
Ciberseguridad en las pymes españolas: el 53 % sufrió algún incidente, según ESET
La ciberseguridad en las pymes españolas presenta una elevada exposición a incidentes, según el SMB Cyber Readiness Index 2026 de ESET. El 53 % de las organizaciones consultadas en España declaró haber sufrido uno o más problemas de seguridad durante los doce meses anteriores, mientras la rápida incorporación de inteligencia artificial convive con carencias en las políticas que regulan su uso.
España es el tercer país con mayor proporción de pequeñas y medianas organizaciones afectadas por incidentes de ciberseguridad entre los trece mercados analizados por ESET. El 53 % de los participantes españoles comunicó al menos un incidente durante el último año, por detrás de Alemania, con un 64 %, y Estados Unidos, con un 54 %. La media global se situó en el 45 %.
El estudio se basa en una encuesta a 4.400 responsables con capacidad de decisión o influencia sobre la ciberseguridad de organizaciones que gestionan entre 25 y 1.000 dispositivos. La muestra española comprende 400 respuestas. Esta delimitación se basa en el número de equipos y no coincide necesariamente con la definición jurídica de pyme utilizada en España o la Unión Europea, por lo que los resultados deben interpretarse dentro del universo analizado.
Los porcentajes tampoco constituyen un registro oficial de todos los ataques sufridos por el tejido empresarial español. Reflejan las respuestas de los participantes y pueden estar condicionados por su capacidad para detectar incidentes, reconocerlos y comunicarlos. Aun así, el informe ofrece una aproximación a las prioridades de seguridad de empresas de distintos tamaños y sectores.
Ciberseguridad en las pymes españolas ante la expansión de la IA
España lidera la integración de aplicaciones de inteligencia artificial entre los países incluidos en el informe. El 87 % de las organizaciones españolas encuestadas afirma haber incorporado estas herramientas, frente al 73 % del conjunto de la muestra internacional.
Esta adopción no siempre va acompañada de normas internas. El 62 % de los participantes españoles dispone de políticas para limitar el uso de aplicaciones de IA fuera de los procesos o plataformas autorizados, lo que deja aproximadamente a un 38 % sin controles claros frente a la denominada shadow AI.
Este concepto se refiere al empleo de asistentes, modelos generativos u otras herramientas por parte de trabajadores sin aprobación ni supervisión de la empresa. La práctica puede reducir la visibilidad sobre dónde se procesan los datos, qué información se comparte y qué proveedores acceden a ella. ESET recomienda definir las aplicaciones autorizadas, los usos aceptables y los datos que no deben introducirse en servicios públicos.
Para una pyme, la política de IA no tiene por qué limitarse a prohibiciones. Puede establecer responsables, criterios para elegir proveedores, permisos según las funciones de cada empleado, procesos de validación humana y reglas sobre el tratamiento de información comercial, financiera, laboral o de clientes.
El phishing continúa entre las causas más frecuentes
Aunque el malware impulsado por inteligencia artificial concentra la mayor preocupación entre las empresas consultadas, los incidentes reales continúan relacionados principalmente con problemas conocidos. En el conjunto de la muestra, el phishing aparece como la primera causa, citado en el 26 % de los casos, seguido de las vulnerabilidades sin parchear, con un 23 %; la falta de monitorización, con un 22 %, y las contraseñas débiles, con un 20 %. Estos porcentajes son globales y no corresponden exclusivamente a España.
ESET agrupa el phishing y otras modalidades de ingeniería social o suplantación como origen del 43 % de los incidentes declarados por las organizaciones que habían sufrido alguno. La compañía también señala que la IA permite generar mensajes más convincentes, personalizar intentos de fraude y aumentar el volumen de las campañas, aunque el uso directo de sistemas autónomos para crear malware continúa siendo más limitado.
Esta diferencia entre la amenaza percibida y las causas observadas plantea una prioridad para los pequeños negocios: la incorporación de soluciones avanzadas no sustituye la actualización del software, la protección de las cuentas, la revisión de los permisos o la formación de la plantilla.
Controles básicos antes de aumentar la complejidad
El Instituto Nacional de Ciberseguridad recomienda reforzar la gestión de identidades mediante autenticación multifactor, reducir el tiempo durante el que permanecen abiertas las vulnerabilidades, mantener inventarios actualizados y formar a los empleados frente a la ingeniería social y los contenidos manipulados. También plantea utilizar copias de seguridad protegidas y combinar la automatización con supervisión humana.
Estas medidas requieren conocer primero qué dispositivos, programas, cuentas y proveedores utiliza la empresa. Sin un inventario, resulta más difícil comprobar qué sistemas necesitan actualizaciones, qué usuarios conservan permisos innecesarios o dónde se almacena la información crítica.
La autenticación multifactor añade una comprobación adicional a la contraseña y dificulta que el robo de una credencial permita acceder directamente a una cuenta. Las copias de seguridad, por su parte, deben conservarse de forma segura y probarse periódicamente para verificar que la información puede recuperarse.
La formación también debe actualizarse con regularidad. Los mensajes fraudulentos pueden suplantar a proveedores, bancos, administraciones, clientes o miembros de la propia empresa. La introducción de IA generativa facilita que presenten una redacción más correcta y un grado mayor de personalización.
Un diagnóstico empresarial, no una estadística oficial
El informe muestra una combinación de mayor exposición, confianza empresarial y adopción tecnológica. En el conjunto internacional, el 68 % de las organizaciones confía en su capacidad para prevenir ataques y el 75 % considera que podría responder de manera resiliente a un incidente. Sin embargo, ESET advierte de que esa confianza puede convivir con controles incompletos y una percepción distorsionada de las amenazas más habituales.
Para las pymes españolas, el dato del 53 % no permite calcular por sí solo el impacto económico, el número de equipos afectados o la gravedad de los incidentes. Tampoco diferencia en el resultado principal entre un intento detectado, una interrupción operativa, una filtración de información o un fraude con pérdidas.
Su utilidad reside en identificar áreas que requieren revisión: actualizaciones, credenciales, monitorización, formación, copias de seguridad, respuesta ante incidentes y gobernanza de la inteligencia artificial. La prioridad no pasa únicamente por adquirir más herramientas, sino por integrarlas en procedimientos conocidos, asignar responsabilidades y comprobar periódicamente que los controles funcionan.
