El año 2024 batió récord histórico en ciberataques, con más de 10.000 millones de euros en pérdidas provocadas por estas malas prácticas, el doble que el año anterior, según cálculos de NTT Data. Nuestro país es especialmente vulnerable, siendo uno de los más afectados a nivel mundial en ataques de ransomware. Lejos de estabilizarse, la tendencia esperada para 2025 no parece mostrar signos de mejora: los ciberataques han aumentado un 35% en los primeros meses del año, con una media de 45.000 ataques diarios, según un informe de Datos101.

Las cifras no pasan desapercibidas para las grandes empresas españolas, que han reforzado significativamente sus recursos y equipos para hacer frente al auge de las ciberamenazas. Sin embargo, la situación es muy distinta para las pequeñas empresas, que todavía no perciben la ciberseguridad como una prioridad estratégica.

Las pymes suelen ser las más afectadas, ya que carecen de planes de contingencia sólidos para recuperarse rápidamente de los ataques o, en los mejores casos, cuentan con estrategias básicas que difícilmente pueden ayudarles a afrontar ataques cibernéticos cada vez más complejos y sofisticados.

Esta escasa trayectoria y preparación para los peligros del entorno digital, sumado a la urgente necesidad de concienciación por parte de todas las áreas de negocio de la compañía derivan, de forma irremediable, en un impacto económico proporcionalmente mayor frente a compañías con infraestructuras más robustas.

Esta divergencia entre empresas de diferente tamaño también se aprecia en las auditorías que realizan las compañías especializadas en la materia para evaluar su nivel de seguridad. Los obstáculos que nos encontramos varían considerablemente: mientras que la falta de concienciación sigue siendo el principal escollo en la pyme, el problema más común de las grandes corporaciones es la reticencia del CISO a implementar medidas más restrictivas debido a la falta de apoyo por parte de la dirección. Esta falta de alineación interna es especialmente preocupante, ya que la inversión es esencial, aunque su impacto no siempre sea inmediato ni fácilmente cuantificable.

El correo electrónico, canal crítico de las empresas

Más allá del tamaño o el grado de madurez de la empresa, los ciberdelincuentes tienden a explotar el eslabón más débil de cualquier organización: las personas. De hecho, el 80% de los ciberataques corporativos están dirigidos a empleados, según Grant Thornton. Los hackers aprovechan los errores humanos como la apertura de correos fraudulentos o la interacción con enlaces maliciosos. El correo electrónico es, con diferencia, el canal más utilizado para perpetrar estos ataques, y no sorprende que el 70% de las empresas lo considere un canal inseguro.

Uno de los riesgos más críticos asociados a este canal es la pérdida de trazabilidad y control sobre la información sensible, por lo que contar con canales seguros para la recepción y manejo de información sensible es fundamental para minimizar riesgos.

La normativa, mucho más que un trámite legal

La exposición y vulnerabilidad que sufren muchas empresas no sólo responde a brechas técnicas o errores humanos: en la mayoría de los casos, también está vinculada a la ausencia de procesos internos adecuados y a un cumplimiento deficiente de la normativa vigente.

Un porcentaje significativo de compañías, más de lo que habitualmente se reconoce, no cumple con las exigencias legales en materia de ciberseguridad, una situación que incrementa la probabilidad de sufrir ataques, con los daños reputaciones y operativos que implica. Es fundamental que las empresas no sólo vean la regulación como un requisito legal, sino como una oportunidad para fortalecer su seguridad y garantizar la confianza de sus clientes y socios.

En los últimos años, la regulación en materia de ciberseguridad ha dado pasos importantes. Entre sus principales avances, ha establecido un marco normativo que obliga a las empresas a implementar medidas mínimas de seguridad, ha fomentado la concienciación sobre ciberseguridad y la protección de datos, y ha promovido la adopción de estándares internacionales que refuerzan la seguridad empresarial. Un buen ejemplo de ello es el reglamento DORA, que refuerza la resiliencia digital de los bancos y otras entidades financieras en la UE.

Sin embargo, la regulación en materia de ciberseguridad aún presenta notables áreas de mejora. En muchos casos, no logra adaptarse al ritmo al que evolucionan las amenazas cibernéticas, y algunas empresas siguen percibiéndola como una carga burocrática en lugar de una necesidad estratégica. Además, falta una mayor supervisión y sanción efectiva para garantizar su cumplimiento. Es necesario, por tanto, un enfoque más ágil, acompañado de una aplicación firme y coherente.

La ciberseguridad no es una línea de meta, sino un proceso continuo que exige atención, adaptación y compromiso. En este terreno no hay soluciones definitivas, pero sí decisiones que marcan la diferencia: formar a empleados, invertir recursos y establecer prioridades.

En un entorno donde los riesgos digitales evolucionan más rápido que nuestra capacidad de respuesta, la anticipación se convierte en la única forma de defensa real. Porque en el fondo, protegerse no es solo blindar sistemas, sino cuidar la confianza. Y esa, hoy más que nunca, es el verdadero activo de una empresa. Porque lo que está en juego no es sólo información: es la credibilidad de toda una organización.

***Eli Bernal es CEO de Tranxfer.