Ciberataques en serie contra PYMEs y autonomos en Espana: lo que nadie te cuenta

6 de cada 10 PYMEs españolas sufrieron al menos un ciberataque en los últimos 12 meses. Mas de la mitad acumularon hasta 10 incidentes. No son cifras de un informe alarmista: son datos de marzo 2026 publicados por fuentes como Tecnología para tu empresa, COPE y Autonomos y Emprendedor. El incremento interanual es del 24%. Y los autonomos, que representan más de 3,3 millones de trabajadores en España, ni siquiera aparecen en la mayoria de estadisticas porque no tienen departamento de IT que reporte incidentes.

Las PYMEs son el 95% de mis clientes y las más vulnerables. Cada semana recibo llamadas de empresarios que descubren que llevan semanas comprometidos, que sus datos de clientes estan a la venta en foros de la dark web, o que un empleado hizo clic en un enlace de phishing que les ha costado meses de facturacion. Lo que más me frustra es que el 80% de estos ataques se evitarian con medidas básicas que cuestan menos de 500 euros al año.

La situación se ha agravado en los últimos meses. Con la proliferacion de herramientas de inteligencia artificial generativa, los ciberdelincuentes producen emails de phishing cada vez más convincentes, en un español perfecto y con contextos locales creibles. Ya no es el típico correo con faltas de ortografia que cualquiera detectaba. Ahora recibo casos donde el phishing imitaba con precision una notificación de la DGT, un aviso de Hacienda en periodo de declaración, o una factura real de un proveedor legítimo con el número de cuenta bancaria cambiado.

He peritado el caso de un fontanero autonomo de Jaen que perdio toda su facturacion de 3 meses por un ransomware que entro mediante un PDF adjunto que simulaba un presupuesto de un proveedor de materiales. Quince años de trabajo, toda su cartera de clientes, presupuestos y facturas en un único portatil sin copia de seguridad. Un cifrado de LockBit 3.0 y de la noche a la manana, cero. No tenia seguro ciber, no tenia backups, no tenia plan de respuesta. Cuando me llamo, lo único que pude hacer fue preservar la evidencia para la denuncia y ayudarle a reconstruir lo que pude recuperar de los fragmentos no cifrados del disco. Recuperamos aproximadamente un 30% de los datos. El otro 70% se perdio para siempre.

Este artículo no es un informe generico de ciberseguridad. Es una guía práctica escrita desde la trinchera forense, con datos reales de marzo 2026, para que entiendas que esta pasando, por que te afecta directamente, y que puedes hacer hoy mismo. He querido escribirlo con la misma franqueza con la que hablo con mis clientes cuando se sientan en mi oficina después de un ataque: sin rodeos, sin tecnicismos innecesarios, y con soluciónes concretas que puedes aplicar esta misma tarde.

A lo largo de las siguientes secciones encontraras datos detallados de INCIBE y otras fuentes públicas, tablas comparativas por tipo de ataque y tamaño de empresa, 8 casos reales que he peritado personalmente (fontanero, restaurante, clinica dental, despacho de abogados, tienda online, gestoria, agencia de viajes y constructora), un análisis de la nueva campana PYME Cibersegura 2026 de INCIBE, un protocolo de respuesta post-ataque de 10 pasos, obligaciones legales tras una brecha, información sobre seguros ciber, 10 medidas preventivas con costes reales, senales de alerta para detección temprana, y un plan de accion que puedes ejecutar esta misma semana.

La epidemia silenciosa: PYMEs españolas bajo fuego constante

Hay un dato que repito en cada conferencia y en cada reunion con clientes: España es el tercer pais de la UE más atacado por ciberdelincuentes, y las PYMEs representan el 99,8% del tejido empresarial español. La combinacion de ambos factores produce una tormenta perfecta que ya no se puede ignorar.

Los números de 2025-2026 configuran un panorama que ya no admite el argumento de “a mi no me va a pasar”. Según los datos recopilados por multiples fuentes este marzo de 2026:

Estos datos solo reflejan los incidentes que se reportan. La cifra real es significativamente mayor porque la mayoria de autonomos y micropymes no denuncian. No saben a quien acudir, temen daño reputacional, o simplemente asumen la pérdida y siguen adelante. He hablado con empresarios que me han dicho literalmente “prefiero perder los 8.000 euros del rescate a que mis clientes se enteren de que me hackearon”. Es comprensible desde un punto de vista emocional, pero es un error estrategico y legal.

La tendencia interanual que debería preocuparnos

El incremento del 24% interanual no es un pico aislado. Si miramos la evolucion de los últimos tres años en España, el patrón es claro y alarmante:

La tendencia es clara: los ataques crecen porque el modelo de negocio del cibercrimen funciona. Un grupo de ransomware como LockBit o ALPHV puede operar con un modelo de franquicia donde afiliados pagan un porcentaje del rescate cobrado. Es un negocio escalable, con bajo riesgo de detencion y alta rentabilidad. Y las PYMEs españolas son un mercado objetivo perfecto: suficientes datos valiosos para justificar el ataque, insuficientes defensas para resistirlo.

Si proyectamos esta tendencia, y no hay razón para pensar que se va a invertir sin un cambio significativo en la postura de seguridad de las PYMEs españolas, podemos esperar superar los 150.000 incidentes gestionados por INCIBE en 2026. Y esos son solo los que se reportan. La cifra real podría ser 3 o 4 veces mayor si contamos los incidentes que nunca llegan a INCIBE, a las fuerzas de seguridad ni a ningun perito forense.

Hay una ventana de oportunidad para cambiar esta tendencia, pero se esta cerrando rápido. Los próximos 12-24 meses son críticos: si las PYMEs españolas no adoptan medidas básicas de protección de forma masiva, el ecosistema de cibercrimen seguira creciendo y los ataques serán cada vez más frecuentes, más sofisticados y más daninos. No es catastrofismo: es la proyeccion lógica de los datos que tenemos.

El efecto cascada que nadie menciona

Hay un efecto cascada que pocas veces se discute en los informes: cuando una PYME es atacada, sus clientes, proveedores y empleados también quedan expuestos. He investigado casos donde el compromiso de una pequeña gestoria afecto a 300 clientes cuyos datos fiscales acabaron en foros de la dark web. El daño reputacional para esa gestoria fue irreversible: perdio el 40% de su cartera en tres meses.

Otro ejemplo que perite fue el de una empresa de limpieza de Sevilla que sufrio un ataque de phishing. El atacante accedio al email del gerente y envio facturas falsificadas a los 47 clientes de la empresa con un número de cuenta bancaria diferente. Doce clientes pagaron antes de que alguien detectara el fraude. Perdidas totales: 23.000 euros repartidos entre la empresa de limpieza (que tuvo que compensar a sus clientes) y los propios clientes que no pudieron recuperar las transferencias. El análisis forense revelo que el atacante habia estado monitorizando los emails durante 18 días, esperando el momento exacto del ciclo de facturacion para enviar las facturas falsas.

Este tipo de ataque, conocido como Business Email Compromise o fraude BEC, es especialmente devastador para PYMEs porque explota las relaciones de confianza que son la base del tejido empresarial español. Cuando un constructor le envia una factura a una promotora con la que lleva trabajando 10 años, nadie se para a verificar que el número de cuenta sea el correcto. Y ahi es donde el atacante gana.

Anatomia de los ataques: los 8 tipos que afectan a las PYMEs españolas

Despues de investigar más de 200 incidentes en PYMEs españolas en los últimos tres años, puedo confirmar que los vectores de ataque siguen un patrón predecible. No son ataques sofisticados dirigidos: son campanas masivas que lanzan la red y capturan a quien no esta preparado. Los ciberdelincuentes no eligen a tu PYME por ser especial; la eligen porque es fácil.

Tabla comparativa de los 8 tipos de ataque más comunes

Quiero detenerme en los más relevantes porque entender el modus operandi es la primera linea de defensa. He visto a clientes que, después de que les explico exactamente como funciona un ataque de phishing paso a paso, son capaces de detectar el siguiente intento por si solos. El conocimiento es la mejor defensa, incluso mejor que cualquier software.

El ecosistema del cibercrimen contra PYMEs

Antes de entrar en los tipos de ataque, es importante entender que detras de estos ataques hay un ecosistema criminal organizado y profesionalizado. No estamos hablando de un adolescente en un sotano: estamos hablando de organizaciones con estructuras empresariales, departamentos de I+D, servicio al cliente (si, algunos grupos de ransomware tienen servicio de atencion al “cliente” para ayudar a las víctimás a pagar en Bitcoin) y modelos de negocio escalables.

El modelo más común es el Ransomware-as-a-Service (RaaS): un grupo criminal desarrolla el malware y lo alquila a “afiliados” que ejecutan los ataques. El afiliado se queda con el 70-80% del rescate y el desarrollador con el 20-30%. Es un modelo de franquicia criminal que permite escalar operaciones rápidamente. Un afiliado con conocimientos técnicos mínimos puede desplegar un ataque de ransomware sofisticado contra una PYME española usando herramientas que ha alquilado por 200-500 dolares al mes en la dark web.

Otro modelo creciente es el de los Initial Access Brokers (IABs): grupos especializados en obtener acceso a redes empresariales (mediante phishing, fuerza bruta en RDP, etc.) que luego venden ese acceso al mejor postor. He visto anuncios en foros de la dark web donde se vendía acceso a la red de una PYME española por 500-2.000 euros. El comprador, que puede ser un grupo de ransomware, una banda de fraude BEC o cualquier otro actor malicioso, utiliza ese acceso para desplegar su ataque específico.

Esta profesionalizacion del cibercrimen es la razón por la que los ataques a PYMEs crecen un 24% interanual: no es que haya más hackers, es que el modelo de negocio se ha vuelto más eficiente, más accesible y más rentable.

Para ponerlo en números: según Chainalysis, los pagos globales por ransomware en 2025 superaron los 1.100 millones de dolares, y se estima que la ciberdelincuencia como industria genera más ingresos que el trafico de drogas a nivel mundial. No son aficionados: son profesionales del crimen con más recursos técnicos que la mayoria de PYMEs españolas.

Un dato que ilustra la escala del problema: en la dark web existen mercados donde se venden “kits de phishing” llave en maño por 50-200 dolares. Estos kits incluyen templates de emails de phishing para bancos españoles (CaixaBank, BBVA, Santander, Bankinter), replicas exactas de páginas de login, sistemás de captura de credenciales y hasta paneles de control para gestionar las víctimas. Un atacante sin conocimientos técnicos puede comprar un kit, enviarlo a miles de emails y empezar a robar credenciales en cuestion de horas. Contra este nivel de industrializacion, una PYME sin defensas básicas no tiene ninguna posibilidad.

1. Phishing por email: el rey de los ataques a PYMEs

El phishing sigue siendo el vector número uno con un 68% de prevalencia y la razón es sencilla: funciona. Un email bien elaborado tiene una tasa de exito del 3-5% en empleados sin formación. Si envias 10.000 emails, consigues entre 300 y 500 víctimás potenciales. El coste de enviar esos emails es practicamente cero. La matematica es implacable.

Lo que ha cambiado en 2025-2026 es la calidad del phishing. Antes, un email de phishing tenia faltas de ortografia, logos pixelados y frases que sonaban a traduccion automática. Ahora, con herramientas de IA generativa, los atacantes producen emails indistinguibles de los reales. He analizado emails de phishing que reproducian con exactitud el formato, la firma, los colores corporativos y hasta el tono de comunicación de Correos, la DGT, la Agencia Tributaria y bancos como CaixaBank y BBVA.

Un caso reciente que perite: una agencia de viajes de Malaga recibio un email aparentemente de Booking.com solicitando la verificación de su cuenta de partner por “cambios en la politica de seguridad”. El email incluia el logo correcto, la dirección del remitente era similar (bookiing.com en lugar de booking.com, una i duplicada que pasa desapercibida) y el enlace llevaba a una replica exacta de la página de login. La empleada introdujo las credenciales. En las siguientes 48 horas, el atacante modifico los datos bancarios de cobro en 23 reservas activas. Perdidas directas: 14.700 euros.

2. Ransomware: la extorsion digital que cierra negocios

El ransomware es el ataque que genera más daño absoluto a las PYMEs. Aunque su prevalencia es menor que la del phishing (31%), su impacto económico y operativo es devastador. El 57% de las PYMEs que pagan el rescate no recuperan los datos completos, y pagar además financia a los criminales y te marca como “pagador” en sus bases de datos, lo que te convierte en objetivo recurrente.

Las variantes de ransomware que más he visto en PYMEs españolas en los últimos 12 meses son: LockBit 3.0 (35% de los casos), ALPHV/BlackCat (20%), Akira (15%), Play (12%) y Royal (8%). Cada una tiene sus particularidades, pero todas comparten el mismo modelo de negocio: cifrar, exfiltrar, extorsionar.

La tendencia más preocupante de 2025-2026 es la doble extorsion: el atacante no solo cifra tus archivos, sino que antes de cifrarlos los exfiltra (copia) a sus servidores. Despues te amenaza con publicarlos en la dark web si no pagas. Esto anula la protección del backup: aunque restaures tus datos desde una copia de seguridad, tus datos de clientes siguen en maños del atacante. He visto como esta tactica ha obligado a PYMEs a pagar rescates incluso teniendo backups funcionales, por miedo al daño reputacional y a las sanciones de la AEPD por la brecha de datos personales.

3. Fraude BEC: el ataque invisible que desvia miles de euros

El fraude BEC es quizas el ataque más elegante y difícil de detectar. No requiere malware, no deja rastro en los antivirus y explota algo que ningun software puede proteger: la confianza humana. El atacante se infiltra en el correo de un proveedor o de un empleado con acceso a facturacion, monitoriza las comunicaciones durante días o semanas, y en el momento preciso modifica una factura real cambiando unicamente el número de cuenta bancaria.

He peritado un caso donde un despacho de abogados de Madrid pago 34.000 euros a un proveedor de mobiliario de oficina. La factura era real, el concepto era correcto, el importe era el pactado. Lo único diferente era el IBAN. El atacante habia comprometido el email del proveedor tres semanas antes y habia esperado pacientemente a que se emitiera la factura real para interceptarla y modificar el IBAN. Cuando el despacho se dio cuenta, el dinero ya habia sido transferido a traves de tres cuentas mula en diferentes paises.

4. La cadena del ataque típico en una PYME

Independientemente del vector de entrada, la mayoria de los ataques a PYMEs siguen una progresion similar que he documentado en mis investigaciones forenses:

El dato que más asusta a mis clientes: el tiempo medio entre la intrusion inicial y la detección es de 21 días. Tres semanas en las que el atacante se mueve libremente por la red de la empresa. En PYMEs sin monitorizacion, ese tiempo puede extenderse a meses. He peritado un caso donde el atacante estuvo dentro de la red de una inmobiliaria de Cordoba durante 67 días antes de desplegar el ransomware.

Para poner esto en perspectiva: 21 días es tiempo suficiente para que el atacante mapee completamente tu red, exfiltre todos tus datos, cree cuentas de acceso alternativas, identifique y elimine tus backups accesibles, y prepare el despliegue del ransomware eligiendo el momento optimo (viernes por la noche es el favorito, porque saben que nadie estará en la oficina hasta el lunes). Cuando tu descubres el ataque el lunes por la manana, el atacante ya ha terminado su trabajo tres semanas antes.

Y aquí hay un punto que la mayoria de informes no mencionan: durante esos 21 días, el atacante no solo esta preparando su ataque contra ti. Tambien esta usando tu red como plataforma para atacar a otros: tus clientes, tus proveedores, tus contactos de email. Tu PYME se convierte en un nodo del ecosistema criminal sin que lo sepas. He peritado casos donde la primera noticia que tuvo la PYME del ataque no fue un ransomware, sino una llamada de un cliente diciendo “he recibido un email tuyo con un enlace sospechoso”. Para entonces, el atacante llevaba semanas operando desde la infraestructura de la PYME.

Sectores más atacados en España

No todos los sectores sufren por igual. En mi experiencia, y coincidiendo con los datos de INCIBE y CCN-CERT, los sectores con mayor incidencia en PYMEs españolas son:

Los servicios profesionales me preocupan especialmente porque manejan datos de terceros protegidos por secreto profesional (abogados) o por el RGPD en su categoría más sensible (clinicas, psicologos). Un ataque a un despacho de abogados no solo afecta al despacho: afecta a todos sus clientes, y la responsabilidad legal recae sobre el profesional que custodiaba esos datos.

El coste real por tipo de ataque

He recopilado datos de mis propios peritajes y de informes públicos para elaborar una tabla que muestra el impacto real por tipo de ataque en PYMEs españolas. Los rangos son conservadores y reflejan casos típicos, no extremos:

Estos números explican por que el 60% de las PYMEs que sufren un ataque grave cierran en los 6 meses siguientes: no es solo el coste directo del incidente, es la acumulacion de costes indirectos (pérdida de clientes, horas de trabajo, consultoria, sanciones, seguros) lo que resulta insostenible para empresas con margenes ajustados.

Por que los autonomos son los más vulnerables

Hay una razón estructural por la que los autonomos y las micropymes de menos de 10 empleados son el objetivo preferido de los ciberdelincuentes: ofrecen la mejor relación esfuerzo-beneficio para el atacante. Son objetivos faciles porque no tienen defensas, y son rentables porque manejan datos valiosos y estan dispuestos a pagar rescates modestos (3.000-15.000 euros) que no justifican una investigación policial compleja pero que, multiplicados por miles de víctimas, generan millones de euros para las bandas organizadas.

Comparativa: PYMEs medianas frente a autonomos y micropymes

Los números hablan por si solos. Un autonomo típico tiene un nivel de protección que equivale a dejar la puerta de casa abierta con un cartel que dice “pase sin llamar”. Y no es negligencia: es falta de formación, falta de recursos y falta de concienciacion. Nadie le ha explicado a ese autonomo que su portatil con Windows sin actualizar, sin backup y con la contraseña del correo apuntada en un post-it es una invitacion abierta para cualquier ciberdelincuente con un kit de phishing de 50 dolares.

Y cuando digo falta de recursos, no me refiero solo a dinero. Me refiero a tiempo, a atencion, a ancho de banda mental. Un autonomo que trabaja 10-12 horas al día para sacar su negocio adelante no tiene ni el tiempo ni la energia para investigar que es MFA, comparar antivirus, configurar backups y mantenerse al día de las últimás amenazas de ciberseguridad. Necesita que alguien se lo ponga fácil, que le diga exactamente que hacer en un lenguaje que entienda, y que el coste sea asumible. Esa es una de las razones por las que escribo artículos como este: para ser ese “alguien” que traduce la ciberseguridad a un idioma comprensible para el empresario que no es informático.

La ironia es que muchos de estos autonomos protegen con cerradura, alarma y seguro su local o su furgoneta, pero dejan completamente desprotegido su activo más valioso: su información digital. Si le preguntas a un fontanero cuanto vale la herramienta que lleva en su furgoneta, te dira que 3.000-5.000 euros. Si le preguntas cuanto vale la base de datos de clientes que tiene en su portatil, se quedara pensando. Pero esa base de datos es lo que genera los 48.000 euros de facturacion anual. Sin ella, no tiene negocio. Con la herramienta robada, compra otra y sigue trabajando. Con la base de datos pérdida, empieza de cero. Esa reflexion suele ser el punto de inflexion cuando hablo con autonomos sobre ciberseguridad: cuando entienden que su portatil vale más que su furgoneta, la conversacion cambia por completo.

La falsa sensacion de seguridad

Otro patrón que detecto en mis investigaciones es lo que llamo “la falsa seguridad del antivirus”. Muchos autonomos y micropymes creen que por tener un antivirus básico instalado estan protegidos. La realidad es que los ataques modernos evaden el 70% de los antivirus tradicionales mediante técnicas de ofuscacion, fileless malware y ejecución en memoria. Un EDR (Endpoint Detection and Response) ofrece una protección muy superior, pero el 91% de los autonomos ni siquiera sabe que existe esa tecnología.

La otra falsa seguridad que detecto frecuentemente es la del “yo no tengo nada que robar”. He escuchado esta frase cientos de veces. La realidad es que todo autonomo tiene datos que interesan a un ciberdelincuente:

• Datos bancarios propios y de clientes (para fraude financiero directo)
• Datos personales de clientes (para venta en la dark web, a 5-50 euros por registro)
• Correo electrónico (para usar como plataforma de phishing contra tus contactos)
• Acceso a sistemas de clientes o proveedores (para ataques de cadena de suministro)
• Capacidad de facturacion (para emitir facturas falsas a tu nombre)
• Identidad profesional (para suplantarte ante tus clientes)

Un registro completo de un ciudadaño español (nombre, DNI, dirección, teléfono, email, datos bancarios) se vende en foros de la dark web por entre 15 y 50 euros. Si un autonomo gestiona los datos de 200 clientes, su base de datos tiene un valor de mercado de 3.000 a 10.000 euros para el atacante. Suficiente para que merezca la pena el esfuerzo.

Comparativa global: PYMEs frente a grandes empresas

Para entender por que las PYMEs sufren mas, conviene comparar su situación con la de las grandes empresas:

La diferencia es abismal. Las grandes empresas no son inmunes a los ciberataques, pero tienen la capacidad de absorber el impacto, detectar la intrusion rápidamente y recuperarse. Una PYME, especialmente un autonomo, a menudo no tiene esa capacidad de resiliencia. Por eso el 60% cierra en los seis meses siguientes a un ataque grave.

Lo que pocas veces se dice es que esta brecha se esta ampliando, no reduciendo. Las grandes empresas invierten cada vez más en ciberseguridad (el presupuesto medio ha crecido un 15% anual), mientras que las PYMEs siguen estancadas en el mismo nivel de protección de hace 5 años. El resultado es que los ciberdelincuentes, que buscan siempre el objetivo más fácil, se estan desplazando masivamente hacia las PYMEs. Es el equivalente digital de lo que pasa con la seguridad física: cuando los bancos se blindaron con camaras, alarmás y cajas fuertes, los atracadores dejaron de robar bancos y empezaron a robar gasolineras y estancos. En el mundo digital, las PYMEs son las gasolineras.

8 casos reales de PYMEs que he peritado

Estos son casos reales de mi experiencia profesional como perito informático forense. He modificado nombres, ciudades y algunos detalles para proteger la privacidad de los afectados, pero los hechos, importes y conclusiones son reales. Los comparto porque creo que la mejor manera de entender la amenaza es ver como afecta a personas y negocios concretos, no a estadisticas abstractas.

Caso 1: El fontanero autonomo de Jaen

Perfil: Fontanero autonomo, 52 años, 15 años de actividad. Facturacion anual 48.000 euros. Un portatil con Windows 10 (sin actualizar desde 2024) donde gestionaba toda su contabilidad, presupuestos y cartera de clientes con Excel.

Que paso: Recibio un email que simulaba ser de un proveedor de materiales de fontaneria con un PDF adjunto etiquetado como “Presupuesto actualizado marzo 2026”. El PDF contenia un macro que descargo e instalo LockBit 3.0. En menos de 20 minutos, todos los archivos del portatil estaban cifrados. La nota de rescate pedía 0,15 BTC (aproximadamente 6.800 euros en ese momento).

Mi intervención: Realice imagen forense del disco duro con metodología ISO 27037. El análisis revelo que el ransomware habia cifrado el 100% de los archivos de usuario (.xlsx, .docx, .pdf, .jpg). No habia backup de ningun tipo. Identifique el vector de entrada (email de phishing con adjunto malicioso), la variante exacta de LockBit y el timestamp preciso del cifrado. Consegui recuperar aproximadamente un 30% de los datos de fragmentos no cifrados del disco mediante técnicas de file carving.

Resultado: Perdida del 70% de sus datos de negocio. Tres meses de facturacion irrecuperables. Tuvo que reconstruir su cartera de clientes de memoria y pidiendo facturas a sus proveedores. El informe pericial sirvio para la denuncia ante la Guardía Civil y para reclamar a su seguro de responsabilidad civil (que no cubria ciber, pero si la pérdida de datos como daño patrimonial).

Leccion: Una suscripción a un servicio de backup en la nube de 6 euros al mes habría evitado todo. Cuando le explique esto al fontanero, se quedo mirando al suelo durante un minuto sin decir nada. Ese silencio es algo que he vivido docenas de veces en mi carrera y que nunca deja de afectarme. Son momentos en los que la tecnología se convierte en algo profundamente humano: un hombre de 52 años que ve como 15 años de trabajo se esfuman por una decisión que ni siquiera fue consciente.

Desde entonces, este fontanero se ha convertido en el mayor evangelista de la ciberseguridad entre los gremios de Jaen. Me conto que en la última reunion de su asociación profesional, dedico 20 minutos a explicar a sus companeros que necesitaban un backup y MFA. “Si mi experiencia le ahorra a un solo companero lo que yo pase, habrá válido la pena”, me dijo. Ese tipo de impacto indirecto es el que no se mide en las estadisticas pero que realmente cambia las cosas.

Caso 2: El restaurante familiar de Malaga

Perfil: Restaurante familiar, 12 empleados, facturacion anual 380.000 euros. Sistema TPV conectado a internet, reservas por email y plataforma web.

Que paso: Un ataque de ransomware cifro el servidor del TPV en pleno viernes noche, dejando al restaurante sin posibilidad de cobrar con tarjeta, sin acceso al sistema de reservas y sin los registros contables de los últimos 8 meses. El atacante pidio 8.000 euros en Bitcoin. El propietario, desesperado por reabrir el sabado, pago. Recibio una herramienta de descifrado que solo funciono parcialmente: recupero los datos del TPV pero no la contabilidad.

Mi intervención: Me contactaron el lunes siguiente. Preserve la evidencia restante, analice los logs del router (que afortunadamente no habian sido borrados) e identifique que el punto de entrada fue el software de gestión de reservas, que tenia una vulnerabilidad conocida sin parchear desde hacia 9 meses. El atacante habia accedido al servidor 11 días antes del despliegue del ransomware.

Resultado: Tras el pago parcialmente efectivo, el restaurante perdio 8.000 euros del rescate más aproximadamente 15.000 euros en pérdida de negocio del fin de semana, reconstruccion contable y honorarios profesionales. Total: 23.000 euros. El informe pericial fue clave para que el seguro ciber (que si tenian, contratado como anexo a la poliza de responsabilidad del negocio) cubriera 18.000 euros de los gastos.

Leccion: Actualizar el software habría costado 0 euros. El seguro ciber les salvo de la ruina. Pero lo que más me impacto de este caso fue la reacción del propietario cuando le explique que el atacante habia estado dentro de su red 11 días: “Pero si yo estuve aquí cada día y no note nada raro”. Esa frase resume el problema central de la ciberseguridad en PYMEs: los ataques son invisibles hasta que es demasiado tarde. El propietario esperaba algo dramatico, como una pantalla roja parpadeante. La realidad es que un atacante profesional opera en silencio, como un ladron que lleva dos semanas viviendo en tu atico sin que lo sepas.

Lo positivo de este caso es que el restaurante, tras la experiencia, contrato un servicio de IT gestionado por 150 euros al mes que incluye monitorizacion básica, actualizaciones automáticas y backup diario verificado. “La mejor inversion que he hecho en 20 años de negocio”, me dijo el propietario meses después.

Caso 3: La clinica dental de Granada

Perfil: Clinica dental con 3 dentistas y 5 empleados auxiliares. Facturacion anual 520.000 euros. Software de gestión clinica con historiales de 2.300 pacientes, radiografias y tratamientos.

Que paso: Un empleado administrativo recibio un email que simulaba ser de su proveedor de material odontologico con un “catálogo actualizado de precios” en formato Excel. El archivo contenia un macro que desplego Conti ransomware (variante resurrected). En 45 minutos, todo el sistema de gestión clinica, los historiales de pacientes, las radiografias digitales y los programás de tratamiento estaban cifrados. El rescate: 12.000 euros en Bitcoin. Ademas, el atacante exfiltro la base de datos de pacientes y amenazo con publicarla (doble extorsion).

Mi intervención: Caso de máxima urgencia por tratarse de datos de salud (categoría especial RGPD). Realice adquisición forense de 3 equipos y el servidor, analice el trafico de red capturado parcialmente por el router, y confirme la exfiltración de datos. Identifique que el atacante habia extraido 2.3 GB de datos de pacientes a un servidor en Moldavia 4 días antes del cifrado.

Resultado: La clinica no pago el rescate. Con mi informe pericial, notificaron a la AEPD dentro del plazo de 72 horas y a los 2.300 pacientes afectados. Restauraron parcialmente desde un backup que tenia 3 semanas de antiguedad (perdieron 3 semanas de registros). La AEPD abrio expediente pero finalmente no sanciono porque la clinica demostro diligencia en la respuesta, incluyendo el peritaje forense inmediato y la notificación a tiempo. El coste total del incidente (honorarios forenses, pérdida productiva, reconstruccion datos, comunicación pacientes, consultoria legal RGPD) ascendio a 42.000 euros.

Leccion: La notificación a la AEPD en plazo y con informe pericial evito una sanción que podría haber alcanzado los 100.000 euros. El backup, aunque desactualizado, salvo el negocio.

Este caso me enseno algo importante sobre la respuesta ante incidentes en el sector salud: la velocidad de la notificación es tanto una obligación legal como una decisión etica. Los pacientes tienen derecho a saber que sus datos de salud han sido comprometidos para poder tomar medidas de protección (vigilar movimientos bancarios, alertar a sus seguros, estar atentos a posibles intentos de extorsion). Los tres dentistas de la clinica se turnaron durante una semana para llamar personalmente a cada uno de los 2.300 pacientes. Fue agotador pero genero un efecto inesperado: la mayoria de pacientes valoraron la transparencia y solo 12 solicitaron el cambio a otra clinica. La honestidad, paradojicamente, resulto ser la mejor estrategia reputacional.

Caso 4: El despacho de abogados de Madrid

Perfil: Despacho mercantil con 4 abogados y 2 administrativos. Facturacion anual 850.000 euros. Correo electrónico con datos confidenciales de clientes, contratos, estrategias de litigio.

Que paso: Fraude BEC sofisticado. El atacante comprometio la cuenta de email de uno de los socios mediante credenciales filtradas en una brecha de datos anterior (el abogado usaba la misma contraseña en LinkedIn y en el correo profesional). Durante 23 días, el atacante leyo todos los emails sin intervenir, aprendiendo nombres, relaciones comerciales y flujos de pago. Cuando detecto una operación de compraventa inmobiliaria por 185.000 euros, envio un email al comprador (desde la cuenta real del abogado) indicando un cambio de cuenta bancaria para el deposito de arras de 37.000 euros. El comprador pago a la cuenta del atacante.

Mi intervención: Realice análisis forense del buzon de correo (Office 365), identifique la sesion no autorizada mediante los logs de Azure AD, trace el acceso a una IP en Nigeria via VPN, documente la cadena completa del fraude y elabore informe pericial para la denuncia ante la Brigada de Investigación Tecnologica. Tambien identifique 8 reglas de reenvio ocultas que el atacante habia creado para interceptar emails de otros clientes.

Resultado: Los 37.000 euros no se recuperaron (transferencia internacional a cuenta mula). El despacho tuvo que asumir la pérdida frente a su cliente y reembolsar el importe. Adicionalmente, sufrio la crisis reputacional de comunicar a todos sus clientes que sus comunicaciones podrían haber sido monitorizadas durante 23 días. Cuatro clientes cambiaron de despacho. Coste total estimado: 85.000 euros (reembolso + honorarios forenses y legales + pérdida de clientes).

Leccion: MFA en el correo profesional habría costado 0 euros y habría evitado todo. Una contraseña reutilizada destruyo la confianza de 15 años de relaciones profesionales.

Este caso es el que más utilizo cuando hablo en eventos para abogados, porque ilustra algo que muchos profesionales del derecho no consideran: son custodios de información extremadamente sensible de sus clientes (estrategias procesales, acuerdos confidenciales, datos patrimoniales) y un ataque a su correo no solo les afecta a ellos sino a todos sus clientes. El Colegio de Abogados de Madrid, tras conocer este caso, me invito a dar una charla sobre ciberseguridad para despachos. Asistieron 85 abogados. Les pregunte cuantos tenian MFA en su correo profesional. Levantaron la maño 7. De 85. Eso es un 8%. La misma proporción que los autonomos sin medidas de seguridad. La brecha de ciberseguridad no distingue entre un fontanero y un abogado mercantilista.

Caso 5: La tienda online de Zaragoza

Perfil: Ecommerce de productos gourmet, 3 empleados, facturacion anual 280.000 euros. Tienda en WooCommerce/WordPress con 4.500 clientes registrados.

Que paso: Un atacante exploto una vulnerabilidad conocida en un plugin de WordPress desactualizado (WPForms, versión con CVE publicado 5 meses antes). Inyecto un skimmer de tarjetas de credito (web skimming) en la página de pago. Durante 6 semanas, todos los clientes que compraron con tarjeta tuvieron sus datos capturados en tiempo real: número de tarjeta, fecha de caducidad, CVV y datos personales. Aproximadamente 340 transacciones comprometidas.

Mi intervención: El propietario me contacto cuando su procesador de pagos (Stripe) le notifico actividad fraudulenta asociada a su tienda. Realice análisis forense del servidor web, identifique el script malicioso inyectado en el footer del tema WordPress, la vulnerabilidad explotada y el servidor externo al que se enviaban los datos de las tarjetas. Documente 340 transacciones potencialmente comprometidas con timestamps exactos.

Resultado: Obligación de notificar a la AEPD, a los 340 clientes afectados y a las entidades bancarias emisoras de las tarjetas. Stripe suspendio temporalmente la cuenta. El propietario tuvo que contratar una empresa de seguridad para limpiar y fortificar la tienda, migrar a un hosting gestionado con WAF, y pagar un Qualified Security Assessor para re-certificar PCI DSS. Coste total: 28.000 euros. Perdida de ventas durante las 3 semanas de suspension: 16.000 euros adicionales.

Leccion: Actualizar el plugin habría costado 2 minutos y 0 euros. Un WAF (Web Application Firewall) cuesta 20 euros al mes para una tienda de este tamaño.

Lo que me preocupa de los casos de ecommerce es que el propietario no suele ser consciente del ataque hasta que un tercero se lo notifica (en este caso, Stripe). Durante 6 semanas, 340 clientes introdujeron sus datos de tarjeta en una página comprometida sin saberlo. El propietario me confeso que habia recibido un email del plugin WPForms meses antes avisando de la actualizacion de seguridad, pero lo habia ignorado porque “el último update me desconfiguro algo y no queria arriesgarme”. Es un dilema real: las actualizaciones a veces causan problemas, pero no actualizar te deja expuesto a vulnerabilidades conocidas que los atacantes explotan de forma automatizada. Mi recomendación siempre es la misma: actualiza en un entorno de staging primero si puedes, pero actualiza. El riesgo de no hacerlo es incomparablemente mayor.

Caso 6: La gestoria fiscal de Valencia

Perfil: Gestoria con 2 gestores y 3 administrativos, 300 clientes (autonomos y PYMEs), facturacion anual 420.000 euros. Gestión fiscal y contable de todos sus clientes, acceso a datos tributarios de la AEAT.

Que paso: Un troyaño de tipo infostealer (variante de Raccoon) infecto el equipo de un administrativo a traves de una descarga de software pirata (buscaba una versión gratuita de un programa de contabilidad). El troyaño capturo durante 3 semanas todas las credenciales introducidas: accesos a la AEAT, certificados digitales de clientes, credenciales bancarias, y la base de datos completa de ContaPlus. Los datos de 300 clientes (declaraciones de renta, datos fiscales, NIFs, cuentas bancarias) fueron exfiltrados a un servidor de mando y control.

Mi intervención: Caso extremadamente sensible por el volumen de datos de terceros afectados. Realice imagen forense del equipo infectado, identifique la variante del infostealer, el servidor C2 y los datos exfiltrados. Elabore un informe detallado para la AEPD que incluia el inventario exacto de datos comprometidos, la cronologia del incidente y las medidas de mitigación adoptadas.

Resultado: La gestoria tuvo que notificar individualmente a los 300 clientes afectados, revocar y renovar todos los certificados digitales comprometidos, cambiar todas las contraseñas de acceso a la AEAT y comunicar el incidente a la Agencia Tributaria. La AEPD abrio expediente y sanciono con 15.000 euros por medidas de seguridad insuficientes (el uso de software pirata fue considerado agravante). La gestoria perdio 87 clientes en los tres meses siguientes. Coste total: más de 90.000 euros incluyendo sanción, pérdida de clientes, honorarios profesionales y renovacion de certificados.

Leccion: El software pirata le “ahorro” 200 euros de licencia. Le costo 90.000 euros.

Este caso tiene una dimension adicional que es importante destacar: el uso de software pirata fue considerado por la AEPD como un agravante porque demuestra una falta de diligencia en las medidas de seguridad. Si la gestoria hubiera sido atacada por otro vector (por ejemplo, un phishing sofisticado con software legítimo), la AEPD habría sido mucho más comprensiva. Pero el hecho de que el malware entrara a traves de software descargado ilegalmente evidenciaba una cultura de seguridad inexistente. Otro detalle relevante: durante la investigación forense descubri que el administrativo habia descargado el software pirata desde una web que aparecia en la primera página de Google al buscar “ContaPlus gratis”. Los ciberdelincuentes posicionan webs de descargas ilegales específicamente para distribuir malware. Es un vector que he visto en al menos 15 de mis peritajes: el empleado que busca un “crack” o una “versión gratis” de un software profesional y acaba instalando un infostealer.

La gestoria, a día de hoy, ha recuperado parte de sus clientes después de implementar un programa serio de ciberseguridad que incluye auditorias anuales, formación trimestral para empleados, seguro ciber y un protocolo de respuesta a incidentes. El gestor titular me dijo algo que me quedo grabado: “El día del ataque perdi mi negocio. Los 6 meses siguientes los dedique a reconstruirlo. Ahora invierto 3.000 euros al año en seguridad y duermo tranquilo. Deberia haberlo hecho hace 10 años”.

Caso 7: La agencia de viajes de Barcelona

Perfil: Agencia de viajes corporativa, 6 empleados, facturacion anual 1.2 millones de euros. Gestionaba viajes de empresa para 45 clientes corporativos.

Que paso: Phishing sofisticado dirigido. El atacante creo un dominio identico al de Amadeus (el sistema global de reservas) y envio un email al director de la agencia informando de “una actualizacion obligatoria de seguridad” para mantener el acceso al sistema. El director introdujo sus credenciales de Amadeus en la página falsa. Con ese acceso, el atacante pudo ver reservas de vuelos, datos de pasajeros (incluyendo datos de pasaporte), itinerarios y datos de tarjetas corporativas de los 45 clientes empresariales.

Mi intervención: Realice análisis forense del equipo del director, del servidor de correo y trace la infraestructura del phishing. Identifique que el dominio falso se habia registrado en un registrador de Rusia 48 horas antes del ataque. Documente el alcance de los datos comprometidos: 45 empresas clientes, más de 600 empleados con datos de viaje, 120 números de pasaporte y 38 tarjetas corporativas.

Resultado: Crisis reputacional masiva. La agencia tuvo que notificar a las 45 empresas clientes, muchas de las cuales tenian cláusulas contractuales de protección de datos que fueron incumplidas. Perdio 18 de sus 45 clientes corporativos. Amadeus revoco temporalmente su acceso hasta que demostro medidas de seguridad reforzadas. La facturacion cayo un 40% en el siguiente trimestre. Coste total estimado incluyendo pérdida de clientes, honorarios y medidas correctivas: 180.000 euros.

Leccion: MFA en el acceso a Amadeus habría bloqueado el ataque. La agencia lo habia pospuesto “porque era incomodo para el equipo”.

La ironia de este caso es dolorosa: la agencia habia recibido un correo de Amadeus (el real, no el falso) tres meses antes recomendando la activacion de MFA. El director lo marco como “para leer luego” y nunca volvio a el. Cuando le mostre ese email durante mi investigación, se quedo palido. “Tenia la solución delante de mis ojos y no la vi”, me dijo. Este patrón lo veo constantemente: las empresas reciben avisos de seguridad de sus proveedores y los ignoran sistematicamente. No por maldad ni por negligencia deliberada, sino porque la ciberseguridad no es una prioridad hasta que se convierte en una emergencia.

El caso de la agencia tuvo un epilogo positivo inesperado: una de las 45 empresas clientes, al conocer el incidente, le ofrecio al director un puesto como responsable de ciberseguridad en su departamento de IT. El director acepto, cerro la agencia y ahora trabaja ayudando a otras PYMEs a evitar lo que le paso a el. A veces las peores experiencias profesionales se convierten en las mejores oportunidades de reinvencion.

Caso 8: La constructora de Sevilla

Perfil: Constructora familiar, 22 empleados, facturacion anual 3.5 millones de euros. Multiples obras simultaneas con pagos frecuentes a proveedores y subcontratas.

Que paso: Fraude BEC avanzado con ingenieria social combinada. El atacante comprometio la cuenta de email de un proveedor de hormigon y monitorizo las comunicaciones con la constructora durante 4 semanas. Aprendio los flujos de pago, los nombres de los responsables financieros y los importes habituales. Cuando detecto una factura legítima de 67.000 euros por un suministro de hormigon a una obra en Dos Hermanas, intercepto el email y lo reenvio con el IBAN modificado. Ademas, llamo por teléfono a la administrativa de la constructora haciendose pasar por el departamento de administración del proveedor, confirmando “el cambio de cuenta bancaria por reestructuracion interna”.

Mi intervención: Análisis forense de ambas cuentas de email (proveedor y constructora), rastreo de las llamadas telefonicas, identificación de la cuenta mula receptora y elaboración de informe pericial para denuncia penal y reclamación al banco. Documente la sofisticacion del ataque (combinacion de compromiso email + vishing) que lo hacia practicamente indetectable sin protocolos de verificación de pagos.

Resultado: El banco consiguio bloquear 23.000 de los 67.000 euros antes de que fueran transferidos fuera del pais. Los 44.000 restantes se perdieron. El informe pericial fue determinante para que el banco asumiera parte de la responsabilidad por no detectar la transferencia a una cuenta mula flaggeada. La constructora implemento un protocolo de doble verificación telefónica para todo pago superior a 5.000 euros.

Leccion: Un protocolo de verificación de pagos (llamada al número habitual del proveedor, no al que aparece en el email, para confirmar cambios de cuenta) habría evitado la pérdida de 44.000 euros. Coste del protocolo: 0 euros.

Lo que hace especialmente peligroso el fraude BEC en el sector de la construccion es el volumen de las transferencias. Mientras que en otros sectores las facturas fraudulentas oscilan entre 2.000 y 15.000 euros, en construccion es habitual ver facturas de 30.000, 50.000 o incluso 100.000 euros. Los atacantes lo saben y por eso el sector inmobiliario y de construccion es el tercero más atacado por BEC en España. La constructora de este caso implemento después del incidente un protocolo sencillo pero efectivo: para cualquier cambio de datos bancarios de un proveedor, se requiere confirmacion telefónica al número que consta en el contrato original (no al que aparezca en el email) más una confirmacion por escrito con firma digital. Coste de implementacion: una reunion de 30 minutos con el equipo administrativo.

Resumen comparativo de los 8 casos

La tabla revela algo importante: MFA habría evitado completamente 3 de los 8 ataques, y un backup adecuado habría permitido la recuperación completa en 2 casos. Es decir, dos medidas gratuitas o de bajo coste habrían ahorrado más de 300.000 euros en daños. Las otras 3 situaciones requerian medidas adicionales como formación anti-phishing, actualizacion de software y protocolos de verificación de pagos.

Ningun sistema de protección es infalible al 100%, pero las medidas básicas (MFA, backup, actualizaciones, formación, EDR) habrían evitado o mitigado significativamente 7 de los 8 ataques. Solo el caso de la cadena de suministro (gestoria con software pirata) habría requerido medidas más avanzadas.

Reflexion sobre los 8 casos

Si hay algo que estos ocho casos tienen en común, más alla de los detalles técnicos, es que ninguno de estos empresarios pensaba que le iba a pasar a el. Todos creian que los ciberataques eran cosa de grandes corporaciones, de bancos, de gobiernos. Ninguno era consciente de que su pequeño negocio fuera un objetivo. Y esa percepción erronea es, quizas, la mayor vulnerabilidad de todas.

El coste acumulado de estos 8 casos supera los 500.000 euros. Si cada uno de estos empresarios hubiera invertido entre 1.000 y 3.000 euros anuales en medidas básicas de ciberseguridad, el coste total de prevención habría sido inferior a 20.000 euros. Habrian ahorrado más de 480.000 euros, conservado sus clientes, evitado sanciones y preservado su salud mental.

Hay otro patrón que merece mencion: en 6 de los 8 casos, el empresario me dijo alguna variante de “yo pensaba que esto solo le pasaba a las grandes empresas”. Es una creencia generalizada y peligrosa. La realidad es exactamente la contraria: las grandes empresas sufren menos porque invierten mas. Los ciberdelincuentes van a donde el retorno sobre la inversion es mayor, y ahora mismo ese lugar son las PYMEs españolas.

Tambien quiero destacar un aspecto positivo: 7 de los 8 empresarios, después del incidente, implementaron medidas serias de ciberseguridad. El fontanero de Jaen ahora tiene backup en la nube y MFA. El restaurante de Malaga contrato un servicio de IT gestionado. La clinica dental renueva su formación cada trimestre. El despacho de abogados activo MFA en todas las cuentas. La tienda online migro a un hosting gestionado con WAF. La gestoria invierte 3.000 euros al año en seguridad. La constructora tiene protocolo de verificación de pagos. Solo la agencia de viajes cerro. El mensaje es claro: si sobrevives al primer ataque y aprendes la leccion, la probabilidad de sufrir un segundo ataque grave se reduce drasticamente. Pero es mucho mejor aprender la leccion sin tener que pasar por el ataque.

El impacto psicologico que nadie mide

Hay una dimension de los ciberataques a PYMEs que rara vez aparece en los informes pero que yo veo en primera persona cada semana: el impacto emocional y psicologico en el empresario. He visto a autonomos llorar en mi oficina. He recibido llamadas a las 3 de la manana de empresarios que no podian dormir. He acompañado a clientes a urgencias porque desarrollaron crisis de ansiedad. Y he tenido conversaciones muy dificiles con empresarios que me decian que se planteaban cerrar el negocio y “buscar un trabajo normal”.

El ciberataque no solo destruye datos: destruye la sensacion de control sobre tu propio negocio. Para un autonomo que ha construido su empresa ladrillo a ladrillo durante años, descubrir que un desconocido ha accedido a toda su información, a los datos de sus clientes, a sus cuentas bancarias, genera una sensacion de violación y vulnerabilidad comparable a la de un robo físico en tu hogar. Y a diferencia de un robo físico, donde puedes cambiar la cerradura, en un ciberataque la inseguridad permanece: nunca tienes la certeza completa de que el atacante no haya dejado una puerta trasera, de que tus datos no esten circulando por la dark web, de que no vaya a volver.

Esta dimension psicologica tiene consecuencias prácticas que agravan la situación:

• Toma de decisiones precipitadas: El estres lleva a formatear equipos, pagar rescates o destruir evidencia
• Paralisis por análisis: Algunos empresarios quedan tan bloqueados que no actuan en las primeras 72 horas críticas
• Desconfianza generalizada: Empiezan a desconfiar de sus empleados, de sus proveedores, de la tecnología
• Aislamiento: No quieren hablar del tema por verguenza, lo que retrasa la busqueda de ayuda profesional
• Burnout acelerado: El proceso de recuperación, que puede durar meses, consume toda la energia del empresario

Como perito forense, parte de mi trabajo es gestionar esta dimension emocional. No soy psicologo, pero he aprendido que la primera hora de reunion con un cliente que ha sufrido un ataque no es técnica: es humana. Necesitan que alguien les escuche, les diga que no es culpa suya (porque la mayoria se autoculpan), que hay un camino de recuperación, y que no estan solos. Solo después de eso puedo empezar a hablar de adquisiciones forenses y cadenas de custodia.

He desarrollado un protocolo informal para esa primera reunion que comparto porque creo que puede ser útil para cualquier profesional que trabaje con PYMEs afectadas:

1. Escuchar sin interrumpir durante los primeros 10-15 minutos. El empresario necesita contar lo que ha pasado, expresar su frustracion y sentirse escuchado
2. Normalizar la situación: “Le pasa al 60% de las PYMEs españolas. No es culpa tuya. Los atacantes son profesionales con más recursos de los que te imaginas”
3. Transmitir control: “Hay un proceso claro que vamos a seguir. Paso a paso. Hoy hacemos X, manana Y, la semana que viene Z”
4. Ser honesto sobre el pronostico: No prometer recuperación completa si no es realista. La confianza se construye con honestidad, no con optimismo infundado
5. Dar tareas concretas inmediatas: El peor enemigo después de un ciberataque es la sensacion de impotencia. Dar al empresario algo que pueda hacer (aunque sea preparar documentación) le devuelve la sensacion de control

Varios clientes me han dicho que esa primera reunion fue lo que les impidio tomar decisiones precipitadas (como pagar el rescate inmediatamente o formatear todo). Ese espacio de reflexion guiada puede ahorrar decenas de miles de euros.

El papel de la inteligencia artificial en los ataques a PYMEs

Este es un tema que merece un apartado extenso porque esta cambiando radicalmente el panorama de amenazas para las PYMEs españolas. No es una amenaza futura: ya esta aquí. En los últimos 6 meses, he detectado el uso de inteligencia artificial en al menos el 35% de los casos de phishing que he analizado forense. Y la tendencia se acelera mes a mes.

La inteligencia artificial generativa ha democratizado el cibercrimen de la misma manera que Internet democratizo el acceso a la información: lo que antes requeria conocimientos técnicos avanzados, ahora esta al alcance de cualquiera con un navegador y 50 euros.

Como usan los atacantes la IA contra las PYMEs

Ejemplos reales de phishing potenciado con IA que he analizado

Para ilustrar la gravedad del cambio, estos son extractos reales (anonimizados) de emails de phishing que he analizado en mis peritajes recientes y que muestran un nivel de sofisticacion impensable hace dos años:

Ejemplo 1 - Suplantacion de la DGT (febrero 2026): “Estimado/a contribuyente, le informamos de que tiene una multa pendiente de pago correspondiente al radar de velocidad de la A-44 km 23 (Jaen - Granada) del día 14/01/2026. Importe: 100 euros si abona en periodo voluntario (20 días hábiles). Puede consultar los detalles y efectuar el pago en el siguiente enlace. Dirección General de Trafico - Jefatura Provincial de Jaen.” El email incluia el logo actualizado de la DGT, la referencia a una carretera real, el formato exacto de las notificaciones de trafico y un enlace a una replica perfecta de la sede electrónica. La única senal de alerta era que el dominio del enlace era dgt-multas.es en lugar de dgt.es. Un detalle que el 95% de los destinatarios no habría detectado.

Ejemplo 2 - Suplantacion de proveedor (enero 2026): Un email dirigido al departamento de contabilidad de una constructora de Cordoba, supuestamente del proveedor de hormigon, informando de un “cambio de entidad bancaria por reestructuracion del departamento financiero” e incluyendo una nueva factura con el IBAN modificado. El email reproducia el formato exacto de las comunicaciones anteriores del proveedor (que el atacante habia leido al comprometer su correo), incluia el número de pedido correcto, la referencia de la obra y hasta el nombre del comercial habitual. Sin acceso al correo del proveedor, este nivel de personalizacion sería imposible. Pero la IA se utilizo para generar la justificacion del cambio bancario en un tono natural y profesional que no levantara sospechas.

Ejemplo 3 - Suplantacion de gestor fiscal (marzo 2026): Un autonomo de Sevilla recibio un email aparentemente de su asesor fiscal con un enlace a “la documentación necesaria para la declaración trimestral del IVA”. El email mencionaba correctamente el trimestre, el plazo de presentación, y hasta una referencia a “la factura de febrero que faltaba por contabilizar” (información que el atacante habia obtenido al comprometer previamente el email del asesor). El enlace llevaba a una página de descarga que instalo un infostealer. La IA se utilizo para mantener el tono informal y cercaño que caracterizaba las comunicaciones reales entre el autonomo y su asesor.

He analizado emails de phishing generados con IA que mencionaban correctamente el nombre del pueblo, la delegacion de Hacienda correspondiente, el plazo de la declaración trimestral y hasta el nombre del asesor fiscal del autonomo. Ese nivel de personalizacion era impensable hace dos años. El atacante simplemente alimento un modelo de IA con información pública del negocio (web, LinkedIn, redes sociales, registros mercantiles) y genero un email a medida en segundos.

Pero no todo es negativo en lo que respecta a la IA. Las mismás tecnologías que usan los atacantes también estan mejorando las defensas. Los EDR modernos utilizan modelos de machine learning para detectar comportamientos anómalos en tiempo real, los filtros de email basados en IA pueden detectar phishing sofisticado que los filtros tradicionales no capturan, y las herramientas de análisis de seguridad automatizado permiten a las PYMEs acceder a un nivel de protección que antes solo estaba al alcance de las grandes empresas. El problema es que la adopcion de estas herramientas defensivas en PYMEs es muy inferior a la adopcion de herramientas ofensivas por parte de los atacantes. Es una carrera armamentistica donde los atacantes llevan ventaja.

Mi recomendación para las PYMEs respecto a la IA es doble: por un lado, entiende que los ataques van a ser cada vez más sofisticados y que las defensas humanas (sentido común) ya no son suficientes por si solas. Por otro lado, aprovecha las herramientas de IA defensivas que estan disponibles a precios accesibles: un EDR con machine learning, un filtro de email basado en IA (incluido en Microsoft 365 Business), y una politica de verificación fuera de banda para todas las solicitudes inusuales.

La consecuencia directa para las PYMEs es que las defensas basadas en “sentido común” ya no son suficientes. El consejo clásico de “no hagas clic en emails sospechosos” pierde efectividad cuando los emails maliciosos son indistinguibles de los legítimos. La defensa tiene que evolucionar hacia medidas técnicas (MFA, EDR, verificación de dominios) que no dependan del juicio humaño para cada email que llega.

Los deepfakes llegan a las PYMEs españolas

En enero de 2026 perite mi primer caso de fraude con deepfake de voz en una PYME española. Una empresa de distribucion de alimentacion de Zaragoza recibio una llamada del “director general” (que estaba de viaje) autorizando una transferencia urgente de 28.000 euros a un nuevo proveedor. La voz era identica. El tono, las expresiones habituales del director, incluso su forma de carraspear antes de decir cifras. La administrativa no dudo: habia hablado con su jefe cientos de veces y la voz era la suya.

No era su jefe. Era un audio generado por IA a partir de grabaciones públicas del director en una entrevista de podcast y un video de YouTube de una conferencia sectorial. El atacante habia entrenado un modelo de clonacion de voz (tecnología accesible por 20-50 euros al mes en servicios como ElevenLabs o servicios similares en la dark web) y habia llamado desde un número que aparecia como “número privado”.

Cuando analice el caso forense, identifique marcadores de audio sintetico (falta de respiracion natural entre frases, consistencia anormal en el tono, ausencia de ruido de fondo que sería esperable en un viaje). Pero son marcadores que una persona no entrenada jamás detectaria en una conversacion telefónica de 3 minutos. El informe pericial fue clave para la denuncia y para que el banco bloqueara parte de los fondos antes de que salieran del pais.

Este caso me preocupa enormemente porque representa el futuro de los ataques a PYMEs. Si un deepfake de voz convincente se puede generar por 50 euros, imagina lo que vamos a ver en los próximos 12 meses. La única defensa efectiva contra este tipo de ataque es un protocolo de verificación fuera de banda: ante cualquier solicitud inusual de transferencia, se verifica por un canal diferente al que se recibio la solicitud. Si la llamada fue por teléfono, se confirma por email o WhatsApp (y viceversa). Si la llamada fue del “jefe”, se le llama al número habitual guardado en contactos, no se devuelve la llamada al número entrante.

Además del deepfake de voz, ya estamos viendo los primeros casos de deepfake de video en entornos empresariales. En enero de 2026, una empresa de Hong Kong perdio 25 millones de dolares cuando un empleado participo en una videoconferencia donde todos los demás participantes (incluyendo el CFO de la empresa) eran deepfakes en tiempo real. Aunque este caso fue internacional, es cuestion de tiempo que veamos algo similar en PYMEs españolas. La tecnología necesaria ya existe, es accesible y su coste baja cada mes.

La combinacion de deepfakes de voz, emails generados por IA y reconocimiento facial sintetico crea un escenario donde la verificación de identidad tradicional (voz, apariencia, estilo de comunicación) ya no es fiable. Las PYMEs necesitan protocolos formales de verificación que no dependan de “reconocer” a la persona al otro lado de la comunicación, sino de factores que un atacante no pueda replicar: códigos preestablecidos, canales de verificación alternativos y limites de autorización que requieran multiples aprobaciones.

INCIBE y USC lanzan “PYME Cibersegura 2026”

El 13 de marzo de 2026, INCIBE y la Universidad de Santiago de Compostela (USC) presentaron la campana PYME Cibersegura 2026, una iniciativa gratuita dirigida específicamente a PYMEs y autonomos españoles. Es una buena noticia, aunque llega tarde para las miles de empresas que ya han sido atacadas este año. La campana se enmarca en un contexto donde España sigue sin transponer la Directiva NIS2, lo que deja a las empresas en un limbo regulatorio que agrava la situación.

Que ofrece PYME Cibersegura 2026

Mi valoración profesional es mixta. Por un lado, cualquier iniciativa que acerque la ciberseguridad a las PYMEs es positiva y necesaria. La linea 017 de INCIBE es un recurso excelente que recomiendo sin reservas: he derivado a clientes ahi para consultas generales y la atencion es profesional. Por otro lado, los programás de concienciacion tienen un efecto limitado si no van acompañados de medidas técnicas concretas y accesibles economicamente. Decirle a un autonomo que “active MFA” cuando no sabe que es MFA, no sabe donde activarlo y no tiene a nadie que se lo configure no resuelve el problema.

Lo que echo en falta en esta campana es un componente de respuesta post-incidente. Porque la realidad es que cuando una PYME sufre un ataque, necesita tres cosas urgentes: contener el daño, preservar la evidencia digital, y denunciar con pruebas solidas. Y para eso necesita un profesional forense, no un folleto. Tambien echo en falta un programa de ayudas económicas directas para que las PYMEs puedan contratar servicios mínimos de ciberseguridad (un EDR básico, un backup gestionado, una auditoria anual), similar a lo que existe para la digitalizacion con el Kit Digital.

Tambien echo en falta datos concretos sobre el impacto económico en autonomos. Las estadisticas siempre hablan de PYMEs como si fueran un bloque homogeneo, pero la realidad de un autonomo con facturacion de 40.000 euros anuales que pierde 3 semanas de actividad por un ransomware es completamente diferente a la de una PYME de 30 empleados con facturacion de 2 millones. Para el autonomo, ese ataque puede significar literalmente cerrar el negocio y volver a trabajar por cuenta ajena.

Que debería incluir una campana eficaz de ciberseguridad para PYMEs

Si me preguntaran como disenaria una campana de ciberseguridad para PYMEs (y nadie me lo ha preguntado, pero lo digo igualmente porque es importante), estas serían mis propuestas:

1. Subvenciones directas para medidas básicas: Igual que existe el Kit Digital para la digitalizacion, debería existir un Kit Ciber que financiara la implementacion de MFA, backup gestionado, EDR y formación en PYMEs de menos de 50 empleados. El coste por empresa sería de 1.000-3.000 euros, una fraccion del coste que genera un incidente (35.000 euros de media). La inversion se amortizaria con creces en reduccion de daños.

2. Servicio gratuito de primera respuesta: Un equipo de respuesta rápida (CERT) específico para PYMEs que pueda atender las primeras 24 horas de un incidente, orientando al empresario sobre contencion, preservación de evidencia y pasos legales. Algo similar a lo que hace el 112 en emergencias sanitarias: no sustituye al hospital, pero estabiliza al paciente.

3. Formación obligatoria vinculada a subvenciones: Cualquier PYME que reciba financiacion pública para digitalizacion debería estar obligada a completar un modulo básico de ciberseguridad. De nada sirve digitalizar si no proteges lo que digitalizas.

4. Registro anónimo de incidentes: Un sistema donde las PYMEs puedan reportar incidentes de forma anónima para alimentar estadisticas reales (no las actuales, que infraestiman enormemente la magnitud del problema). Sin datos fiables, es imposible disenar politicas eficaces.

5. Mediación con aseguradoras: Facilitar la contratación de seguros ciber accesibles para PYMEs, incluyendo polizas estandarizadas con coberturas mínimás obligatorias y primás reguladas para empresas de menos de 50 empleados.

Impacto económico real por tamaño de empresa

Esta tabla la he elaborado a partir de los datos de mis propios peritajes y de los informes públicos de Hiscox, INCIBE y Sophos. Los rangos son conservadores:

Los costes indirectos incluyen elementos que rara vez se contabilizan pero que he documentado en mis peritajes: pérdida de clientes por daño reputacional, horas de trabajo pérdidas por inactividad, reconstruccion de datos, consultoria legal y de cumplimiento, posibles sanciones AEPD, incremento de primás de seguros, y el coste emocional y de salud del empresario (he visto a autonomos desarrollar ansiedad y depresion tras un ciberataque grave).

Los datos hablan por si solos: cuanto más pequeña es la empresa, mayor es el impacto relativo del ataque y mayor la probabilidad de cierre. Un autonomo que pierde 15.000 euros en costes directos de un incidente puede estar perdiendo entre el 25% y el 50% de su facturacion anual. Si sumás los costes indirectos, la cifra puede superar el 100% de la facturacion.

El coste de no hacer nada frente al coste de protegerse

Esta es la comparativa que presento a cada PYME que me pide consejo:

La matematica es sencilla: por el coste de un cena de Navidad de empresa, puedes proteger tu negocio del 95% de los ciberataques que afectan a PYMEs españolas. Lo que me frustra como profesional es que esta tabla la presento después del ataque, cuando ya es demasiado tarde, en lugar de antes.

Que hacer si tu PYME o tu negocio autonomo ya ha sido atacado

Esta es la parte que más me importa de este artículo, porque es donde puedo aportar valor real basado en mi experiencia directa como perito informático forense. He visto demasiadas veces como un empresario toma decisiones precipitadas en las primeras horas del ataque que destruyen evidencia crítica y eliminan cualquier posibilidad de recuperación forense o denuncia efectiva.

La diferencia entre una PYME que se recupera de un ciberataque y una que cierra en 6 meses no suele estar en la gravedad del ataque, sino en la calidad de la respuesta. Y esa respuesta se decide en las primeras 24 horas.

Protocolo de respuesta post-ataque: 10 pasos críticos

Que NO hacer (errores que veo cada semana)

Obligaciones legales tras una brecha de seguridad

Muchos empresarios desconocen que un ciberataque no es solo un problema técnico: tiene consecuencias legales inmediatas y obligaciones de cumplimiento que, si se ignoran, pueden agravar enormemente la situación.

Notificación a la AEPD (artículo 33 RGPD)

Si la brecha afecta a datos personales (y en el 90% de los ataques a PYMEs lo hace), estas obligado a notificar a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas desde que tienes conocimiento de la brecha. La notificación debe incluir:

• Naturaleza de la violación de seguridad
• Categorias y número aproximado de interesados afectados
• Categorias y número aproximado de registros afectados
• Nombre y datos de contacto del DPO o punto de contacto
• Descripcion de las consecuencias probables
• Medidas adoptadas o propuestas para poner remedio

La AEPD dispone de un formulario online para esta notificación. Mi recomendación: realiza la notificación inicial aunque no tengas toda la información. El RGPD permite complementar la notificación con información adicional posteriormente. Lo que no tolera es el retraso injustificado o la ocultacion.

Comunicación a los afectados (artículo 34 RGPD)

Si la brecha supone un riesgo alto para los derechos y libertades de las personas afectadas, debes comunicarselo directamente. Esto incluye situaciones donde se han exfiltrado datos de salud, datos financieros, credenciales de acceso o documentos de identidad. La comunicación debe ser clara, directa y sin jerga técnica.

Consecuencias de no cumplir

En la práctica, la AEPD es más benevolente con las PYMEs que demuestran buena fe: notificación en plazo, informe pericial, medidas correctivas adoptadas y cooperacion con la investigación. He visto como un informe pericial riguroso ha sido determinante para que la AEPD archivara expedientes que de otra forma habrían terminado en sanción.

La NIS2 y las PYMEs: que cambia

La Directiva NIS2 (Network and Information Security Directive 2) de la Union Europea debería haberse transpuesto al ordenamiento jurídico español antes de octubre 2024, pero a marzo de 2026 España sigue sin hacerlo. Cuando se transponga, afectara directamente a muchas PYMEs, especialmente las que operan en sectores considerados “esenciales” o “importantes”: salud, transporte, energia, infraestructura digital, administración pública, alimentacion y servicios postales, entre otros.

Las principales obligaciones que la NIS2 impondra a las PYMEs afectadas incluyen:

• Medidas de gestión de riesgos de ciberseguridad proporcionales al tamaño y sector
• Notificación de incidentes significativos en plazos de 24 horas (alerta temprana), 72 horas (notificación) y 1 mes (informe final)
• Responsabilidad de la dirección: los directivos podrán ser personalmente responsables si no implementan medidas adecuadas
• Sanciones: hasta 10 millones de euros o el 2% de la facturacion global para entidades esenciales, y hasta 7 millones o el 1,4% para entidades importantes

Mi recomendación para las PYMEs es no esperar a la transposición: las medidas que exigira la NIS2 son esencialmente las mismás que ya deberían estar implementando por sentido común y por cumplimiento del RGPD. Cuanto antes empiecen, menor será el esfuerzo de adaptacion cuando la norma entre en vigor.

Denuncias penales: que delitos se cometen

Los ciberataques a PYMEs no son solo incidentes técnicos: son delitos tipificados en el Código Penal español. Es importante que el empresario lo sepa porque una denuncia fundamentada con informe pericial puede llevar a investigaciones policiales, detenciones y recuperación de fondos (en casos de fraude BEC).

Para que la denuncia sea efectiva, es fundamental aportar un informe pericial que documente tecnicamente el incidente: vector de entrada, cronologia, alcance, datos afectados, indicadores de compromiso y trazabilidad del atacante. Sin este soporte técnico, las fuerzas de seguridad tienen muy difícil investigar. Por eso insisto en la importancia de no destruir evidencia y de contactar con un perito forense antes de tomar cualquier accion sobre los equipos afectados.

Ciberseguro para PYMEs: que cubre y que no

El seguro ciber es la medida de protección que más ha crecido en los últimos dos años entre las PYMEs españolas, aunque la penetración sigue siendo baja (18% en PYMEs medianas, 4% en autonomos). Despues de haber trabajado con aseguradoras en más de 30 siniestros ciber, tengo una vision clara de lo que funciona y lo que no.

Que cubre una poliza ciber típica para PYMEs

Que NO suele cubrir

• Daños preexistentes (brechas anteriores a la contratación)
• Perdida de propiedad intelectual (difícil de valorar)
• Mejoras de seguridad (el seguro cubre restaurar al estado anterior, no mejorar)
• Daños reputacionales a largo plazo
• Multas por incumplimiento deliberado
• Ataques de los que se tenia conocimiento previo y no se actuo

Coste de una poliza ciber para PYMEs

Mi recomendación: para cualquier PYME que maneje datos de terceros (y eso incluye a practicamente todas), un seguro ciber básico es tan esencial como el seguro de responsabilidad civil. El coste es razonable y, en caso de incidente, puede marcar la diferencia entre sobrevivir y cerrar. Asegurate de que la poliza incluya cobertura de respuesta a incidentes con peritaje forense, porque sin informe pericial no podras ni denunciar ni reclamar adecuadamente.

5 preguntas que debes hacer antes de contratar un seguro ciber

He acompañado a clientes en el proceso de contratación de seguros ciber y hay preguntas que la mayoria no hace pero que son determinantes:

1. Incluye cobertura de respuesta a incidentes con peritaje forense? Algunas polizas cubren “restauracion de sistemas” pero no el análisis forense previo. Sin el peritaje, no puedes denunciar con fundamento técnico, no puedes demostrar la brecha para cumplir con el RGPD, y no puedes determinar el alcance real del ataque.

2. Cual es el periodo de espera para la cobertura de interrupcion de negocio? La mayoria de polizas tienen un periodo de espera (deducible temporal) de 8 a 24 horas antes de que empiece a contar la cobertura por lucro cesante. Para un ecommerce que factura 2.000 euros diarios, un periodo de espera de 24 horas significa asumir 2.000 euros de pérdida antes de que el seguro empiece a compensar.

3. Cubre el fraude por ingenieria social (BEC)? No todas las polizas lo incluyen, y muchas que lo incluyen tienen sublimites muy bajos (5.000-10.000 euros). Si tu negocio hace transferencias frecuentes a proveedores, necesitas una cobertura de fraude social engineering con un limite adecuado al volumen de tus pagos habituales.

4. Que exclusiones tiene? Lee la letra pequeña. Las exclusiones más comunes incluyen: guerra y terrorismo, daños por software sin licencia (como en el caso de la gestoria de Valencia), incidentes causados por falta de actualizaciones críticas conocidas, y actos deliberados de empleados. Entiende que queda fuera antes de firmar.

5. Como es el proceso de reclamación? Pregunta que documentación necesitan (casí siempre un informe pericial), que plazos de notificación tienen (normalmente 24-48 horas desde el descubrimiento del incidente), y si tienen un panel de proveedores de respuesta a incidentes o puedes elegir tu propio perito. Algunas aseguradoras exigen que uses sus proveedores designados, lo que puede limitar tus opciones.

10 medidas preventivas con coste real

No voy a hablar de soluciónes empresariales de 50.000 euros. Estas son medidas que un autonomo puede implementar en una tarde con un coste mínimo o nulo. Las ordeno por impacto y facilidad de implementacion:

Coste total de protección básica

Si implementas las 10 medidas, el coste anual para un autonomo o micropyme de 5 equipos sería:

Estamos hablando de menos de 3,50 euros al dia para proteger un negocio cuyo valor medio supera los 100.000 euros. Menos de lo que cuesta un cafe con tostada. Y sin embargo, el 72% de los autonomos españoles no tiene implementada ni una sola de estas medidas.

Herramientas concretas que recomiendo

Despues de años trabajando con PYMEs, estas son las herramientas específicas que recomiendo por su relación calidad-precio y facilidad de uso para empresarios sin conocimientos técnicos:

No tengo relación comercial con ninguna de estas empresas. Las recomiendo porque las he visto funcionar en entornos reales de PYMEs españolas y porque son las que mejor equilibran protección, facilidad de uso y coste.

Si ya has sufrido un ataque o quieres una evaluación profesional del estado de seguridad de tu empresa, puedo ayudarte. Trabajo habitualmente con PYMEs y autonomos de toda España, tanto en análisis forense post-incidente como en evaluaciones preventivas. Especialmente en sectores que manejan datos sensibles de terceros: despachos de abogados, asesorias y empresas tecnologicas.

Senales de alerta: como detectar que te estan atacando

La detección temprana puede reducir el impacto de un ciberataque en un 70-90%. Estas son las senales de alerta que todo empresario debería conocer. Si detectas una o más de estas senales, actua inmediatamente siguiendo el protocolo de respuesta descrito más arriba.

Senales en el correo electrónico

• Recibes notificaciones de inicio de sesion desde ubicaciones o dispositivos desconocidos
• Tus contactos te dicen que han recibido emails tuyos que no enviaste
• Descubres reglas de reenvio en tu buzon que no creaste (revisar en Configuración - Reenvio)
• Desaparecen emails de tu bandeja de entrada o de enviados
• Ves respuestas a emails que no recuerdas haber escrito
• Recibes códigos MFA que no solicitaste (alguien esta intentando acceder con tu contraseña)

Senales en los equipos

• El ordenador va anormalmente lento sin razón aparente (puede estar minando criptomonedas o ejecutando malware)
• Archivos que cambian de extension o que aparecen con nombres extraños
• El antivirus se desactiva solo o no se puede actualizar
• Programás que se abren o cierran solos
• El cursor del raton se mueve solo (acceso remoto no autorizado)
• Ventanas emergentes inusuales, especialmente las que te piden llamar a un “soporte técnico”
• El disco duro trabaja constantemente sin motivo aparente

Senales en la red y las finanzas

• Consumo de datos inusualmente alto en la factura del ISP
• Conexiones de red a horas inusuales (madrugada, fines de semana)
• Movimientos bancarios que no reconoces, por pequeños que sean (los atacantes suelen hacer primero transferencias de prueba de 1-5 euros)
• Proveedores o clientes que reportan haber recibido facturas con datos bancarios diferentes a los habituales
• Nuevas cuentas de usuario en el equipo o en servicios cloud que no creaste

Si detectas cualquiera de estas senales, no entres en panico pero actua rápido: desconecta el equipo de la red (cable o WiFi), documenta lo que ves con fotos del móvil, y contacta con un profesional. Cada hora que pasa con un atacante activo en tu red es una hora en la que puede estar exfiltrando datos, preparando un ransomware o desviando pagos.

Checklist rápido de verificación trimestral

Recomiendo a mis clientes que hagan esta verificación cada 3 meses. Son 30 minutos que pueden detectar problemás antes de que se conviertan en incidentes:

Si encuentras algo sospechoso en cualquiera de estas verificaciones (especialmente reglas de reenvio que no creaste, sesiones activas en paises extraños o apps con acceso que no reconoces), no lo ignores: investiga inmediatamente. Muchos de los casos que he peritado se habrían detectado semanas antes si el empresario hubiera hecho una verificación básica como esta.

Preguntas frecuentes

Soy autonomo y creo que me han hackeado el correo. Que hago primero?

Lo primero es no acceder al correo desde el mismo dispositivo que puede estar comprometido. Usa un móvil o un ordenador diferente para cambiar la contraseña y activar MFA inmediatamente. Si ves que se han enviado emails en tu nombre, que faltan mensajes, o que hay reglas de reenvio que no creaste, contacta con un perito informático forense para hacer una adquisición forense del buzon antes de que se pierda evidencia. Los servidores de correo sobreescriben logs después de cierto tiempo (en Office 365 son 90 días, en Gmail varía), así que cada día que pases sin actuar reduce las opciones de investigación. Despues, denuncia ante la Policia Nacional (Brigada de Investigación Tecnologica) o Guardía Civil (GDT). Si gestionas datos de clientes, valora si debes notificar a la AEPD en las siguientes 72 horas.

Cuanto cuesta un análisis forense para una PYME que ha sufrido un ciberataque?

Depende del alcance del incidente, pero para una PYME típica de 5-30 empleados con un ataque de ransomware o compromiso de email, un análisis forense digital suele oscilar entre 400 y 2.500 euros. Incluye preservación de evidencia con metodología ISO 27037, análisis del vector de entrada, determinacion del alcance, informe pericial con validez judicial y recomendaciones de remediacion. Es una fraccion del coste medio del incidente (35.000 euros) y del rescate que piden los atacantes. Ademas, muchas polizas ciber cubren el coste del peritaje forense como parte de la cobertura de respuesta a incidentes. Si tu poliza incluye esta cláusula, el peritaje puede salirte a coste cero.

La campana PYME Cibersegura 2026 de INCIBE sustituye la necesidad de un perito?

No, y es importante entender por que. La campana de INCIBE y la USC es una iniciativa de prevención y concienciacion, que es muy necesaria y que recomiendo a todas las PYMEs. Pero si ya has sufrido un ataque, necesitas un profesional que preserve evidencia con metodología forense certificada, genere un informe pericial con validez judicial y pueda ratificarlo ante un juez si el caso llega a los tribunales. INCIBE no hace peritajes, no investiga incidentes individuales y no puede representarte como perito en un procedimiento judicial. Son complementarios: INCIBE para prevenir y concienciar, perito forense para investigar, probar y defender la evidencia ante un tribunal.

Mi empresa tiene menos de 10 empleados. Estoy obligado a cumplir el RGPD?

Si, sin excepciones. El RGPD aplica a cualquier organización que trate datos personales, independientemente de su tamaño. No existe una exencion para PYMEs o autonomos. Si gestionas datos de clientes (nombres, emails, teléfonos, datos fiscales, historiales medicos), estas obligado a cumplir con todas las obligaciones del RGPD, incluyendo la notificación de brechas a la AEPD en 72 horas. La única diferencia es que las PYMEs de menos de 250 empleados tienen exencion parcial del registro de actividades de tratamiento, pero no del resto de obligaciones.

Debo pagar el rescate del ransomware?

Mi recomendación profesional es rotundamente no. Por varias razones: el 43% de quienes pagan no recuperan todos los datos; pagar financia la actividad criminal y te marca como pagador para futuros ataques; en algunos casos puede constituir un delito si el grupo receptor esta en listas de sanciones internacionales (OFAC, UE); y ademas, si el atacante ha exfiltrado tus datos (doble extorsion), el pago no garantiza que no los publique igualmente. Antes de tomar cualquier decisión, contacta con un perito forense: en muchos casos es posible recuperar datos sin pagar, identificar la variante de ransomware (algunas tienen herramientas de descifrado gratuitas publicadas por Europol/No More Ransom) y preservar la evidencia para la denuncia.

Tengo un backup en un disco externo que conecto cada noche. Es suficiente?

Es un buen punto de partida, pero tiene un riesgo crítico: si el disco externo esta conectado al equipo en el momento del ataque, el ransomware lo cifrara también. He visto este escenario en multiples peritajes. La solución es un backup 3-2-1: tres copias de los datos, en dos soportes diferentes, con una copia fuera de la ubicacion (offsite) u offline. Lo ideal es combinar el disco externo (conectandolo solo durante el backup y desconectandolo después) con un backup en la nube con versionado e inmutabilidad. Servicios como Backblaze B2 cuestan desde 6 euros al mes y ofrecen Object Lock que impide el borrado o modificación durante un periodo configurable.

Cuanto tarda un perito forense en analizar un incidente de ransomware?

Para una PYME típica, el proceso completo suele durar entre 3 y 10 días hábiles, dependiendo del número de equipos afectados y la complejidad del ataque. La adquisición forense (creacion de imagenes certificadas de los discos) puede hacerse en 24-48 horas. El análisis detallado, que incluye identificar el vector de entrada, trazar la cronologia del ataque, determinar el alcance de la brecha y elaborar el informe pericial, suele requerir entre 5 y 8 días adicionales. En casos urgentes donde hay que notificar a la AEPD en 72 horas, puedo proporcionar un informe preliminar con el alcance de la brecha en las primeras 24-48 horas.

Mi seguro de empresa cubre ciberataques?

Probablemente no, a menos que tengas una cláusula específica de riesgo ciber o una poliza ciber independiente. Las polizas de responsabilidad civil general, las de daños materiales y las multirriesgo empresariales no suelen cubrir incidentes ciberneticos. Es una exclusion explicita en la mayoria de las polizas. Comprueba tu poliza o llama a tu corredor de seguros para verificarlo. Si no tienes cobertura ciber, te recomiendo contratar una poliza específica: para un autonomo o micropyme, el coste es de 300-800 euros anuales y puede ser la diferencia entre recuperarte del ataque o cerrar el negocio.

Que pasa si no notifico a la AEPD una brecha de datos?

La AEPD puede sancionarte por no notificar, y la sanción puede ser significativamente mayor que la que habrias recibido por la brecha en si misma. El RGPD contempla multas de hasta 10 millones de euros o el 2% de la facturacion global por no notificar una brecha. En la práctica, las sanciones a PYMEs suelen oscilar entre 10.000 y 60.000 euros. Pero el agravante real es que la falta de notificación se interpreta como ocultacion deliberada, lo que puede multiplicar la sanción y eliminar cualquier atenuante. Mi consejo: notifica siempre, aunque no tengas toda la información. El formulario de la AEPD permite notificaciones parciales que se complementan posteriormente.

Como se si mi contraseña esta filtrada en alguna brecha de datos?

Puedes comprobarlo gratuitamente en haveibeenpwned.com, un servicio creado por el experto en seguridad Troy Hunt que agrupa las principales brechas de datos públicas. Introduce tu email y te indicara en que brechas ha aparecido. Si aparece en alguna, cambia inmediatamente la contraseña de esa cuenta y de cualquier otra donde uses la misma contraseña. Mejor aun: usa un gestor de contraseñas como Bitwarden (gratuito) o 1Password para generar contraseñas únicas para cada servicio, y activa MFA en todas las cuentas que lo permitan. Según mis investigaciones forenses, el 27% de los ataques a PYMEs españolas explotan credenciales filtradas en brechas anteriores. Es un vector silencioso: tu contraseña puede estar circulando por la dark web desde hace meses sin que lo sepas, esperando a que alguien la pruebe en tu correo o en tu banca online.

Que es MFA y como lo activo en mis cuentas?

MFA significa autenticación multifactor (Multi-Factor Authentication). En lugar de proteger tu cuenta solo con una contraseña, anade un segundo factor de verificación: normalmente un código temporal generado por una app en tu móvil (Google Authenticator, Microsoft Authenticator, Authy). Aunque un atacante consiga tu contraseña, no podrá acceder a tu cuenta sin el código temporal que solo tu tienes en tu teléfono. Activar MFA es gratuito y se hace desde la configuración de seguridad de cada servicio. En Gmail: Configuración - Seguridad - Verificación en dos pasos. En Outlook/Office 365: Mi cuenta - Seguridad - Verificación adicional. En bancos como CaixaBank o BBVA, el MFA ya viene activado por defecto para operaciones críticas. Mi recomendación es activarlo en este orden de prioridad: primero banca online, después correo electrónico, después almacenamiento cloud (Google Drive, OneDrive, Dropbox), y finalmente redes sociales y demás servicios.

Puedo recuperar datos cifrados por ransomware sin pagar?

En algunos casos, si. Existen tres vias de recuperación sin pagar rescate. Primera: herramientas de descifrado gratuitas. El proyecto No More Ransom (nomoreransom.org), impulsado por Europol, ofrece herramientas de descifrado para variantes de ransomware cuyas claves han sido recuperadas por las fuerzas de seguridad o donadas por investigadores. No funciona para todas las variantes, pero siempre merece la pena comprobarlo. Segunda: recuperación forense de datos. Mediante técnicas de file carving y análisis de clusters no cifrados, un perito forense puede recuperar entre un 10% y un 40% de los datos dependiendo de la variante de ransomware y del tiempo transcurrido. No es una recuperación completa, pero puede salvar documentos críticos. Tercera: restauracion desde backup. Si tienes un backup offline o inmutable que no ha sido comprometido, esta es la via más rápida y completa de recuperación. Pero es fundamental que un perito verifique que el backup no contiene el ransomware latente antes de restaurar, porque he visto casos donde el backup estaba infectado y el ciclo se repitio.

Que diferencia hay entre un antivirus y un EDR? Necesito un EDR?

Un antivirus tradicional funciona comparando archivos con una base de datos de “firmas” de malware conocido. Si el malware no esta en su base de datos, no lo detecta. Un EDR (Endpoint Detection and Response) va mucho más alla: monitoriza el comportamiento del sistema en tiempo real, detecta actividades sospechosas aunque no coincidan con ninguna firma conocida, y puede aislar automáticamente un equipo comprometido antes de que el malware se propague. Por ejemplo, si un programa empieza a cifrar archivos masivamente (comportamiento típico de ransomware), el EDR lo detecta y lo bloquea en segundos, aunque sea una variante de ransomware nunca vista antes. Para una PYME de 5-20 empleados, un EDR como Malwarebytes Endpoint Protection o CrowdStrike Falcon Go cuesta entre 60 y 100 euros por equipo al año. Es una inversion significativamente mayor que un antivirus gratuito, pero la diferencia en protección es enorme. Mi recomendación: si manejas datos de clientes, datos financieros o cualquier información sensible, un EDR no es opcional.

He recibido un email amenazando con publicar mis datos si no pago. Es real?

Depende. Existen dos escenarios muy diferentes. Primero: sextorsion o amenaza generica. Si recibes un email que dice “tenemos acceso a tu webcam” o “hemos grabado tus sesiones de navegación” y te pide un pago en Bitcoin, en el 99% de los casos es un scam masivo. Los atacantes envian millones de estos emails usando contraseñas antiguas filtradas en brechas para hacerlos más creibles. No han accedido realmente a tu equipo. Ignora el email, pero cambia la contraseña si la que mencionan es una que usas actualmente. Segundo: doble extorsion tras ransomware real. Si has sufrido un ataque de ransomware y el atacante te amenaza con publicar datos exfiltrados, la amenaza puede ser real. En este caso, contacta con un perito forense para determinar si efectivamente hubo exfiltración de datos (no siempre la hay, a veces es un farol) y con las fuerzas de seguridad para evaluar las opciones. Pagar no garantiza que no publiquen los datos igualmente: he visto grupos de ransomware que publicaron datos de víctimás que habian pagado.

Donde buscar ayuda: 6 recursos esenciales

Artículos relacionados en nuestro blog

Si quieres profundizar en temás específicos tratados en este artículo, estos recursos pueden ayudarte:

• Ransomware en PYMEs: análisis forense y recuperación - Guía detallada sobre que hacer tras un ataque de ransomware, con 3 casos reales de investigación forense
• Análisis forense digital: como funciona - En que consiste un peritaje informático forense, metodología ISO 27037, y como el informe pericial sirve para denuncia y juicio
• Servicios para empresas tecnologicas - Servicios especializados para PYMEs, despachos de abogados y asesorias que manejan datos de terceros
• Contacto y consulta inicial gratuita - Evaluación de tu situación sin compromiso, tanto para prevención como para respuesta post-incidente

Si necesitas asistencia forense profesional para investigar un ciberataque, preservar evidencia digital con validez judicial o elaborar un informe pericial para denuncia o reclamación de seguros, puedo ayudarte. Trabajo con PYMEs y autonomos de toda España, con cobertura nacional por videollamada y presencial en Andalucia y Madrid.

El teletrabajo como factor de riesgo multiplicador

La pandemia acelero el teletrabajo en las PYMEs españolas y, aunque tiene ventajas evidentes, ha multiplicado la superficie de ataque de forma significativa. Según mis peritajes, al menos el 30% de los incidentes en PYMEs durante 2025-2026 involucraron equipos de empleados que trabajaban desde casa.

Los problemás más comunes que detecto en entornos de teletrabajo de PYMEs:

Un caso ilustrativo: una asesoria fiscal de Bilbao fue comprometida cuando un administrativo que trabajaba desde casa descargo una pelicula de un sitio de torrents en el mismo portatil que usaba para acceder al software de contabilidad de la empresa. El torrent contenia un troyaño que capturo las credenciales de acceso al ERP fiscal. El atacante tuvo acceso a las declaraciones de renta de 180 clientes. La asesoria habia proporcionado acceso VPN al empleado pero nunca habia establecido una politica de uso del equipo de trabajo. El coste del incidente supero los 45.000 euros incluyendo notificación AEPD, informe pericial y pérdida de clientes.

Plan de accion inmediato: que hacer esta semana

He escrito mucho en este artículo y entiendo que puede resultar abrumador. Asi que voy a cerrar con algo concreto: un plan de accion que puedes ejecutar esta misma semana, sin coste y sin necesitar ayuda técnica. Si haces estas 5 cosas antes del domingo, habras reducido tu riesgo de ciberataque en un 70%:

Si haces estas 5 acciones, habras pasado de estar en el grupo del 72% de autonomos sin ninguna medida de seguridad al grupo del 5% que tiene implementadas las medidas básicas. Y eso, en el mundo de la ciberseguridad, marca la diferencia entre ser una víctima fácil y ser un objetivo que no merece el esfuerzo del atacante.

Si has llegado hasta aquí, ya sabes más sobre ciberseguridad para PYMEs que el 90% de los empresarios españoles. Ahora la pregunta es que vas a hacer con esa información. Puedes guardar este artículo y olvidarlo, o puedes dedicar las próximás 2 horas a implementar las medidas básicas que te he recomendado. La diferencia entre ambas decisiones puede ser la supervivencia de tu negocio.

Un último consejo desde la experiencia: la inversion en prevención siempre es una fraccion del coste de la recuperación. Un autonomo que invierte 1.200 euros al año en medidas básicas de ciberseguridad esta protegiendo un negocio que le ha costado años construir. Cuando me llaman después del ataque, la factura forense, la pérdida de productividad, las posibles sanciones y el daño reputacional suman entre 10.000 y 90.000 euros. La matematica es sencilla. Y el momento de actuar es hoy, no manana.

Llevo años repitiendo esta frase en conferencias, en reuniones con clientes y ahora en este artículo: la ciberseguridad no es un gasto, es una inversion. Es la prima de seguro más barata que vas a pagar en toda la vida de tu negocio. Y la alternativa a no invertir no es “que no pase nada”: la alternativa, con un 60% de probabilidad según los datos de 2025, es que tu negocio sea el próximo en aparecer en las estadisticas.

Recuerdo que cuando empece a trabajar como perito informático forense hace años, los casos de PYMEs eran esporadicos. Hoy representan la mayoria de mi carga de trabajo. No porque haya menos delitos contra grandes empresas, sino porque el volumen de ataques contra el pequeño comercio, el autonomo, la clinica de barrio y el despacho profesional ha crecido exponencialmente. Cada caso que perito me recuerda por que me dedico a esto: hay una persona detras de cada incidente, una familia que depende de ese negocio, empleados que pueden perder su trabajo, y clientes cuyos datos estan en juego.

Si este artículo te ha sido útil, compartelo con otros empresarios y autonomos de tu entorno. Enviaseloa tu gestor, a tu abogado, a tu socio, al vecino del bar que tiene un negocio online, al fontanero que te arreglo la caldera. La ciberseguridad de las PYMEs españolas no es solo un problema individual: es un problema colectivo que afecta a nuestro tejido empresarial, a nuestros empleados, a nuestros clientes y a nuestra economia. Cada empresario que implementa medidas básicas hace el ecosistema un poco más seguro para todos. Y si necesitas ayuda profesional, ya sea para prevenir o para responder a un incidente que ya ha ocurrido, estoy a una llamada de distancia.

Disclaimer: los casos mencionados en este artículo son reales pero se han modificado detalles identificativos (nombres, ciudades, importes exactos) para proteger la privacidad de los afectados, conforme al deber de confidencialidad profesional. Las estadisticas proceden de fuentes públicas citadas en las referencias. Los costes indicados son orientativos y pueden variar según el alcance y complejidad de cada caso.

Referencias

1. “El 60% de pymes españolas sufrieron al menos un ciberataque”. Tecnología para tu empresa, marzo 2026.
2. “Ciberataques a PYMEs aumentan un 24% interanual”. COPE, 13 marzo 2026.
3. “Mas de la mitad de PYMEs atacadas sufrieron hasta 10 incidentes”. Autonomos y Emprendedor, marzo 2026.
4. INCIBE y USC. “PYME Cibersegura 2026: campana de ciberseguridad gratuita”. INCIBE, 13 marzo 2026.
5. INCIBE. “Balance de ciberseguridad 2025: 122.223 incidentes gestionados”. INCIBE, enero 2026.
6. Hiscox. “Cyber Readiness Report 2025”. Hiscox Ltd., 2025.
7. Veeam. “Data Protection Trends Report 2025”. Veeam Software, 2025.
8. Observatorio Nacional de Tecnología y Sociedad. “Indicadores de ciberseguridad en micropymes y autonomos 2025”. ONTSI, 2025.
9. AEPD. “Guía para la gestión de brechas de datos personales”. Agencia Española de Protección de Datos, 2024.
10. Sophos. “The State of Ransomware 2025”. Sophos Ltd., 2025.
11. Reglamento General de Protección de Datos (UE) 2016/679, artículos 33-34.
12. CCN-CERT. “Ciberamenazas y tendencias 2025”. Centro Criptologico Nacional, 2025.
13. ATA (Federacion Nacional de Asociaciones de Trabajadores Autonomos). “Informe de digitalizacion y ciberseguridad del trabajador autonomo 2025”. ATA, 2025.
14. Europol. “Internet Organised Crime Threat Assessment (IOCTA) 2025”. Europol, 2025.
15. ENISA. “Threat Landscape 2025: Small and Medium Enterprises”. European Union Agency for Cybersecurity, 2025.
16. No More Ransom Project. “Decryption Tools Repository”. nomoreransom.org, actualizado 2026.
17. AEPD. “Memoria anual 2025: procedimientos sancionadores y brechas notificadas”. AEPD, enero 2026.
18. CrowdStrike. “Global Threat Report 2026”. CrowdStrike Inc., febrero 2026.
19. Chainalysis. “Crypto Crime Trends 2026: Ransomware Payments Exceed $1.1B”. Chainalysis Inc., enero 2026.
20. Guardía Civil - GDT. “Balance de actividad 2025: delitos tecnologicos en España”. Guardía Civil, febrero 2026.