calendar una tarea recurrente el primer lunes de cada mes: “Actualizar sistemas de seguridad”. Y cuando digo sistemas, me refiero a todo: el antivirus, el ERP, el sistema operativo, el plugin de WordPress si tienes web. Todo. Y si no sabes qué actualizar, contrata a alguien que lo haga por ti. Un par de horas al mes de un técnico externo te cuesta menos que un rescate.
Olvidar que el eslabón más débil lleva zapatos
De esto nadie habla. De verdad. Todos los CTOs y dueños de empresa se centran en firewalls, en cifrados, en VPNs. Y luego el empleado nuevo usa “123456” como contraseña o abre un PDF que promete un 30% de descuento en Amazon.
No es culpa del empleado. La mayoría de la gente no tiene ni idea de lo que es un ataque de phishing. Y no debería necesitarlo para hacer su trabajo. Pero la realidad es que si trabajas con ordenador, formas parte de la cadena de seguridad. Y si fallas, todo el sistema se cae.
Lo he visto mil veces. Una empresa invierte 10.000 euros en un sistema de seguridad perimetral, pero la comercial usa el mismo correo para todo: “hola@empresa.es”. Y un día responde a un mensaje falso que parece de su jefe. Le piden que transfiera 3.000 euros a un proveedor urgente. Lo hace. Esa misma semana el jefe le dice: “Pero si yo no te pedí nada”.
Clásico. Y funciona.
En 2024, una clínica dental de Valencia perdió 12.000 euros por un ataque de este tipo. Un correo falso que imitaba al gerente pidió una transferencia a un “nuevo proveedor de material”. La administrativa, que llevaba 8 años en la empresa, confió. No hubo forma de recuperar el dinero.
La alternativa no es contratar a un experto en ciberseguridad. Es formar a tu gente. Una vez al año, una sesión de 45 minutos donde les enseñes a detectar correos sospechosos, a no picar en enlaces raros, a usar contraseñas diferentes para cada servicio. Y ojo, no les eches la bronca si fallan. Enséñales. Porque si un empleado tiene miedo de reportar que ha picado, tardará horas en decirlo. Y esas horas son oro para el atacante.
En Script Finance, cuando trabajamos con clientes en implantar sistemas de IA, siempre dejamos claro que la formación en seguridad va primero. Porque si automatizas procesos sobre una base insegura, lo único que haces es escalar el problema.
El error silencioso: no tener un plan para cuando fallen
Este es el que menos se menciona. Y quizá el más importante.
Porque por mucho que te protejas, un ataque puede colarse. Es como poner puertas blindadas en tu casa pero olvidar que la llave la tiene un vecino distraído. Pasa. Y cuando pasa, no saber qué hacer multiplica el daño por diez.
La mayoría de las pymes no tiene ni una copia de seguridad funcional. Tienen un disco duro externo que conectan cada nunca, o una suscripción a un servicio en la nube que creen que les hace backup automático pero no. Y cuando el ransomware llega, se dan cuenta de que sus archivos importantes no están en ningún sitio.
Lo peor es que este error es evitable con una hora de configuración. Una política de backups 3-2-1 (tres copias, dos soportes distintos, una fuera de la oficina) no cuesta casi nada. Lo que cuesta es no tenerla.
Si tienes un negocio, pregúntate ahora mismo: ¿cuándo fue la última vez que restauraste un archivo de tu backup? Si no lo has probado nunca, asume que no funciona.
Mira, no pretendo asustarte. Pero he vuelto del congreso con una sensación clara: el enemigo no duerme, y usa IA. La buena noticia es que tú también puedes. La seguridad informática no es un gasto, es una inversión. Y no necesitas ser un experto. Solo necesitas dejar de pensar que a ti no te va a pasar.
Porque te va a pasar. La pregunta es si estarás preparado cuando llegue. Para más información sobre cómo proteger tu negocio, no dudes en contactarnos.




