Una de cada cuatro pymes está en riesgo muy elevado de sufrir un ciberataque
- Endpoint
La totalidad de las pymes están expuestas en los accesos, por mala gestión de privilegios. Menos del 6% de las empresas logra mantener una baja exposición ante incidentes de ransomware y malware, y solo el 5% audita sus aplicaciones web o implementa firewalls especializados.
BOTECH publica su primer “Informe sobre el estado de ciberseguridad de las pymes”, que desvela que la puntuación media de riesgo de estas empresas es de 43,80 sobre 100, lo que revela una cobertura media deficitaria frente a ciberataques. Además, se ha detectado una gran diferencia en las medidas de protección adoptadas por las pymes y una urgente necesidad de acción.
Una de las principales conclusiones del estudio es que las pymes se encuentran ante un riesgo elevado generalizado y una de cada cuatro está en riesgo muy elevado de sufrir un ciberataque. Intrusiones dirigidas y escaladas de privilegios (amenazas derivadas del uso indebido de cuentas con privilegios elevados o atacantes externos que han logrado escalar privilegios) encabezan la lista de las ciberamenazas más peligrosas y el 100% de las pymes están expuestas en fases iniciales de acceso por privilegios mal gestionados.
A pesar del aumento en los últimos años del ransomware y el malware (conjunto de amenazas basadas en la instalación de código malicioso en los sistemas de la organización), solo un 6% mantiene baja exposición ante este tipo de incidentes, dato que llama la atención si lo comparamos frente al 35% en países como Reino Unido o Estados Unidos.
Brechas entre empresas avanzadas y rezagadas
El estudio nos muestra una desigualdad extrema en el panorama de ciberseguridad en España. Por un lado, nos encontramos con pymes totalmente vulnerables o un muy bajo nivel de seguridad, que conviven en el mismo ecosistema con compañías que sí cuentan con defensas más robustas. El patrón que más se repite es el de áreas razonablemente cubiertas en algunas etapas, junto a áreas completamente vulnerables y desatendidas. Más que desigualdad, es heterogeneidad absoluta.
En este sentido, el estudio pone en evidencia algunas carencias críticas en la protección digital de las pymes españolas. Por un lado, sólo un 18% de las empresas logra limitar eficazmente la instalación de malware en sus dispositivos clave, lo que deja al resto expuesto a infecciones que pueden propagarse sin control. Y, por otro lado, nos encontramos algo aún más preocupante, como que menos del 10% cuenta con mecanismos adecuados para gestionar el impacto final lo que implica una capacidad de respuesta muy limitada ante incidentes graves.
Además, uno de cada cuatro negocios permite la ejecución de herramientas maliciosas una vez que el atacante ha superado la fase de acceso inicial, lo que demuestra una falta de contención en las etapas críticas del ataque. A esto se suma un alarmante déficit de vigilancia técnica: apenas un 5% de las pymes realiza auditorías externas de seguridad o ha desplegado firewalls específicos para sus aplicaciones web (WAF), elementos clave para detectar vulnerabilidades y frenar ataques en tiempo real.
Estos datos confirman que, pese a cierta conciencia del riesgo, la implementación de medidas eficaces sigue siendo muy baja, especialmente en los entornos más sensibles y vulnerables.
