Las pymes españolas enfrentan un aumento de ciberataques mientras solo el 17 % dispone de ciberseguros, revela un informe de ESET. El coste medio de un ataque de ransomware se sitúa en 4,91 millones de dólares, agravando el impacto en organizaciones no preparadas.
ESET alerta del preocupante desajuste entre el creciente número de ciberataques dirigidos pymes y la baja adopción de seguros especializados para cubrir estos riesgos. Según informes recientes, solo el 17% de las pymes cuentan actualmente con ciberseguro, a pesar de que en 2024 casi la mitad de las empresas con menos de 10 millones de euros de facturación sufrieron algún tipo de ataque.
Un objetivo atractivo para los cibercriminales
Esta brecha es bien conocida por los cibercriminales, que encuentran en las pymes un objetivo atractivo por la ausencia de medidas avanzadas de protección, planes de respuesta o recursos suficientes para defenderse. De hecho, el 88% de los incidentes de ransomware registrados en lo que va de año han tenido como víctima a este tipo de organizaciones.
Josep Albors, director de investigación y concienciación de ESET España
“España cuenta con 2,94 millones de pymes que representan el 99,8 % del tejido empresarial. Si estas empresas no logran acceder a un ciberseguro, el riesgo no es individual, ya que afecta al conjunto de la economía. Y lo cierto es que muchas quedan fuera porque no cumplen los mínimos que hoy exigen las aseguradoras: MFA en todos los accesos críticos, backups que se prueban regularmente, protección activa de endpoints… Ya no basta con declarar buenas intenciones. Sin evidencias, la póliza no llega o no se paga”.
Más allá del formulario: qué exigen las aseguradoras
Contratar un seguro cibernético está condicionado al cumplimiento de múltiples medidas de seguridad verificables.
Las compañías aseguradoras exigen:
- Autenticación multifactor (MFA) activa en todos los accesos críticos, como correo electrónico, redes corporativas o cuentas de administración.
- Soluciones de protección endpoint como EDR, acompañadas de una política activa de actualizaciones y gestión de vulnerabilidades.
- Copias de seguridad verificadas y probadas regularmente, tanto en lo técnico como en su recuperación.
- Un Plan de Respuesta ante Incidentes (IRP) documentado y ensayado mediante simulacros, tal y como recomienda la Agencia de Ciberseguridad de Estados Unidos (CISA).
- Formación continua del personal en buenas prácticas, simulacros de phishing y concienciación frente a ingeniería social.
- Evidencia documental de todas las acciones: registros de actividad, asistencia a sesiones formativas, informes de parches aplicados o ejercicios IR.
El coste de no estar preparado
El informe Cost of a Data Breach 2024 de IBM cifra en 4,91 millones de dólares el coste medio de un ataque de ransomware. Un impacto económico que puede agravarse si la organización carece de procedimientos claros, no notifica adecuadamente el incidente o no puede demostrar sus esfuerzos de prevención.
“Las aseguradoras miran con lupa. La falta de documentación o de protocolos claros no solo incrementa las primas, también puede suponer la denegación total de la indemnización. Para evitarlo, las pymes deben alinear sus prácticas de seguridad con los criterios exigidos por el sector asegurador”, continúa Albors.
Para facilitar este proceso, ESET recomienda a las pymes:
- Realizar una evaluación completa de su postura de seguridad, identificando carencias en MFA, protección de dispositivos, backups o formación.
- Contar con apoyo externo, ya sea mediante proveedores de servicios gestionados (MSP) o auditores independientes, que aporten credibilidad y verifiquen las buenas prácticas.
- Implementar una cultura de gestión del riesgo, centrada en la prevención, el control de accesos, el principio de confianza cero (zero trust) y la gestión segura de contraseñas.
- Documentar todo el proceso, lo que no solo mejora la capacidad de respuesta ante un incidente, sino que también facilita la tramitación de una póliza y su activación en caso necesario.