Las pequeñas y medianas empresas (Pymes) se están convirtiendo cada vez más en blanco de los ciberdelincuentes, a pesar de que muchas siguen operando sin los recursos ni el personal de los que disponen las grandes organizaciones. Una nueva guía de ciberseguridad busca ayudar a cerrar esta brecha con recomendaciones prácticas y económicas diseñadas específicamente para las pymes.

La Guía de Ciberseguridad para Pymes: 10 Prácticas para Proteger su Negocio describe las medidas de seguridad que las organizaciones pueden comenzar a implementar de inmediato, muchas de ellas gratuitas o de bajo costo. La guía se centra en pasos prácticos que las empresas pueden seguir para reducir la exposición a amenazas comunes como el «phishing», el «ransomware», las amenazas internas, el «malware» y las brechas en la cadena de suministro.

El manual destaca una lista de 10 buenas prácticas recomendadas para las Pymes:

  • Reducción de la superficie de ataque: Limitar los puntos de exposición innecesarios y reducir el número de vías que los atacantes pueden explotar.
  • Prevención de pérdida de datos: proteja la información empresarial confidencial contra robos, filtraciones o transferencias no autorizadas.
  • Prevención de «phishing»: Refuerce las defensas contra los correos electrónicos de phishing, la ingeniería social y los intentos de robo de credenciales.
  • Gestión de amenazas internas: Abordar los riesgos que plantean los empleados, contratistas o usuarios de confianza con acceso legítimo.
  • Detección de «malware»: Mejora la capacidad de detectar y responder tanto al malware conocido como a las amenazas emergentes.
  • Expulsión de adversarios: identifique rápidamente a los intrusos y elimine a los agentes de la amenaza antes de que puedan establecerse de forma persistente.
  • Riesgos de terceros y de la cadena de suministro: Mejorar la supervisión de los proveedores y socios externos que puedan introducir riesgos cibernéticos.
  • Autenticación multifactor (MFA): Añada capas adicionales de verificación de identidad para proteger las cuentas y los sistemas.
  • Actualización de seguridad: mantenga los sistemas y el software actualizados para reducir la exposición a vulnerabilidades y exploits conocidos.
  • Capacitación de empleados: Fomentar la concienciación sobre ciberseguridad para que los empleados puedan reconocer mejor las amenazas y responder a ellas.

La guía destaca, informa HST, que las pequeñas empresas siguen siendo particularmente vulnerables, ya que los atacantes solo necesitan tener éxito una vez, mientras que los defensores deben proteger las redes de forma continua con presupuestos y personal limitados. Según el manual, muchas de las recomendaciones pueden implementarse sin equipos de ciberseguridad especializados ni grandes inversiones en infraestructura.

Varias de estas prácticas están diseñadas para organizaciones donde los empleados desempeñan múltiples funciones, aprovechando las protecciones integradas que ya ofrecen plataformas como Microsoft 365 y Google Workspace. La guía también advierte que las campañas de phishing con inteligencia artificial y las vulnerabilidades que se explotan rápidamente están ejerciendo una presión creciente sobre las organizaciones más pequeñas para que mejoren su higiene cibernética básica.

El manual fue publicado por el Centro de Análisis e Intercambio de Información sobre Tecnologías de la Información (IT-ISAC), que indicó que las recomendaciones se elaboraron a partir de los hallazgos de su Informe de Amenazas al Sector de TI de 2025, que analiza a más de 330 actores de amenazas y las tácticas más utilizadas contra el sector de TI.