No es el primero (ni será el último) de los informes especializados en ciberseguridad que nos muestran un panorama cuando menos preocupante, pero su recientísima publicación hace casi obligatorio que le dediquemos unas líneas. En particular, por uno de los titulares que podemos extraer: la ciberseguridad de las pymes se está volviendo un asunto crítico.
El informe en cuestión es el 2025 Cyber Threat Report de SonicWall; este no es el lugar de desmenuzarlo, pero su lectura es muy recomendable. Aquí queremos resaltar que “la rapidez [de los ciberdelincuentes] pone una inmensa presión sobre todo tipo de compañías, pero en particular sobre las pequeñas y medianas empresas (pymes), que pueden tener dificultades para seguirles el ritmo”.
Un problema de velocidad
En efecto, la cuestión de fondo que resalta el informe es que los ciberdelincuentes son mucho más ágiles que las empresas: los hackers son capaces de lanzar código exploit para aprovechar vulnerabilidades en tan solo 48 horas, mientras que las empresas tardan entre 120 y 150 días, de media, en aplicar parches de seguridad.
El ransomware sigue siendo el rey, considerando tiempo de inactividad, recuperación de datos y pago de rescate. Sin embargo, sin duda el dato más llamativo y más revelador respecto a la agilidad de los ciberdelincuentes es que en 2024 se detectaron 637 cepas nuevas de malware… ¡cada día!
Además, aumenta la variedad de los tipos de ataques. Los ataques BEC (que comprometen el correo electrónico corporativo) representan ya un tercio de todas las reclamaciones de ciberseguros y los ataques a dispositivos IoT aumentaron en un 124 % en 2024; y las falsificaciones de solicitudes del lado del servidor (ataques SSRF), en nada menos que un 452 %.
¿Y qué hacemos?
Para mitigar estos riesgos, lo más recomendable es tomar medidas en cuatro aspectos esenciales:
- Reducir la brecha de parcheo (gestión automatizada de parches y escaneos de vulnerabilidades).
- Monitoreo de amenazas 24/7 (detección y respuesta en tiempo real).
- Adoptar modelos de seguridad de confianza cero (es decir, controles de acceso estrictos asumiendo que ninguna entidad es confiable por defecto).
- Educar a los empleados sobre phishing y amenazas BEC (la sensibilización en seguridad es esencial para reducir los errores humanos).
Y desde una perspectiva más general, es básico contar con un servicio de ciberprotección que incluya una gestión de riesgos cibernéticos completa, desde la auditoría de seguridad informática hasta la los planes antidesastres de contención y recuperación. Con los ciberdelincuentes operando a velocidades vertiginosas, las empresas no pueden permitirse el lujo de quedarse atrás.
