Moncloa invierte 2 millones en ciberseguridad tras la cadena de hackeos de 2026

2 millones de euros parece mucho dinero. Pero como perito informático forense que ha visto los costes reales de respuesta a incidentes, te puedo asegurar que es lo mínimo. Moncloa ha confirmado una inversion de más de 2 millones de euros en refuerzo de ciberseguridad tras la cadena de hackeos que sacudio a las instituciones españolas entre febrero y marzo de 2026. El detonante: un sistema anti-APT que llevo aproximadamente 100 días sin actualizaciones, durante los cuales hackers filtraron datos del presidente, ministros, el JEMAD y cientos de agentes de las fuerzas de seguridad.

Lo que me preocupa no es cuanto invierte Moncloa, sino cuanto deberían invertir las PYMEs españolas que ni siquiera tienen presupuesto de ciberseguridad. Porque si la Presidencia del Gobierno, con todo el aparato del CCN-CERT detras, estuvo expuesta 100 días, la pregunta no es si tu empresa será atacada, sino cuando y cuanto te va a costar.

En este artículo voy a desglosar la inversion de Moncloa, explicar en que se gasta ese dinero, comparar la situación de las instituciones con la realidad de la empresa privada española y, sobre todo, darte las herramientas para que no necesites gastar 2 millones cuando te toque a ti. Porque, como vamos a ver, la prevención cuesta una fraccion de la remediacion, y la diferencia entre una empresa que sobrevive a un ciberataque y una que cierra casí siempre esta en lo que hizo antes de que ocurriera.

TL;DR - Resumen ejecutivo

En 60 segundos:

Aspecto	Dato clave
Inversion	Mas de 2 millones de euros en refuerzo de ciberseguridad
Detonante	Cadena de hackeos a Moncloa, Policia Nacional, Fiscalia y Consejo de Seguridad Nacional
Causa raiz	Sistema anti-APT obsoleto durante ~100 días sin actualizaciones
Periodo crítico	Noviembre 2025 - febrero 2026
Fuente	Esdiario, 4 de marzo de 2026
Coste medio incidente PYME	35.000 euros según INCIBE (2024)
Coste medio brecha global	4,88 millones de dolares según IBM (2024)
ROI prevención	Por cada euro invertido en prevención, se ahorran entre 7 y 20 euros en remediacion
Leccion clave	Si 2 millones no cubren el daño a Moncloa, imagina tu empresa sin presupuesto

Consulta pericial gratuita

Que ha pasado: cronologia de la crisis de ciberseguridad institucional

Para entender la magnitud de la inversion de 2 millones de euros, hay que reconstruir la cadena de fallos que la provoco. No fue un incidente aislado, sino una cascada de brechas que dejo al descubierto la fragilidad de las defensas digitales del Estado:

Fecha	Evento	Impacto
Noviembre 2025	El sistema anti-APT de Moncloa deja de recibir actualizaciones	Comienza la ventana de exposicion de ~100 días
Febrero 2026	Hackers filtran datos de Pedro Sanchez, ministros, JEMAD y agentes	Credenciales y datos personales de altos cargos comprometidos
26 febrero 2026	Brecha en la Policia Nacional expone datos del jefe de antiterrorismo	Riesgo operativo para agentes infiltrados
Misma semana	Ataques a Fiscalia General y Consejo de Seguridad Nacional	Semana negra de la ciberseguridad institucional
Mediados febrero 2026	Se formaliza contrato sustituto para el sistema anti-APT	100 días después de la caida del sistema anterior
Marzo 2026	Moncloa confirma inversion de más de 2 millones de euros	Refuerzo integral de ciberseguridad de la Presidencia

He documentado las dos brechas principales en detalle en mis análisis anteriores: el hackeo a Moncloa con filtracion de datos del presidente y ministros y la brecha en la Policia Nacional que expuso datos del jefe de antiterrorismo.

Lo que convierte esta cadena de incidentes en algo sin precedentes recientes no es solo la gravedad individual de cada brecha, sino la concentracion temporal. Que la Presidencia del Gobierno, la Policia Nacional, la Fiscalia General y el Consejo de Seguridad Nacional sean comprometidos en la misma semana apunta a un fallo sistemico, no a una serie de malas suertes.

Desde mi perspectiva como perito forense, esto sugiere que los atacantes encontraron un vector común, probablemente relacionado con la ventana de exposicion del sistema anti-APT, y lo explotaron contra multiples objetivos antes de que se cerrara la brecha. Es un patrón que en ciberseguridad se conoce como ataque de cadena de suministro: si comprometes un proveedor o un sistema común a varias organizaciones, puedes atacar a todas simultaneamente. Y es exactamente el tipo de riesgo que la Directiva NIS2 pretende mitigar con sus requisitos de gestión de la cadena de suministro TIC.

La pregunta que cualquier empresa debería hacerse al leer esta cronologia es: si mi proveedor de seguridad, de backup o de correo electrónico deja de funcionar manana, cuanto tiempo tardaria en darme cuenta y que plan tengo para responder?

Otra pregunta que nadie parece estar haciendose: si los atacantes encontraron un vector común para comprometer a Moncloa, la Policia Nacional, la Fiscalia General y el Consejo de Seguridad Nacional en la misma semana, cuantas otras organizaciones públicas y privadas que comparten infraestructura o proveedores con estas instituciones pueden haber sido comprometidas también sin saberlo?

En el mundo de la ciberseguridad, cuando descubres una brecha en una organización, la primera pregunta del forense siempre es: quien más usa este mismo sistema, este mismo proveedor, esta misma tecnología? Porque la probabilidad de que el atacante haya explotado el mismo vector contra otros objetivos es alta.

Es un patrón que he visto en mis peritajes a escala más pequeña: cuando una gestoría es comprometida a traves de su software de contabilidad, casí siempre descubrimos que otras empresas que usan el mismo software han sido atacadas también. La diferencia es que las gestorías pequeñas no tienen la visibilidad mediatica de Moncloa y sus brechas nunca llegan a los titulares.

Los 2 millones de euros, desglosados: en que se gasta una administración pública tras un ciberataque

En mi experiencia como perito forense en casos de respuesta a incidentes, el coste de recuperación tras un ciberataque se reparte en categorías muy predecibles. No conozco el desglose exacto de la inversion de Moncloa, pero puedo hacer una estimacion realista basada en lo que veo en mis peritajes:

Partida	Coste estimado	Porcentaje	Justificacion
Nuevo sistema anti-APT (licencias + despliegue)	600.000 - 800.000 euros	35%	Solución enterprise tipo CrowdStrike Falcon o Palo Alto Cortex XDR
Auditoria forense completa	200.000 - 300.000 euros	13%	Análisis de todos los sistemás comprometidos, alcance del daño, trazabilidad
Servicios SOC/MDR 24x7	300.000 - 400.000 euros/año	18%	Monitorizacion continua que faltaba durante los 100 días críticos
Hardening infraestructura	250.000 - 350.000 euros	16%	Bastionado de servidores, segmentación de red, zero trust
Rotacion masiva de credenciales	50.000 - 80.000 euros	4%	Cambio forzado de todas las contraseñas, certificados y tokens de acceso
Pentesting y red team	80.000 - 120.000 euros	5%	Validación de que las nuevas defensas resisten ataques simulados
Formación y simulacros	100.000 - 150.000 euros	7%	Red team, phishing simulado, formación personal
Respuesta legal y regulatoria	150.000 - 200.000 euros	9%	Notificaciones AEPD, cumplimiento NIS2, asesoria jurídica
Contingencia	50.000 - 100.000 euros	4%	Imprevistos descubiertos durante la remediacion

El total estimado ronda los 1.8 a 2.5 millones de euros, consistente con la cifra que ha trascendido. Lo que no incluye este calculo es el daño reputacional, que en el caso de una institucion como Moncloa tiene implicaciones diplomaticas y de seguridad nacional imposibles de cuantificar.

La rotacion de credenciales: el coste invisible

Hay una partida que merece atencion especial porque la mayoria de las organizaciones la subestiman: la rotacion masiva de credenciales. Cuando una brecha compromete el directorio activo o el sistema de autenticación de una organización, hay que asumir que todas las contraseñas, tokens de acceso, certificados digitales y claves API estan comprometidos. En una institucion del tamaño de Moncloa, esto implica:

Forzar el cambio de contraseña de cientos o miles de usuarios
Revocar y reemitir certificados digitales
Rotar claves de acceso a APIs y servicios en la nube
Invalidar tokens de sesion activos
Actualizar credenciales en sistemás automatizados que dependen de cuentas de servicio
Verificar que no existan cuentas creadas por los atacantes durante la intrusion

He peritado organizaciones donde la rotacion de credenciales, mal ejecutada, causo más interrupcion del servicio que el propio ataque. Un caso concreto: una empresa mediana del sector financiero que, tras un ransomware, forzó el cambio de todas las contraseñas un viernes por la tarde sin avisar a los empleados. El lunes, 200 personas no podian acceder a sus puestos de trabajo, el equipo de soporte estaba desbordado y la productividad fue cero durante dos días. El coste de esos dos días de parada fue superior al del propio ransomware.

La investigación forense: el primer paso, no el último

Hay un dato que me parece clave y que muchas veces se pasa por alto: la auditoria forense no es un gasto opcional. En cada incidente de seguridad que he peritado, la diferencia entre una organización que se recupera y una que sigue sufriendo consecuencias meses después esta en si se hizo un análisis forense completo o no. Sin saber exactamente que datos se exfiltraron, que puertas traseras se instalaron y que movimiento lateral hicieron los atacantes dentro de la red, cualquier refuerzo posterior se construye sobre cimientos inciertos. El forense no es el último paso: es el primero.

He visto organizaciones que, por ahorrar en la fase forense, reinstalaron sus sistemás sin analizar el alcance del ataque. El resultado: los atacantes habian dejado una puerta trasera en un servidor que no se analizo y, tres meses después, volvieron a entrar. El coste de la segunda respuesta fue mayor que el de la primera porque la confianza del equipo estaba destruida y hubo que replantear toda la arquitectura de seguridad desde cero.

El pentesting posterior es igualmente crítico. De nada sirve desplegar un nuevo sistema anti-APT si no verificas que funciona contra los mismos vectores de ataque que se utilizaron en la brecha original. En un peritaje reciente descubri que una empresa habia desplegado un EDR de última generacion, pero lo habia configurado en modo “solo detección” en lugar de “bloqueo automático” porque le generaba falsos positivos que interrumpian el trabajo. Efectivamente, cuando llego el siguiente ataque, el EDR detecto la amenaza, genero una alerta que nadie reviso, y el ransomware encripto 40 servidores.

Ademas, la partida de respuesta legal y regulatoria suele ser la que más sorprende a las organizaciones. La notificación a la AEPD, la gestión de comunicación a los afectados, la asesoria jurídica frente a posibles reclamaciones y la preparación ante una eventual inspeccion regulatoria pueden consumir recursos equivalentes a todo el despliegue técnico. En el caso de Moncloa, con datos de agentes de las fuerzas de seguridad comprometidos, la dimension legal es especialmente compleja porque entran en juego la Ley de Seguridad Nacional y la normativa de protección de información clasificada.

Los datos de IBM que Moncloa no puede ignorar: Cost of a Data Breach 2025

Para poner la inversion de 2 millones de euros en contexto global, merece la pena repasar los datos del informe Cost of a Data Breach 2024 de IBM y Ponemon Institute, que es la referencia mundial en costes de brechas de seguridad:

Metrica	Dato global	Dato relevante para España
Coste medio por brecha	4,88 millones de dolares (máximo historico)	España por debajo de la medía global pero en tendencia ascendente
Coste por registro comprometido	169 dolares	Datos de altos cargos valen exponencialmente más en el mercado negro
Tiempo medio de identificación	194 días	Moncloa tardo ~100 días en formalizar el nuevo contrato, pero la brecha pudo empezar antes
Tiempo medio de contencion	73 días	El periodo total (identificación + contencion) es de 267 días de medía
Ahorro con equipo de respuesta	2,66 millones de dolares	Las organizaciones con IR plan y equipo entrenado pagan menos de la mitad
Ahorro con IA y automatizacion	2,22 millones de dolares	SOC automatizados reducen drasticamente el tiempo de detección
Sector público coste medio	2,55 millones de dolares	Consistente con los 2 millones de euros de Moncloa
Brecha con datos robados	4,91 millones de dolares	La exfiltración de credenciales es el vector más caro

Lo que estos datos me dicen como perito es que los 2 millones de euros de Moncloa estan en la franja baja del coste esperado para una brecha de esta magnitud. Si consideramos que se comprometieron datos del presidente del Gobierno, ministros, el JEMAD y cientos de agentes de seguridad, el valor de esos datos en el mercado negro y las implicaciones geopoliticas de su exposicion superan con creces cualquier cifra que aparezca en un presupuesto.

Otro dato del informe IBM que me parece especialmente relevante para este caso: las organizaciones que utilizaron ampliamente IA y automatizacion en sus operaciones de seguridad experimentaron brechas que costaron, de media, 2,22 millones de dolares menos que las que no las utilizaban. La diferencia principal fue el tiempo de detección: las organizaciones con SOC automatizados detectaron las brechas en una medía de 98 días menos. Si aplicamos este dato al caso de Moncloa, una inversion previa en automatizacion de la monitorizacion de seguridad podría haber reducido la ventana de exposicion de 100 días a una fraccion, y el coste de remediacion habría sido significativamente menor.

El dato más demoledor del informe, y el que más repito a mis clientes, es este: el coste medio de una brecha para organizaciones con niveles altos de cumplimiento normativo fue de 3,35 millones de dolares, frente a los 5,05 millones de las que tenian incumplimientos significativos. Cumplir la normativa no es solo una obligación: es un ahorro medible de 1,7 millones de dolares de media.

Los factores que más encarecen una brecha según IBM

El informe identifica los factores que más incrementan el coste de una brecha. Son exactamente los que veo en mis peritajes en España:

Factores que encarecen:

Falta de personal de seguridad cualificado: +559.000 dolares de media. En España, donde faltan más de 80.000 profesionales de ciberseguridad según ObservaCiber, este factor afecta a practicamente todas las PYMEs
Complejidad del sistema de seguridad: +467.000 dolares. Las organizaciones con demasiadas herramientas descoordinadas (cada una con su consola, sus alertas, su lógica) tardan más en detectar y contener las brechas
Incumplimiento normativo: +440.000 dolares. Las sanciones regulatorias se suman al coste técnico y operativo del incidente
Migracion a la nube: +380.000 dolares durante el periodo de migracion. Las empresas que estan a medio camino entre on-premise y nube tienen la peor de las dos configuraciones: doble superficie de ataque con la mitad de visibilidad
Cadena de suministro: +370.000 dolares. Cuando el ataque llega a traves de un tercero, la investigación es más compleja y los plazos de contencion se alargan

Factores que abaratan:

Equipo de respuesta a incidentes formado y con plan: -2,66 millones de dolares. Es el factor individual con mayor impacto positivo
Uso extensivo de IA y automatizacion en seguridad: -2,22 millones de dolares. Los SOC automatizados detectan amenazas en la mitad de tiempo
Cifrado generalizado de datos: -360.000 dolares. Si los datos robados estan cifrados, el impacto real de la brecha se reduce drasticamente
Formación de empleados: -310.000 dolares. El personal formado detecta phishing, reporta anomalias y sigue los procedimientos

La conclusión para cualquier empresa española es clara: los tres factores con mayor impacto positivo (equipo de respuesta, automatizacion y formación) son accesibles para cualquier tamaño de organización. No necesitas ser Moncloa para tener un plan de respuesta documentado, un EDR con capacidades de respuesta automática y un programa de formación semestral.

Los costes ocultos que nadie menciona

Los 2 millones de euros que ha invertido Moncloa son la cifra pública. Pero en mi experiencia peritando brechas de seguridad, los costes visibles nunca representan la factura total. Hay una serie de costes ocultos que las organizaciones descubren semanas o meses después del incidente:

Coste de oportunidad: Durante las semanas de respuesta al incidente, los equipos técnicos dejan de trabajar en sus proyectos habituales.

En una administración pública, esto significa retrasos en la digitalizacion, en la atencion al ciudadaño y en la implementacion de otros proyectos críticos.

En una empresa privada, significa proyectos paralizados, clientes desatendidos y oportunidades de negocio pérdidas.

Según IBM, el tiempo medio de contencion de una brecha es de 73 días. Durante esos 73 días, tu equipo de TI no esta innovando: esta apagando fuegos. Y cada día de inactividad productiva del equipo técnico tiene un coste que se acumula silenciosamente.

En un peritaje reciente para una empresa de software con 40 empleados, calcule que el coste de oportunidad de las 6 semanas que su equipo de desarrollo dedico a la recuperación tras un ransomware fue de 180.000 euros en proyectos cancelados y plazos incumplidos. El ransomware en si habia pedido 25.000 euros de rescate. El daño real fue 7 veces mayor que la peticion de los atacantes.

Costes legales a largo plazo: Las reclamaciones de los afectados pueden llegar meses o años después de la brecha.

En el caso de Moncloa, los cientos de agentes cuyos datos fueron expuestos podrían presentar reclamaciones individuales. Si algun agente infiltrado es identificado por los atacantes gracias a los datos filtrados, las consecuencias legales y humanas serían incalculables.

La prescripcion de las acciones civiles por vulneración del derecho a la protección de datos es de 3 años desde que el afectado tiene conocimiento de la brecha. Esto significa que Moncloa podría estar recibiendo reclamaciones hasta 2029.

Perdida de confianza institucional: Cuando la ciudadania descubre que las instituciones que deberían protegerla no pueden protegerse a si mismas, la confianza en el sistema se erosiona.

Este es un coste que no aparece en ningun presupuesto pero que tiene consecuencias reales en la capacidad del Estado para funcionar. Como perito, lo veo reflejado en el aumento de consultas de empresas que ya no confian en que el sector público pueda garantizar la seguridad de sus datos.

He notado un incremento del 40% en las consultas de empresas que quieren auditar sus propios sistemás después de cada brecha institucional que aparece en los medios. El hackeo de Moncloa ha generado más consultas en mi despacho en una semana que las que recibo normalmente en un mes. La desconfianza genera demanda, pero también genera ansiedad: muchos empresarios no saben por donde empezar y eso los paraliza.

Efecto arrastre en el sector privado: Cada brecha institucional que se hace pública genera una ola de ataques de phishing y estafas que utilizan la noticia como gancho.

Tras el hackeo de Moncloa, es previsible que aumente el número de emails fraudulentos suplantando a organismos públicos, afectando a miles de empresas y ciudadaños que no tienen relación directa con la brecha original.

Ya lo hemos visto con las oleadas de phishing que siguieron a las brechas de la AEAT y la Seguridad Social: los atacantes aprovechan la confusion mediatica para lanzar campanas masivas de ingenieria social. Los emails del tipo “Su información ha sido comprometida en la brecha de Moncloa, haga clic aquí para verificar sus datos” empiezan a circular horas después de que la noticia salte a los medios.

Coste de rotacion de personal: Un aspecto que rara vez se menciona es que las brechas de seguridad graves provocan dimisiones y rotacion en los equipos técnicos. Los profesionales de TI que gestionan la respuesta a un incidente grave experimentan niveles de estres comparables a los de profesionales sanitarios en emergencias, según un estudio de la Universidad de Kent (2023). En España, donde la escasez de profesionales de ciberseguridad ya es crítica (faltan más de 80.000 según ObservaCiber), perder personal cualificado tras un incidente multiplica el daño.

Prima de seguro incrementada: Tras una brecha, las aseguradoras revisan al alza las primás del ciberseguro, a veces en un 200-400%. Para Moncloa esto no aplica directamente, pero para cualquier empresa privada que haya tenido que activar su poliza ciber, la renovacion del año siguiente será significativamente más cara, si la aseguradora no decide directamente no renovar la poliza.

Lo que debería preocuparnos: la traslacion a la empresa privada española

Aqui es donde quiero ser directo. Llevo años haciendo peritajes informáticos para empresas españolas y la realidad es preocupante. El coste medio de un incidente de ciberseguridad para una PYME española es de aproximadamente 35.000 euros según INCIBE, pero he visto casos donde la factura final supera los 100.000 euros cuando se suman la parada de actividad, la pérdida de datos, las sanciones RGPD y el coste pericial y legal.

La comparación entre la capacidad de respuesta de Moncloa y la de una PYME es demoledora:

Metrica	Moncloa	PYME española típica
Presupuesto ciberseguridad anual	Millones de euros + CCN-CERT	0 - 5.000 euros (si tiene algo)
Personal dedicado a seguridad	Equipo especializado + apoyo CNI	0 personas (el informático hace todo)
Sistema de detección avanzada	Anti-APT (cuando funciona)	Antivirus básico o nada
Tiempo de detección de brecha	~100 días (en este caso)	204 días de medía según IBM
Plan de respuesta a incidentes	Documentado y con equipo designado	Inexistente en el 78% de PYMEs (ENISA)
Backup verificado	Multiples copias con verificación periodica	43% no tiene backup offsite (INCIBE)
Coste de recuperación	2+ millones de euros	35.000 - 100.000 euros (potencialmente letal)
Capacidad de absorber el coste	Presupuestos Generales del Estado	Puede significar el cierre del negocio

Si Moncloa, con todo su aparato, necesita 2 millones de euros para recuperarse, una PYME española con facturacion de medio millon de euros que sufra un ransomware puede perfectamente quedarse fuera del mercado. He peritado casos donde una empresa tardo 3 meses en volver a operar con normalidad tras un ataque, con pérdidas acumuladas que superaban el 40% de su facturacion anual.

Y aquí va una reflexion que no suele aparecer en los titulares: el 60% de las PYMEs europeas que sufren un ciberataque grave cierran en los 6 meses siguientes, según datos de la Agencia Europea de Ciberseguridad (ENISA). No es que no puedan pagar el rescate o la recuperación técnica. Es que la parada de actividad, la pérdida de confianza de los clientes, las sanciones regulatorias y el coste legal se acumulan hasta hacer inviable la continuidad del negocio.

La cadena de eventos que lleva al cierre es predecible y la he visto repetirse demasiadas veces:

Semana 1-2: El ataque ocurre. Los sistemás estan caidos. La empresa no puede facturar, no puede atender a clientes, no puede acceder a sus datos
Semana 3-4: Comienza la recuperación técnica. Los costes se acumulan (forensic, consultores, hardware nuevo si es necesario). Los clientes empiezan a buscar alternativas
Mes 2-3: La empresa vuelve a operar parcialmente. Pero los clientes que se fueron no vuelven. Los proveedores exigen garantías adicionales. La AEPD abre una investigación
Mes 4-6: Llega la sanción de la AEPD. Llegan las primeras reclamaciones de clientes. El flujo de caja, ya danado por la parada, no puede absorber los costes adicionales. El banco rechaza la solicitud de credito porque el perfil de riesgo ha cambiado
Mes 6+: La empresa no puede seguir operando. Los empleados se van. El propietario cierra

Este no es un escenario teorico. Es el resumen de un caso real que perité en 2025 para una empresa de comercio electrónico de 15 empleados que sufrio un ransomware. La empresa facturo 1.2 millones de euros en 2024 y cerro en agosto de 2025. La inversion preventiva que habría evitado el incidente: 8.000 euros anuales.

El ratio prevención-remediacion: los números que justifican la inversion

Uno de los datos que más impacto causa cuando lo presento a mis clientes es el ratio entre el coste de prevención y el coste de remediacion. Los números no admiten discusion:

Medida preventiva	Coste anual	Coste del incidente que previene	Ratio
EDR en todos los endpoints	2.000 - 5.000 euros	Ransomware: 35.000 - 100.000 euros	1:20
Backup 3-2-1 verificado	1.200 - 3.600 euros	Perdida total de datos: 50.000 - 200.000 euros	1:55
MFA en accesos críticos	0 - 500 euros	Compromiso de credenciales: 25.000 - 75.000 euros	1:150
Formación phishing semestral	1.000 - 3.000 euros	BEC/phishing exitoso: 20.000 - 150.000 euros	1:50
Firewall gestionado	1.800 - 4.800 euros	Intrusion por perimetro: 30.000 - 80.000 euros	1:17
Pentesting anual	3.000 - 8.000 euros	Explotacion de vulnerabilidad conocida: 40.000 - 120.000 euros	1:15
Seguro ciber	1.500 - 5.000 euros	Cualquier incidente: cobertura 100.000 - 500.000 euros	1:100

El ratio medio es de aproximadamente 1:7 a 1:20. Es decir, por cada euro que inviertes en prevención, te ahorras entre 7 y 20 euros en remediacion. Si lo expresamos de otra forma: Moncloa habría podido prevenir los 2 millones de euros de gasto reactivo con una inversion preventiva de entre 100.000 y 285.000 euros anuales en los sistemás que fallaron. La diferencia es que la prevención es una partida presupuestaria predecible, mientras que la remediacion es un gasto de emergencia que destruye la planificación financiera.

Cuando me llaman para hacer un peritaje forense después de un incidente, a menudo ya es demasiado tarde para evitar daños irreversibles. El patrón se repite con una consistencia deprimente: la empresa descubre el ataque semanas después de que ocurriera, no tiene logs suficientes para determinar el alcance, no sabe que datos se han exfiltrado y no tiene un plan de comunicación para informar a clientes y proveedores. El resultado es un caos que multiplica el impacto del incidente por dos o por tres.

Lo que siempre digo a los empresarios que me consultan: el mejor momento para invertir en ciberseguridad fue ayer; el segundo mejor momento es hoy.

Lo que más me frustra profesionalmente es ver como muchas empresas españolas destinan más presupuesto al mantenimiento de la fotocopiadora que a proteger sus sistemás informáticos. Un contrato de mantenimiento de impresoras puede costar 2.000-3.000 euros anuales y nadie lo cuestiona. Pero cuando propones invertir 3.000-5.000 euros en un firewall actualizado, un EDR y una sesion de formación para el personal, de repente es un gasto innecesario. Hasta que llega el ransomware.

5 casos reales: que pasaria si el ataque de Moncloa le ocurriera a tu empresa

Para que la comparación entre Moncloa y la empresa privada no quede en lo abstracto, voy a reconstruir 5 escenarios basados en perfiles reales de empresas con las que trabajo. Los costes estan basados en mi experiencia como perito y en datos de INCIBE y del sector asegurador:

Caso 1: Autonomo - Despacho de abogacia (1 persona)

Perfil: Abogada con despacho individual, facturacion 80.000 euros anuales. Un portatil, un móvil y almacenamiento en la nube. Sin medidas de ciberseguridad más alla del antivirus de Windows Defender.

Escenario: Recibe un email de phishing que suplanta al Consejo General del Poder Judicial. Hace clic en el enlace, introduce sus credenciales de correo y los atacantes acceden a toda su correspondencia profesional con clientes. Descargan 3 años de documentación judicial sensible.

Partida	Coste
Análisis forense del incidente	1.500 - 2.500 euros
Notificación a la AEPD y a los clientes afectados	500 - 1.000 euros (asesoria jurídica)
Perdida de clientes por desconfianza	10.000 - 20.000 euros (estimado anual)
Posible sanción AEPD	10.000 - 40.000 euros (art. 83.4 RGPD)
Reclamaciones de clientes	5.000 - 30.000 euros
Total estimado	27.000 - 93.500 euros

Inversion preventiva que habría evitado el incidente: MFA en el correo (0 euros, ya incluido en Microsoft 365), formación básica en phishing (300 euros, un curso online), seguro ciber (800 euros anuales). Total: 1.100 euros.

Caso 2: PYME de 10 empleados - Clinica dental

Perfil: Clinica con 10 empleados, facturacion 600.000 euros anuales. Servidor local con historiales clinicos, radiografias e informes. El responsable de TI es el recepcionista que sabe algo de informática.

Escenario: Un ransomware entra a traves de un adjunto en un email. Encripta el servidor local con todos los historiales clinicos. El backup estaba en un disco externo conectado al servidor, que también fue encriptado. Los atacantes piden 15.000 euros en Bitcoin.

Partida	Coste
Parada de actividad (2 semanas)	23.000 euros (facturacion pérdida)
Respuesta forense y recuperación	8.000 - 12.000 euros
Reconstruccion de historiales (si es posible)	5.000 - 15.000 euros
Notificación AEPD (datos de salud: categoría especial)	1.500 euros (asesoria)
Posible sanción AEPD (datos de salud)	40.000 - 300.000 euros
Perdida de pacientes	15.000 - 30.000 euros (estimado anual)
Total estimado (sin pagar rescate)	92.500 - 381.500 euros

Inversion preventiva: EDR (2.400 euros/año), backup offsite automatizado (1.200 euros/año), formación personal (1.500 euros), firewall gestionado (2.400 euros/año), seguro ciber (2.500 euros/año). Total: 10.000 euros anuales.

Caso 3: PYME de 50 empleados - Empresa logistica

Perfil: Empresa de transporte y logistica, facturacion 4 millones de euros. ERP propio, 50 puestos de trabajo, 3 servidores on-premise, acceso remoto para conductores. Un informático a tiempo completo.

Escenario: Un atacante explota una vulnerabilidad en el acceso VPN que no se habia parcheado. Obtiene acceso al directorio activo, exfiltra la base de datos de clientes y proveedores, y despliega ransomware en los 3 servidores y 40 de los 50 puestos de trabajo. La operativa logistica se paraliza completamente.

Partida	Coste
Parada de actividad (3 semanas)	230.000 euros (facturacion pérdida)
Penalizaciones contractuales por entregas fallidas	50.000 - 100.000 euros
Respuesta forense completa	15.000 - 25.000 euros
Reconstruccion de sistemás	20.000 - 35.000 euros
Notificación AEPD y afectados	5.000 - 8.000 euros
Posible sanción AEPD	40.000 - 100.000 euros
Perdida de clientes	80.000 - 200.000 euros (estimado anual)
Total estimado	440.000 - 698.000 euros

Inversion preventiva: SOC/MDR gestionado (18.000 euros/año), EDR avanzado (6.000 euros/año), pentesting anual (5.000 euros), formación trimestral (4.000 euros/año), backup inmutable (3.600 euros/año), seguro ciber (4.000 euros/año). Total: 40.600 euros anuales.

Caso 4: Empresa mediana de 150 empleados - Ingenieria industrial

Perfil: Empresa de ingenieria, facturacion 15 millones de euros. Propiedad intelectual crítica (plaños, patentes, diseños). 150 empleados, infraestructura hibrida (on-premise + nube), CISO a tiempo parcial (compartido con el CTO).

Escenario: Un grupo APT con motivación de espionaje industrial compromete el correo del CTO mediante spear phishing avanzado. Durante 4 meses, exfiltra plaños de proyectos en curso valorados en millones de euros. La brecha se descubre cuando un competidor presenta un diseño sospechosamente similar en una licitacion pública.

Partida	Coste
Investigación forense (4 meses de actividad)	40.000 - 60.000 euros
Perdida de propiedad intelectual	500.000 - 2.000.000 euros (estimado)
Litigio contra el competidor	100.000 - 300.000 euros
Hardening completo de infraestructura	80.000 - 120.000 euros
Reputacion y pérdida de contratos	200.000 - 500.000 euros
Total estimado	920.000 - 2.980.000 euros

Inversion preventiva: CISO dedicado o vCISO (48.000 euros/año), anti-APT (35.000 euros/año), DLP (15.000 euros/año), formación especializada (8.000 euros/año), red team semestral (16.000 euros/año), seguro ciber premium (12.000 euros/año). Total: 134.000 euros anuales.

Caso 5: Gran empresa de 500 empleados - Grupo hotelero

Perfil: Cadena hotelera con 12 establecimientos, facturacion 40 millones de euros. Sistemás PMS (gestión hotelera), datos de tarjetas de credito (PCI DSS), datos personales de miles de huespedes. Departamento de TI de 8 personas, sin CISO.

Escenario: Un atacante compromete el sistema PMS a traves de un tercero (proveedor de booking engine). Accede a la base de datos con 200.000 registros de huespedes, incluyendo números de tarjeta de credito, pasaportes y direcciones. Exfiltra los datos durante 6 meses antes de ser detectado.

Partida	Coste
Investigación forense multi-site	80.000 - 150.000 euros
Notificación a 200.000 afectados	100.000 - 200.000 euros
Sanción AEPD (200K registros con datos financieros)	500.000 - 2.000.000 euros
Reclamaciones individuales y class action	300.000 - 1.000.000 euros
Incumplimiento PCI DSS: multas del adquirente	100.000 - 500.000 euros
Perdida de reputacion y cancelaciones	500.000 - 1.500.000 euros
Remediacion técnica completa	200.000 - 400.000 euros
Total estimado	1.780.000 - 5.750.000 euros

Inversion preventiva: CISO dedicado (65.000 euros/año), SOC 24x7 (60.000 euros/año), cumplimiento PCI DSS (30.000 euros/año), pentesting trimestral (24.000 euros/año), formación y simulacros (12.000 euros/año), gestión de terceros (15.000 euros/año), seguro ciber (25.000 euros/año). Total: 231.000 euros anuales.

El denominador común de los 5 casos

Si analizamos los 5 escenarios en conjunto, emergen patrones que se repiten independientemente del tamaño de la empresa:

Todos los ataques explotaron una debilidad humana o de proceso, no una debilidad tecnologica pura. El phishing, las credenciales reutilizadas, el backup conectado a la red, el VPN sin parchear, el proveedor externo comprometido. En ningun caso el ataque fue tan sofisticado que resultara imposible de prevenir con medidas básicas.

En todos los casos, el coste de la parada de actividad supero al coste de la remediacion técnica. Esto es algo que los presupuestos de ciberseguridad rara vez contemplan: el daño no esta en lo que cuesta arreglar los sistemas, sino en lo que dejas de facturar mientras estan caidos.

En los 5 casos, la inversion preventiva habría costado entre el 1% y el 3% del coste total del incidente. No estamos hablando de cifras prohibitivas. Estamos hablando de cantidades que cualquier empresa puede asumir si las incluye en su presupuesto anual como un gasto operativo mas, al mismo nivel que el seguro del local, la asesoria fiscal o el mantenimiento de vehiculos.

Ningun caso incluia un plan de respuesta a incidentes documentado. Todas las empresas improvisaron. Y la improvisacion, en medio de una crisis, siempre amplifica el daño. Las decisiones que se toman bajo presion sin un protocolo previo son, casí por definicion, peores que las que se toman con calma y anticipacion.

Patron común en los 5 casos

En los 5 escenarios, la inversion preventiva anual representa entre el 0.5% y el 2% de la facturacion. El coste del incidente representa entre el 11% y el 34% de la facturacion. El ratio medio es de 1:15. Es decir, por cada euro no invertido en prevención, las empresas acaban pagando 15 euros en remediacion, sanciones, pérdida de clientes y costes legales.

Si tu empresa se identifica con alguno de estos perfiles y necesita evaluar su nivel de riesgo real, puedo ayudarte con una consultoria y asesoramiento especializado. No esperes a que los 2 millones de Moncloa sean una anecdota comparados con tu propia factura de recuperación.

Análisis sectorial: que sectores españoles estan más expuestos

No todos los sectores tienen el mismo nivel de riesgo ni la misma capacidad de respuesta. Basandome en mis peritajes y en los datos de INCIBE y ENISA, este es el mapa de riesgo por sector en España:

Sector	Nivel de riesgo	Nivel de preparación	Regulación específica	Coste medio incidente
Sanidad	Muy alto	Bajo	RGPD (datos salud) + NIS2	60.000 - 300.000 euros
Financiero	Muy alto	Alto	PSD2 + DORA + NIS2	80.000 - 500.000 euros
Logistica y transporte	Alto	Bajo	NIS2	40.000 - 200.000 euros
Industria/fabricacion	Alto	Medio-bajo	NIS2 (si crítico)	50.000 - 400.000 euros
Comercio/retail	Alto	Bajo	PCI DSS (si tarjetas)	25.000 - 150.000 euros
Servicios profesionales	Medio-alto	Bajo	RGPD	20.000 - 100.000 euros
Construccion	Medio	Muy bajo	RGPD	15.000 - 80.000 euros
Hosteleria y turismo	Medio	Bajo	PCI DSS + RGPD	30.000 - 200.000 euros
Educacion	Medio	Bajo	RGPD (datos menores)	20.000 - 100.000 euros
Administración pública	Muy alto	Variable	ENS + NIS2	100.000 - millones

El patrón que observo en mis peritajes es claro: los sectores con más riesgo suelen ser los que menos invierten en protección, con la notable excepción del sector financiero, que lleva años sometido a regulación estricta y auditorias periodicas. La sanidad es el caso más preocupante: maneja los datos más sensibles que existen (datos de salud, que tienen una categoría especial bajo el RGPD) y, sin embargo, la inversion en ciberseguridad de hospitales y clinicas privadas en España es alarmantemente baja.

El caso de los ataques a hospitales españoles que he documentado en otro artículo demuestra que los atacantes lo saben. Los hospitales son objetivos preferentes porque la urgencia de restaurar los servicios asistenciales (vidas humanas en juego) maximiza la probabilidad de que paguen un rescate. Y como los datos de salud tienen un valor especialmente alto en el mercado negro (hasta 10 veces más que los datos financieros, según el World Economic Forum), los atacantes tienen doble incentivo.

Para la logistica y el transporte, el riesgo esta en la cadena de suministro. Un ataque al sistema de gestión de flotas de una empresa de transporte no solo paraliza a esa empresa: paraliza a todos sus clientes que dependen de ella para recibir mercancias. El efecto cascada es similar al que vimos con el ataque a Moncloa: un punto de fallo afecta a multiples organizaciones.

Mi recomendación por sector:

Sanidad: Inversion mínima del 2% de facturacion en ciberseguridad, cifrado obligatorio de historiales clinicos, backup inmutable con verificación semanal
Servicios profesionales (abogados, gestores, consultores): MFA en todos los accesos, cifrado de correo electrónico para comunicaciones con clientes, formación trimestral
Comercio: Cumplimiento PCI DSS si acepta tarjetas, segmentación de la red de punto de venta, monitorizacion de transacciones anomalas
Logistica: Segmentacion entre sistemás IT (oficina) y OT (flota), VPN segura para conductores, plan de continuidad que permita operar en modo manual durante al menos 48 horas
Construccion: Protección del correo electrónico (principal vector de fraude BEC en el sector), verificación telefónica de cambios en datos bancarios de proveedores

El error más común que veo en mis peritajes: confundir backup con resiliencia

Quiero dedicar un apartado específico a este tema porque es el error que más veces he documentado en mis informes periciales y el que más daño causa. Muchas empresas creen que tener un backup las hace resilientes frente a un ciberataque. No es así.

Un backup te protege contra la pérdida de datos. Pero no te protege contra:

La parada de actividad: Restaurar un backup puede tardar horas o días, dependiendo del volumen de datos y la velocidad del sistema de restauracion. Durante ese tiempo, tu empresa no opera
La exfiltración de datos: Si los atacantes copiaron tus datos antes de encriptarlos (lo que ocurre en el 83% de los ataques de ransomware modernos según Mandiant), restaurar el backup no impide que esos datos esten en maños de los atacantes
El daño reputacional: Tus clientes no se van a sentir más tranquilos porque hayas restaurado el backup si sus datos personales ya han sido publicados en la dark web
Las sanciones regulatorias: La AEPD no va a reducir la sanción porque tengas backup. La sanción se impone por la brecha, no por la incapacidad de restaurar

Ademas, el backup solo funciona si cumple tres condiciones que la mayoria de PYMEs no verifica:

Primera condición: el backup tiene que estar aislado de la red. Si tu backup esta en un disco duro conectado al servidor o en una carpeta compartida de red, el ransomware lo va a encriptar junto con todo lo demas. He peritado al menos 15 casos donde la empresa tenia backup pero el ransomware lo encripto porque estaba en la misma red. La regla 3-2-1 existe por algo: 3 copias, en 2 soportes diferentes, 1 fuera del sitio.

Segunda condición: el backup tiene que estar verificado. Tener un backup que no puedes restaurar es peor que no tener backup, porque te da una falsa sensacion de seguridad. En un peritaje para una empresa de 30 empleados, descubri que su backup automatizado llevaba 6 meses fallando silenciosamente. El disco de destino se habia llenado y el software de backup generaba un error que nadie revisaba. Cuando sufrieron el ransomware y fueron a restaurar, descubrieron que su última copia válida tenia 6 meses de antiguedad. Perdieron medio año de facturacion, contratos y correspondencia.

Tercera condición: el backup tiene que ser inmutable. Los ataques de ransomware modernos buscan activamente los backups para encriptarlos o eliminarlos antes de lanzar el cifrado general. Un backup inmutable (que no puede ser modificado ni eliminado durante un periodo definido) es la única garantía real de que podras restaurar tus datos. Soluciónes como Veeam con repositorios inmutables, backups en cinta (si, la cinta sigue siendo relevante en 2026) o almacenamiento en nube con object lock ofrecen esta capacidad a costes razonables.

La combinacion que recomiendo a mis clientes como configuración mínima de backup resiliente:

Backup automatizado diario a un repositorio local (para restauraciones rápidas)
Replica diaria a un servicio en la nube con inmutabilidad activada (para resistir ransomware)
Verificación mensual de la restauracion (probar que puedes recuperar los datos realmente)
Prueba trimestral de restauracion completa del sistema (no solo archivos: el sistema operativo, las aplicaciones, las configuraciones)

El coste de esta configuración para una PYME de 10-50 empleados es de entre 200 y 500 euros mensuales. El coste de no tenerla, como hemos visto en los casos anteriores, puede superar los 100.000 euros.

Las 8 lecciones que toda empresa española debería extraer de este caso

La dependencia de un único proveedor es un riesgo crítico. Moncloa quedo desprotegida porque su proveedor de anti-APT dejo de actualizar el sistema. En mis peritajes veo el mismo patrón: empresas con un solo proveedor de backup, un solo firewall, una sola linea de defensa. Cuando falla, no hay plan B. La solución pasa por tener al menos dos capas de defensa independientes y un plan de contingencia documentado que se active automáticamente cuando una de ellas falla. Caso real: una gestoría de Jaen con la que trabajo tenia su único backup en un NAS conectado a la red local. Cuando el ransomware encripto el servidor, encripto también el NAS. Si hubieran tenido una segunda copia en la nube (coste: 30 euros al mes), habrían recuperado los datos en horas en lugar de semanas
100 días sin cobertura es inaceptable, pero habitual. El gap entre la caida del sistema antiguo y la formalizacion del nuevo contrato es un problema burocratico que en la empresa privada se traduce en falta de presupuesto. Si tu antivirus caduca manana y no tienes dinero para renovarlo, tu ventana de exposicion empieza hoy. La leccion: nunca dejes que una licencia de seguridad expire sin tener la renovacion o el sustituto ya negociado. He visto empresas que operan con licencias de antivirus caducadas durante meses porque nadie se acordo de renovar. El coste de la renovacion era de 800 euros. El coste del incidente que sufrieron durante la ventana sin protección fue de 47.000 euros
El coste de prevención es siempre inferior al de remediacion. Una solución anti-APT de gama medía cuesta entre 50.000 y 150.000 euros anuales para una organización grande. Moncloa ha tenido que invertir 2 millones. En proporción, una PYME que invierta 3.000-5.000 euros anuales en ciberseguridad puede ahorrarse los 35.000-100.000 euros de un incidente. El ratio coste/beneficio es de 1 a 20 como mínimo. Según los datos de IBM, las organizaciones que invirtieron en formación de respuesta a incidentes ahorraron una medía de 2,66 millones de dolares por brecha. La formación no solo reduce la probabilidad de un incidente: reduce su coste cuando inevitablemente ocurre
La formación del personal no es opcional. El CCN-CERT ha insistido repetidamente en que el factor humaño esta detras del 90% de los ciberataques exitosos. Ni el mejor sistema anti-APT del mundo protege contra un empleado que abre un enlace de phishing. Las simulaciones periodicas de ataques son la inversion más rentable en ciberseguridad. En mi experiencia, una sola sesion de formación de 2 horas reduce los clics en phishing simulado en un 60-70% durante los 6 meses siguientes. Un cliente mio del sector inmobiliario paso de un 35% de clics en phishing simulado a un 4% después de tres sesiones trimestrales. La cuarta sesion redujo la cifra al 2%
Documenta todo: necesitaras un perito. En todos los incidentes que he peritado, la calidad de la documentación determina si la empresa puede reclamar al seguro, denunciar ante las FCSE o defender sus intereses en un procedimiento judicial. Sin evidencia forense, no hay caso. Esto significa tener logs centralizados, copias de seguridad verificables y un registro de los sistemás de seguridad activos en cada momento. Un ejemplo concreto: una empresa de comercio electrónico que perité habia sufrido un robo de datos de 15.000 clientes. Tenian razones para creer que el ataque venia de un exempleado, pero no tenian logs del servidor de base de datos porque habian desactivado el logging para ahorrar espacio en disco. Sin esos logs, fue imposible demostrar la autoria. El ahorro de espacio en disco era de unos 50 euros al mes. La imposibilidad de probar la autoria les costo la posibilidad de recuperar los 120.000 euros de daños
El seguro ciber no es un lujo, es una necesidad. Moncloa puede absorber 2 millones de euros de gasto imprevisto porque dispone de los Presupuestos Generales del Estado. Una PYME no tiene esa red de seguridad. Un seguro de ciberriesgos con cobertura de 100.000-500.000 euros cuesta entre 1.500 y 5.000 euros anuales para una PYME media. Incluye cobertura de respuesta a incidentes, recuperación de datos, responsabilidad frente a terceros y, en muchos casos, acceso a un equipo de respuesta especializado las 24 horas. He visto empresas que sobrevivieron a un ransomware devastador exclusivamente porque su seguro ciber cubrio la respuesta forense, la reconstruccion de sistemás y la pérdida de beneficios durante las 3 semanas de parada
La cadena de suministro es tu perimetro real. El caso de Moncloa demuestra que tu seguridad es tan fuerte como la de tu eslabon más debil. Si tu proveedor de correo, de backup, de ERP o de hosting tiene una brecha, tu la heredas. La NIS2 exige gestión de riesgos de la cadena de suministro TIC, y aunque España no la haya transpuesto aun, cualquier empresa que quiera protegerse de verdad necesita evaluar periódicamente la seguridad de sus proveedores críticos. Como mínimo, exige a tus proveedores que te confirmen que tienen medidas de seguridad básicas, un plan de respuesta a incidentes y un seguro ciber. Si no pueden darte esa garantía, son un riesgo que estas asumiendo sin saberlo
La gobernanza de ciberseguridad necesita ser autonoma del departamento de TI. Uno de los problemás sistemicos que detecto en mis peritajes es que la ciberseguridad suele ser una responsabilidad más del departamento de TI, que ya esta saturado con el día a día operativo. La consecuencia: las alertas de seguridad se ignoran, las actualizaciones se posponen y los planes de respuesta nunca se prueban. La solución no es necesariamente contratar un CISO a tiempo completo (que puede costar 60.000-90.000 euros anuales). Para la mayoria de PYMEs, un vCISO (CISO virtual) que dedique 2-4 horas semanales a supervisar la seguridad cuesta entre 1.000 y 2.000 euros al mes y aporta la vision estrategica que falta cuando la ciberseguridad es solo una tarea más del informático

Para ponerlo en perspectiva con números concretos: si una empresa de 50 empleados invierte 10.000 euros anuales en ciberseguridad (200 euros por empleado al año), esta cubriendo el equivalente al 0.3% de una nomina media. El coste de no hacerlo, si sufre un incidente, puede superar facilmente los 100.000 euros entre recuperación técnica, parada de actividad, sanciones y coste legal.

La matematica del riesgo no admite debate. Y si alguien en tu organización sigue pensando que es una cuestion de probabilidades lejanas, recordale que en 2025 INCIBE gestiono más de 122.000 ciberincidentes en España, un 26% más que el año anterior. No es cuestion de si te va a pasar, sino de cuando. Y Moncloa acaba de demostrar que ni siquiera la Presidencia del Gobierno esta a salvo.

Que aspecto tiene una inversion en ciberseguridad proporcional al riesgo

Una de las preguntas que más me hacen los empresarios es: cuanto debería invertir exactamente. No hay una cifra magica, pero si hay un marco de referencia que utilizo en mis consultorias de asesoramiento y que aplica tanto a administraciones públicas como a empresas privadas:

Tamaño organización	Facturacion típica	Inversion anual recomendada	Porcentaje	Incluye
Micro (1-9 empleados)	Menos de 500.000 euros	1.500 - 3.000 euros	0.3% - 0.6%	Antivirus/EDR, backup nube, MFA, formación anual
Pequeña (10-49 empleados)	500.000 - 2M euros	5.000 - 15.000 euros	0.5% - 1%	EDR, firewall gestionado, backup 3-2-1, MFA, formación semestral, plan respuesta básico
Mediana (50-249 empleados)	2M - 20M euros	25.000 - 80.000 euros	1% - 1.5%	SIEM/SOC básico, EDR avanzado, segmentación red, pentesting anual, formación trimestral, seguro ciber
Grande (250+ empleados)	Mas de 20M euros	100.000+ euros	1.5% - 3%	SOC 24x7, anti-APT, zero trust, red team semestral, CISO dedicado o virtual, seguro ciber premium
Administración pública crítica	N/A	Millones de euros/año	N/A	Todo lo anterior + inteligencia de amenazas, certificación ENS, coordinacion con CCN-CERT

Estas cifras pueden parecer elevadas para una PYME que factura 500.000 euros al año, pero representan entre el 0.3% y el 3% de la facturacion, que es exactamente el rango que recomienda ENISA para organizaciones con riesgo medio-alto. Compara ese 0.3-3% con el 20-40% de facturacion que puede costar un incidente y la inversion se justifica sola.

Desglose detallado: que comprar con cada presupuesto

Para que la tabla anterior no quede en lo teorico, voy a desglosar exactamente que debería incluir cada nivel de inversion:

Micro empresa (1.500-3.000 euros/año):

EDR en todos los equipos: Microsoft Defender for Business o similar (600-1.200 euros/año)
Backup automatizado en nube: Backblaze o similar (120-360 euros/año)
MFA en todos los servicios: Google Authenticator o Microsoft Authenticator (gratuito)
Formación anual de concienciacion: curso online para todo el personal (300-600 euros)
Revision anual de configuraciones: 1 jornada de consultor externo (400-800 euros)

Pequeña empresa (5.000-15.000 euros/año):

Todo lo anterior, mas:
Firewall perimetral gestionado: Fortinet, Sophos o similar (1.800-4.800 euros/año)
Plan de respuesta a incidentes documentado: elaboración + simulacro (1.500-3.000 euros)
Seguro de ciberriesgos básico (1.500-3.000 euros/año)
Revision trimestral de parches y actualizaciones: automatizada o consultor (incluido en firewall gestionado)

Mediana empresa (25.000-80.000 euros/año):

Todo lo anterior, mas:
SOC/MDR gestionado 24x7: Arctic Wolf, Sophos MDR o similar (12.000-36.000 euros/año)
Pentesting anual externo (3.000-8.000 euros)
Segmentacion de red (proyecto único + mantenimiento: 5.000-15.000 euros)
DLP básico para datos sensibles (3.000-8.000 euros/año)
Seguro ciber con cobertura ampliada (3.000-8.000 euros/año)
vCISO: 4 horas semanales (12.000-24.000 euros/año)

Ademas, hay que tener en cuenta que muchas de estas medidas tienen un efecto acumulativo: un firewall bien configurado protege contra miles de intentos de intrusion diarios, un EDR puede detectar y contener un ransomware en minutos antes de que se propague, y una sola sesion de formación puede evitar que un empleado caiga en un phishing que habría costado decenas de miles de euros. La ciberseguridad no es un gasto: es una inversion con retorno medible.

Lo que veo con demasiada frecuencia en mis peritajes es que las empresas invierten en tecnología pero se olvidan de las personas y los procesos. De nada sirve tener un firewall de última generacion si nadie revisa las alertas, si no hay un plan de respuesta documentado o si el único empleado que sabe la contraseña del servidor se va de vacaciones y no tiene sustituto. La ciberseguridad es un tripode: tecnología, personas y procesos. Si falla una pata, se cae todo.

Un ejemplo que ilustra esto perfectamente: en un peritaje reciente para una empresa mediana del sector logistico, descubri que tenian un sistema de detección de intrusiones que llevaba 8 meses generando alertas críticas que nadie revisaba. El responsable de TI las habia silenciado porque le generaban demasiadas notificaciones. Cuando finalmente sufrieron un ransomware, las alertas del IDS habian detectado el movimiento lateral del atacante dos semanas antes de la encriptación. La tecnología funciono; las personas y los procesos, no. Si Moncloa, con su equipo especializado y el respaldo del CCN-CERT, tardo 100 días en reaccionar a la caida de su sistema anti-APT, imagina lo que le puede pasar a una empresa donde el único informático tiene que elegir entre arreglar la impresora del director y revisar los logs del firewall.

Costes de cumplimiento NIS2: la factura que viene para las empresas españolas

Aunque España no ha transpuesto aun la Directiva NIS2 (la Comision Europea ha abierto procedimiento de infracción), su aplicación es cuestion de meses, no de años. Y cuando llegue, las empresas clasificadas como “esenciales” o “importantes” tendrán que cumplir requisitos de ciberseguridad con coste significativo:

Requisito NIS2	Coste estimado PYME	Coste estimado gran empresa	Frecuencia
Evaluación de riesgos	3.000 - 8.000 euros	15.000 - 40.000 euros	Anual
Plan de respuesta a incidentes	2.000 - 5.000 euros	10.000 - 25.000 euros	Revision anual
Notificación de incidentes (24h)	Infraestructura de detección: 5.000 - 15.000 euros/año	SOC 24x7: 30.000 - 100.000 euros/año	Continuo
Gestión de la cadena de suministro	1.000 - 3.000 euros	5.000 - 20.000 euros	Anual
Cifrado y control de acceso	2.000 - 6.000 euros	10.000 - 30.000 euros	Proyecto + mantenimiento
Formación y concienciacion	1.000 - 3.000 euros	5.000 - 15.000 euros	Anual
Auditorias de cumplimiento	3.000 - 8.000 euros	15.000 - 50.000 euros	Anual
Total primer año	17.000 - 48.000 euros	90.000 - 280.000 euros	-
Total años sucesivos	10.000 - 30.000 euros	60.000 - 200.000 euros	-

Las sanciones por incumplimiento de la NIS2 pueden alcanzar los 10 millones de euros o el 2% de la facturacion global para entidades esenciales, y los 7 millones o el 1,4% para entidades importantes. En comparación con las multas del RGPD, las sanciones NIS2 son del mismo orden de magnitud, pero el coste de cumplimiento suele ser significativamente mayor porque implica medidas técnicas además de organizativas.

Mi recomendación como perito: no esperes a que se publique la transposición española para empezar a prepararte. Las medidas que exige la NIS2 son, en su mayoria, las mismás que cualquier empresa debería tener independientemente de la obligación legal. Si empiezas a implementarlas ahora, cuando la ley entre en vigor estaras cumpliendo y, ademas, estaras protegido. Si esperas, tendras que hacerlo todo de golpe, con prisa, y probablemente mal.

Recursos públicos que ya existen y las PYMEs no aprovechan

Antes de hablar de inversiones privadas, hay que reconocer que existen recursos públicos gratuitos o subvencionados que la mayoria de PYMEs españolas desconoce:

INCIBE: el recurso más infrautilizado de España

INCIBE (Instituto Nacional de Ciberseguridad) ofrece servicios gratuitos que muchas PYMEs no saben que existen:

017: Linea de ayuda en ciberseguridad, gratuita y confidencial. Atienden a empresas y autonomos con dudas sobre incidentes, configuraciones o buenas prácticas
Herramientas de autodiagnostico: Tests online que evaluan el nivel de ciberseguridad de tu empresa y te dan recomendaciones personalizadas
Guias sectoriales: Documentos adaptados a cada sector (sanidad, logistica, comercio, etc.) con medidas concretas
Alertas de seguridad: Servicio de notificaciones sobre vulnerabilidades y amenazas que afectan a productos que usa tu empresa
Formación online gratuita: Cursos de concienciacion en ciberseguridad para empresas

En 2025, INCIBE gestiono más de 122.000 ciberincidentes, un 26% más que el año anterior. Pero las herramientas preventivas que ofrece siguen siendo desconocidas para la mayoria del tejido empresarial. Es como tener un extintor en el edificio y que nadie sepa donde esta.

Kit Digital: la oportunidad que muchos dejaron pasar

El programa Kit Digital del Gobierno de España incluia una categoría específica de ciberseguridad con subvenciones de hasta 6.000 euros para PYMEs (Segmento I) y 2.000 euros para microempresas y autonomos (Segmento III). Aunque las convocatorias principales ya han cerrado, siguen existiendo plazos abiertos y programás complementarios que vale la pena consultar en la web de Acelera Pyme.

Lo que he observado con el Kit Digital es un patrón frustrante: muchas PYMEs solicitaron la subvencion de ciberseguridad, contrataron el servicio mínimo que exigia la convocatoria y, una vez agotados los 12 meses subvencionados, dejaron de pagar. El resultado es que tienen una falsa sensacion de seguridad basada en herramientas que ya no estan activas. Es peor que no haber tenido nada, porque la confianza injustificada reduce la vigilancia.

He peritado al menos 3 casos en el último año donde la empresa habia tenido Kit Digital de ciberseguridad, dejo de pagar al acabar la subvencion, y sufrio un incidente en los meses siguientes. En los tres casos, la empresa creia que seguia protegida porque nadie les aviso de que el servicio se habia desactivado.

La leccion para futuros programás de subvencion: la ciberseguridad no es un proyecto con principio y fin. Es un servicio continuo, como la electricidad o el seguro del local. Los programás públicos deberían incentivar la continuidad, no solo la adopcion inicial.

Programás europeos disponibles

Además del Kit Digital, existen programás europeos que las PYMEs españolas pueden aprovechar:

Digital Europe Programme: Financiacion para centros de operaciones de seguridad (SOC) transnacionales
Horizon Europe: Convocatorias específicas para proyectos de ciberseguridad en PYMEs
CEF (Connecting Europe Facility): Infraestructura de ciberseguridad para servicios digitales transfronterizos
ECCC (European Cybersecurity Competence Centre): Formación y capacitacion, con sede en Bucarest pero con nodos nacionales en cada estado miembro

El problema es que estos programás son practicamente desconocidos fuera del circulo de las grandes consultoras y los centros tecnologicos. La PYME de 20 empleados de Jaen o de Badajoz no sabe que existen, no tiene capacidad para solicitar las ayudas y no tiene interlocutores que le expliquen como acceder a ellos. Es otra brecha que las politicas públicas deberían cerrar.

El seguro ciber como alternativa coste-efectiva

Para PYMEs con presupuesto limitado, el seguro de ciberriesgos puede ser la inversion más inteligente. No sustituye las medidas técnicas básicas, pero aporta una red de seguridad financiera y, lo más importante, acceso a servicios de respuesta profesional que la empresa no podría costearse por si sola:

Cobertura típica	Que incluye
Respuesta a incidentes	Equipo forense 24h, contencion, recuperación
Perdida de beneficios	Indemnizacion por parada de actividad (normalmente hasta 90 días)
Responsabilidad frente a terceros	Reclamaciones de clientes, proveedores y empleados
Sanciones regulatorias	Cobertura parcial de multas AEPD (donde la ley lo permita)
Gestión de crisis	Comunicación, relaciones públicas, notificación a afectados
Extorsion cibernetica	Negociacion con atacantes, pago de rescate (en algunos casos)

Las primás para PYMEs españolas oscilan entre 800 y 5.000 euros anuales, dependiendo del tamaño, el sector y las medidas de seguridad existentes. Para una empresa de 10-50 empleados, una poliza con cobertura de 250.000-500.000 euros suele costar entre 2.000 y 4.000 euros anuales. Es, literalmente, lo que cuesta un mantenimiento anual de impresoras.

El dato clave que aporto desde mi experiencia como perito: las aseguradoras que incluyen servicios de respuesta a incidentes en sus polizas suelen resolver los casos en la mitad de tiempo que las empresas que contratan servicios de emergencia por su cuenta. La razón es que las aseguradoras tienen acuerdos pre-negociados con empresas forenses, legales y de comunicación que se activan automáticamente cuando el asegurado reporta un incidente. Ese tiempo ahorrado puede ser la diferencia entre 2 días de parada y 3 semanas.

La reforma de gobernanza de ciberseguridad que España necesita

El caso de Moncloa pone de manifiesto un problema estructural que va más alla de la inversion económica: la gobernanza de la ciberseguridad en España esta fragmentada y es reactiva en lugar de preventiva.

Actualmente, la ciberseguridad pública española depende de una constelacion de organismos con competencias solapadas:

CCN-CERT (Centro Criptologico Nacional): Responsable de la ciberseguridad del sector público, adscrito al CNI
INCIBE-CERT: Responsable de ciudadaños y empresas privadas
ESP-DEF-CERT (Mando Conjunto del Ciberespacio): Responsable del ámbito militar
AEPD: Protección de datos personales
Oficina de Coordinacion de Ciberseguridad: Bajo la Secretaria de Estado de Seguridad

Esta fragmentacion genera zonas grises. El caso del sistema anti-APT de Moncloa es un ejemplo perfecto: si el sistema lo gestionaba un proveedor externo, la supervision recaia formalmente en el CCN-CERT, pero la responsabilidad contractual era de Moncloa, y la coordinacion entre ambos durante los 100 días de vacio no funciono.

Lo que necesita España, en mi opinion como profesional que ve las consecuencias de estos fallos en primera linea:

Una Agencia Nacional de Ciberseguridad con autoridad transversal, similar a ANSSI en Francia o BSI en Alemania. No más fragmentacion competencial
Transposición inmediata de la NIS2, con un régimen sancionador que desincentive la negligencia en la protección de infraestructuras críticas
Obligación de notificación pública de brechas que afecten a datos de ciudadaños, con plazos y formatos estandarizados. La opacidad actual no protege a nadie: solo retrasa la reacción
Incentivos fiscales para inversiones en ciberseguridad de PYMEs, siguiendo el modelo italiaño que permite deducciones del 50% en gastos de protección digital
Certificación obligatoria de proveedores de servicios críticos para la administración pública, con auditorias periodicas y penalizaciones por incumplimiento de SLAs de seguridad
Fondo de emergencia cibernetica para PYMEs que sufran ataques, similar al fondo de garantía de depositos bancarios. Una empresa de 20 empleados que sufre un ransomware no debería tener que elegir entre pagar la recuperación o pagar las nominas
Programa nacional de formación en ciberseguridad obligatorio en la FP y en las escuelas de negocio. Si formamos a los empresarios del futuro sin nociones básicas de ciberseguridad, estamos preparando a las víctimás del manana

La realidad es que España necesita pasar de un modelo reactivo (invertir después de cada crisis) a un modelo preventivo (invertir de forma continuada para reducir el riesgo). El caso de Moncloa debería ser el punto de inflexion, pero me temo que, como ocurrio con el hackeo al SEPE en 2021 y con los ataques al Hospital Clinic de Barcelona en 2023, la urgencia se diluira en cuanto los titulares cambien.

El problema de la contratación pública en ciberseguridad

Hay un aspecto de este caso que merece un análisis separado porque afecta a todas las administraciones públicas, no solo a Moncloa: el modelo de contratación pública es incompatible con la velocidad que exige la ciberseguridad.

El sistema anti-APT de Moncloa dejo de funcionar en noviembre de 2025. El contrato sustituto no se formalizo hasta mediados de febrero de 2026. Esos 100 días de vacio no fueron un error técnico: fueron un error burocratico. La Ley de Contratos del Sector Público (Ley 9/2017) establece procedimientos de licitacion, evaluación y adjudicacion que, en circunstancias normales, pueden tardar entre 3 y 12 meses. Incluso los procedimientos de emergencia, que permiten la contratación directa en situaciones de extrema urgencia, requieren justificaciones y aprobaciones que consumen semanas.

En el ámbito de la ciberseguridad, semanas es una eternidad. Una vulnerabilidad zero-day se explota en horas, no en semanas. Un atacante que identifica un sistema sin actualizaciones puede comprometer toda una infraestructura en días. La brecha entre la velocidad de las amenazas y la velocidad de la burocracia es, en si misma, una vulnerabilidad crítica.

Lo que he visto en mis peritajes para administraciones públicas locales confirma este patrón. Un ayuntamiento de tamaño medio con el que trabaje tardo 8 meses en adjudicar el contrato de renovacion de su firewall. Durante esos 8 meses, el firewall antiguo seguia funcionando con reglas obsoletas porque nadie queria asumir la responsabilidad de desconectarlo sin tener el sustituto. El resultado: un ataque que exploto una vulnerabilidad conocida del firewall antiguo, con coste de remediacion de 45.000 euros. El nuevo firewall costaba 12.000 euros.

La solución pasa por crear marcos de contratación específicos para ciberseguridad que permitan:

Contratos marco con multiples proveedores pre-aprobados que se activen automáticamente cuando caduca o falla un servicio
Clausulas de continuidad obligatorias en todos los contratos de seguridad, que obliguen al proveedor saliente a mantener el servicio hasta que el entrante este operativo
Procedimientos de emergencia simplificados para la sustitucion de sistemás de seguridad críticos, con plazos máximos de 15 días
Penalizaciones contractuales por vacios de cobertura, tanto para proveedores que incumplen como para administraciones que no gestionan las transiciones

Si Moncloa, con toda la capacidad de gestión del Gobierno de España, necesito 100 días para sustituir un sistema crítico, imaginemos lo que ocurre en ayuntamientos, diputaciones y organismos autonomos con menos recursos y menos capacidad de gestión. La reforma de la contratación pública en ciberseguridad no es una cuestion técnica: es una cuestion de seguridad nacional.

Que debería incluir un plan de respuesta a incidentes: guía práctica

Una de las lecciones más claras del caso Moncloa es que tener tecnología sin tener un plan es como tener un coche sin saber conducir. Voy a detallar lo que, en mi experiencia como perito, debería incluir un plan de respuesta a incidentes para cada tamaño de organización:

Para microempresas y autonomos (plan básico)

No necesitas un documento de 200 páginas. Necesitas una hoja con 10 pasos que cualquier persona de la empresa pueda seguir:

Paso 1: Identificar que algo va mal (pantallas bloqueadas, archivos encriptados, emails sospechosos enviados desde tu cuenta, clientes que reportan correos extraños)
Paso 2: No apagar el equipo. Desconectarlo de la red (cable y wifi)
Paso 3: Llamar al contacto de emergencia técnica (tu informático de confianza o el 017 de INCIBE)
Paso 4: Documentar todo con fotos del móvil (capturas de pantalla, mensajes de error, emails sospechosos)
Paso 5: No intentar arreglar nada por tu cuenta (puedes destruir evidencias)
Paso 6: Avisar a tu aseguradora si tienes poliza ciber
Paso 7: Si hay datos personales afectados, preparar la notificación a la AEPD (72 horas)
Paso 8: Cambiar todas las contraseñas desde un dispositivo limpio
Paso 9: Verificar que el backup funciona antes de restaurar nada
Paso 10: Una vez resuelto, contactar con un perito para documentar el incidente con validez judicial

Para PYMEs de 10-50 empleados (plan intermedio)

Además de los pasos básicos, necesitas:

Equipo de respuesta designado: Mínimo 3 personas con roles claros (coordinador, técnico, comunicación). No tienen que ser expertos: tienen que saber a quien llamar y que hacer mientras llega la ayuda
Lista de contactos de emergencia actualizada: Proveedor de TI, aseguradora, perito forense, abogado, AEPD, INCIBE, Policia Nacional (Brigada de Delitos Telematicos)
Inventario de activos críticos: Que servidores, datos y aplicaciones son esenciales para operar. Cuales se pueden recuperar del backup y cuales no
Procedimiento de comunicación: Quien informa a los empleados, quien habla con los clientes, quien contacta con la prensa si es necesario. El silencio no es una estrategia: genera más desconfianza que la transparencia
Simulacro semestral: No basta con tener el plan escrito. Hay que probarlo. Una simulación de 2 horas cada 6 meses revela fallos que sobre el papel no se ven

Para empresas medianas y grandes (plan avanzado)

Aqui ya hablamos de un documento vivo que se revisa trimestralmente:

Clasificacion de incidentes por severidad (crítico, alto, medio, bajo) con tiempos de respuesta definidos para cada nivel
Playbooks específicos para los escenarios más probables: ransomware, phishing exitoso, brecha de datos, ataque DDoS, compromiso de proveedor
Procedimientos de preservación de evidencia que garanticen la validez judicial de las pruebas. En mis peritajes, la diferencia entre un caso que prospera y uno que se archiva suele estar en como se preservaron las evidencias en las primeras horas
Acuerdos de respuesta pre-firmados con proveedores de servicios forenses, legales y de comunicación. Cuando llega el momento del incidente, no quieres estar negociando contratos: quieres que el equipo este trabajando
Coordinacion con autoridades: Protocolo de comunicación con INCIBE-CERT, CCN-CERT (si aplica), Brigada de Delitos Telematicos y AEPD
Plan de continuidad de negocio: Como opera la empresa mientras los sistemás estan caidos. Que procesos se pueden hacer manualmente, que servicios se suspenden, como se priorizan las operaciones críticas

El coste de elaborar estos planes es mínimo comparado con el coste de no tenerlos. Un plan básico para una microempresa se puede hacer en una tarde. Un plan intermedio para una PYME cuesta entre 2.000 y 5.000 euros si lo encarga a un consultor. Un plan avanzado para una empresa mediana cuesta entre 8.000 y 20.000 euros. En todos los casos, el retorno de la inversion se mide en la diferencia entre una respuesta ordenada que minimiza el daño y un caos que lo multiplica.

Comparacion internacional: cuanto invierten otros gobiernos

Para contextualizar los 2 millones de euros de Moncloa, veamos que invierten otros paises comparables en ciberseguridad gubernamental:

Pais	Inversion anual en ciberseguridad	Organismo principal	PIB (referencia)
Reino Unido	2.600 millones de libras (estrategia 2022-2030)	NCSC	3,1 billones dolares
Francia	1.000 millones de euros (plan 2021-2025)	ANSSI	3,0 billones dolares
Alemania	800 millones de euros anuales	BSI	4,3 billones dolares
Paises Bajos	400 millones de euros anuales	NCSC-NL	1,0 billones dolares
Estonia	35 millones de euros anuales	RIA/CERT-EE	40.000 millones dolares
España	~200-300 millones de euros (estimado, no publicado)	CCN-CERT/INCIBE	1,6 billones dolares

España invierte aproximadamente entre un 30% y un 50% menos que paises de tamaño y PIB comparable como Francia o Italia. La brecha es aun mayor si consideramos que España es el sexto pais del mundo más afectado por ransomware, según el informe Thales 2025. Invertimos como un pais de riesgo medio pero sufrimos ataques como un pais de riesgo alto.

Los 2 millones de Moncloa son una gota en el oceaño comparados con las cifras de otros paises. Pero lo verdaderamente preocupante no es la cifra absoluta, sino que sea una respuesta reactiva a un incidente concreto en lugar de parte de un plan estrategico plurianual. La ciberseguridad no se resuelve con cheques puntuales: requiere inversion sostenida, gobernanza clara y cultura organizativa.

Un dato que me parece revelador: Estonia, un pais con un PIB 40 veces menor que el de España, invierte más per capita en ciberseguridad que nosotros. Despues de sufrir un ciberataque masivo ruso en 2007 que paralizo servicios bancarios, medios de comunicación y administraciones públicas durante semanas, Estonia convirtio la ciberseguridad en una prioridad nacional. Creo el CERT-EE, desarrollo la infraestructura de identidad digital más avanzada de Europa (e-Residency), y exporta su expertise en ciberseguridad a otros paises. El resultado: Estonia es hoy uno de los paises más resilientes del mundo frente a ciberataques.

España necesita su propio “momento Estonia”: un punto de inflexion que transforme la ciberseguridad de un gasto reactivo a una inversion estrategica. La pregunta es si los 2 millones de Moncloa serán ese punto de inflexion o simplemente otro parche que olvidaremos cuando cambie el ciclo de noticias.

El factor humano: por que la tecnología sola no basta

Hay algo que repito a todos mis clientes y que el caso de Moncloa ilustra perfectamente: puedes tener la mejor tecnología del mundo, pero si las personas no saben usarla o los procesos no funcionan, la tecnología es inutil.

El sistema anti-APT de Moncloa era, presumiblemente, una solución de gama alta. Pero cuando dejo de recibir actualizaciones, nadie activo un plan alternativo durante 100 días. Esto no es un fallo tecnologico: es un fallo humaño y de procesos.

En mis peritajes, las causas raiz de los incidentes se distribuyen de forma bastante consistente:

Causa raiz	Porcentaje de incidentes	Ejemplo típico
Factor humaño (phishing, errores)	68%	Empleado abre adjunto malicioso
Configuración incorrecta	12%	Servidor con puerto abierto a internet
Vulnerabilidad no parcheada	10%	Software sin actualizar durante meses
Fallo de proveedor externo	6%	Proveedor comprometido (cadena suministro)
Ataque dirigido sofisticado	4%	APT con zero-day (el caso de Moncloa)

Lo que me dice esta distribucion es que el 90% de los incidentes que peritifico podrían haberse prevenido con medidas que no requieren tecnología cara: formación del personal, configuraciones revisadas y parches al dia. Solo el 4% de los casos que veo involucran atacantes tan sofisticados que ni siquiera las mejores defensas los habrían detenido.

Esto tiene una implicacion directa para las PYMEs: no necesitas gastar lo que gasta Moncloa para protegerte del 90% de las amenazas que vas a enfrentar. Necesitas personal formado, sistemás actualizados y procesos documentados. Las tres cosas juntas cuestan menos que un solo puesto de trabajo a tiempo completo.

Un caso que ilustra esto de forma muy grafica: una empresa de 25 empleados del sector textil con la que trabaje habia invertido 15.000 euros en un firewall de nueva generacion tras sufrir un intento de intrusion. Pero no habia formado a su personal en ciberseguridad. Tres meses después del despliegue del firewall, una empleada del departamento de contabilidad recibio un email que suplantaba a un proveedor habitual, hizo clic en el enlace e introdujo las credenciales del ERP. Los atacantes accedieron al sistema de facturacion, modificaron los datos bancarios de 3 proveedores y la empresa pago 47.000 euros a cuentas controladas por los estafadores antes de darse cuenta. El firewall era excelente, pero el ataque no paso por el firewall: paso por la bandeja de entrada de una persona sin formación.

La formación en ciberseguridad no tiene que ser compleja ni cara. En mis sesiones con PYMEs, dedico 2 horas a lo esencial:

Como identificar emails de phishing (los 5 indicadores clave)
Por que nunca debes compartir contraseñas ni usar la misma en multiples servicios
Que hacer si recibes un email o mensaje sospechoso (no hacer clic, reportar al responsable)
Como funciona la autenticación de dos factores y por que es tu mejor aliado
Que hacer si crees que tu equipo esta comprometido (desconectar de la red, no apagar, avisar)

Dos horas. 300-600 euros si contratas un formador externo. Y con eso reduces los clics en phishing en un 60-70%. Es la inversion con mayor retorno de toda la ciberseguridad.

La cultura de seguridad: el intangible que marca la diferencia

Mas alla de la formación puntual, lo que realmente diferencia a las organizaciones que resisten los ciberataques de las que sucumben es algo más difícil de medir: la cultura de seguridad.

Una organización con cultura de seguridad es aquella donde:

Los empleados reportan emails sospechosos sin miedo a que les reganen por “molestar”
El equipo de TI puede decir “no” a un director que quiere saltarse una politica de seguridad
Las actualizaciones de seguridad se aplican aunque interrumpan el trabajo durante 15 minutos
Los incidentes se analizan para aprender, no para buscar culpables
La seguridad se considera una responsabilidad de todos, no solo del informático

En mis peritajes, la correlación entre cultura de seguridad y capacidad de respuesta es directa. Las empresas donde los empleados reportaron emails sospechosos detectaron las brechas en una medía de 2 días. Las empresas donde nadie reporto nada tardaron una medía de 4 meses en descubrir la brecha. La diferencia en coste fue de un factor de 10.

Construir esta cultura no requiere inversion económica. Requiere liderazgo. Si el CEO o el gerente de la empresa trata la ciberseguridad como una prioridad (asiste a las formaciones, cumple las politicas de contraseñas, pregunta por las metricas de seguridad), el resto de la organización lo hará también. Si el CEO pide que le eximan del MFA porque es “muy molesto”, acaba de enviar un mensaje a toda la organización: la seguridad no importa.

En el caso de Moncloa, la pregunta de fondo no es cuanto dinero se gasta en tecnología. Es si existe una cultura institucional donde la ciberseguridad se trata con la misma seriedad que la seguridad física. Porque ningun sistema anti-APT del mundo compensa una cultura organizativa donde se acepta que un sistema crítico deje de funcionar durante 100 días sin que salten todas las alarmas.

Marco legal: las obligaciones que Moncloa y las empresas tienen tras un incidente

Normativa aplicable

Directiva NIS2 (UE) 2022/2555: Obligación de notificación en 24 horas y medidas de ciberseguridad proporcionales. España aun no la ha transpuesto (la UE investiga por incumplimiento)
RGPD - Reglamento (UE) 2016/679: Notificación a la AEPD en 72 horas cuando una brecha afecta a datos personales. Sanciones de hasta 20 millones de euros o el 4% de la facturacion global
ENS - Real Decreto 311/2022: Obligatorio para todas las administraciones públicas. Establece los requisitos mínimos de seguridad que Moncloa debería haber cumplido
LOPDGDD: Artículo 73 (infracciones graves por falta de medidas de seguridad adecuadas)
Ley 36/2015 de Seguridad Nacional: Marco de coordinacion ante amenazas a la seguridad del Estado
Código Penal: Artículo 264 (daños informáticos), 264 bis (obstaculizacion de sistemas), 197 bis (acceso ilícito)

Lo que me resulta especialmente significativo es que España sigue sin transponer la Directiva NIS2 mientras Moncloa gasta 2 millones en reparar daños que un marco regulatorio actualizado podría haber prevenido. La NIS2 exige, entre otras cosas, una gestión de riesgos de la cadena de suministro TIC, que es exactamente lo que fallo cuando el proveedor del sistema anti-APT dejo de dar servicio. Si quieres entender como afecta la NIS2 a tu organización, he escrito un análisis completo en mi post sobre la NIS2 y sus implicaciones para empresas españolas.

El caso de Moncloa ilustra una paradoja que veo constantemente en mis peritajes: las organizaciones que más datos sensibles manejan no siempre son las que más invierten en protegerlos. El ENS (Esquema Nacional de Seguridad) lleva vigente desde 2010, con su actualizacion en 2022, y establece requisitos de seguridad obligatorios para todas las administraciones públicas. Que un sistema crítico como el anti-APT de la Presidencia del Gobierno pueda quedar sin actualizaciones durante 100 días sugiere que los mecanismos de supervision del cumplimiento del ENS necesitan una revision profunda.

Para las empresas privadas, la leccion es clara: cumplir con la normativa no es solo una obligación legal, es una inversion en supervivencia. Las empresas que puedo certificar pericialmente como cumplidoras del RGPD, la LOPDGDD y, cuando aplique, la NIS2 tienen una ventaja doble: reducen su riesgo real de sufrir un incidente y, si este se produce, pueden demostrar diligencia debida ante la AEPD, los tribunales y sus aseguradoras.

Un dato que muchos empresarios desconocen: las aseguradoras de ciberriesgos estan endureciendo sus requisitos de suscripción. En 2025, el 40% de las solicitudes de polizas ciber en España fueron rechazadas o requirieron medidas adicionales antes de la aprobacion, según datos del sector asegurador.

Tener un informe pericial que acredite el nivel de seguridad de tu empresa no solo te protege legalmente: te facilita el acceso a un seguro que puede ser la diferencia entre sobrevivir a un incidente o cerrar. Es un circulo virtuoso: inviertes en seguridad, puedes demostrar tu nivel de protección, accedes a un seguro ciber con primás razonables, y si ocurre un incidente, tienes un respaldo financiero que te permite sobrevivir mientras te recuperas.

Cronograma de implementacion: como pasar de cero a protegido en 90 días

Si has llegado hasta aquí y tu empresa no tiene medidas de ciberseguridad, no intentes implementar todo de golpe. En mi experiencia asesorando PYMEs, el enfoque más efectivo es un plan escalonado de 90 días que prioriza las medidas por impacto:

Semana 1-2: Las medidas inmediatas (coste: 0-500 euros)

Estas son las acciones que puedes hacer hoy mismo, sin inversion económica significativa, y que reducen tu superficie de ataque inmediatamente:

Activar MFA en todos los servicios críticos: Email, banca online, panel de hosting, ERP. Es gratuito y bloquea el 99.9% de los ataques de credenciales comprometidas según Microsoft
Verificar que Windows Update esta activo en todos los equipos y que no hay actualizaciones pendientes de semanas o meses
Cambiar las contraseñas por defecto de todos los dispositivos de red: router, switch, NAS, impresoras en red, camaras IP. Las contraseñas por defecto son públicas y los atacantes las prueban automáticamente
Desactivar el acceso remoto (RDP, VNC) si no lo necesitas. Si lo necesitas, ponerlo detras de una VPN. El RDP expuesto a internet es uno de los vectores de ataque más comunes que veo en mis peritajes
Hacer una copia de seguridad manual de los datos críticos en un disco externo que guardes desconectado y fuera de la oficina. No es la solución definitiva, pero es infinitamente mejor que no tener nada

Semana 3-4: Las defensas básicas (coste: 1.000-3.000 euros)

Desplegar un EDR en todos los equipos. Microsoft Defender for Business (incluido en Microsoft 365 Business Premium) es suficiente para la mayoria de PYMEs y cuesta unos 20 euros por usuario al mes
Configurar backup automatizado a la nube con la regla 3-2-1. Soluciónes como Backblaze, Wasabi o incluso Google Workspace/Microsoft 365 con configuración adecuada ofrecen backup offsite a costes muy razonables
Contratar un seguro de ciberriesgos básico. Las primás para PYMEs empiezan en 800-1.500 euros anuales y te dan acceso a equipo de respuesta 24h, algo que por tu cuenta costaria miles de euros

Mes 2: Procesos y personas (coste: 1.500-4.000 euros)

Sesion de formación para todo el personal. 2 horas, presencial o virtual, con simulación de phishing incluida
Documentar un plan de respuesta básico (ver seccion anterior de este artículo)
Revisar la configuración del firewall (si tienes uno) o contratar un firewall gestionado
Inventario de activos críticos: saber que tienes, donde esta y que pasaria si lo pierdes

Mes 3: Consolidacion y verificación (coste: 1.000-3.000 euros)

Primer simulacro de respuesta a incidentes: Probar el plan con un escenario ficticio
Verificación del backup: Restaurar los datos en un entorno de prueba para confirmar que funciona
Primera evaluación de riesgos formal: Puede ser un autodiagnostico con las herramientas de INCIBE o una evaluación externa si el presupuesto lo permite
Revision de proveedores críticos: Confirmar que tus proveedores de TI tienen medidas de seguridad y planes de respuesta

Al final de los 90 días, tu empresa habrá pasado de estar completamente desprotegida a tener un nivel de seguridad básico que te protege del 80-90% de las amenazas comunes. No es perfecto, pero es infinitamente mejor que nada. Y el coste total del programa de 90 días (entre 3.500 y 10.500 euros) es una fraccion del coste de un solo incidente.

Para empresas que quieran ir más alla del nivel básico, ofrezco un servicio de consultoria y asesoramiento que incluye evaluación de riesgos personalizada, plan de mejora priorizado y acompanamiento durante la implementacion.

Senales de alerta: como saber si tu empresa ya ha sido comprometida

Antes de cerrar la parte práctica del artículo, quiero compartir las senales que deberían hacer saltar las alarmas. En muchos de los peritajes que realizo, el ataque llevaba semanas o meses activo antes de que la empresa se diera cuenta. Estas son las senales que deberían hacer que llames a un profesional inmediatamente:

Rendimiento anormal de los equipos: Ordenadores que de repente van mucho más lentos de lo habitual, ventiladores que se activan constantemente (puede indicar criptomineria)
Conexiones de red inusuales: Tu router o firewall muestra trafico a direcciones IP que no reconoces, especialmente de madrugada o en fin de semana
Cuentas de correo que envian emails solos: Clientes o proveedores te preguntan por emails que tu no has enviado
Archivos modificados sin explicación: Documentos que cambian de fecha de modificación, archivos nuevos que no creaste o carpetas que aparecen vacias
Intentos de acceso fallidos: Notificaciones de intentos de inicio de sesion en tus servicios en la nube desde ubicaciones o dispositivos que no reconoces
Software desconocido: Programás instalados que nadie recuerda haber instalado, extensiones de navegador que aparecen solas
Antivirus desactivado: Si tu antivirus o EDR se desactiva solo, es una senal casí inequivoca de compromiso. Los atacantes desactivan las defensas como primer paso antes de desplegar el payload
Alertas del banco: Transferencias no autorizadas, cambios en datos de contacto que no solicitaste, intentos de acceso desde dispositivos desconocidos

Si detectas alguna de estas senales, no apagues el equipo (destruyes evidencia), desconectalo de la red y contacta con un profesional. El tiempo es crítico: cada hora que pasa sin actuar es una hora que el atacante tiene para profundizar en tus sistemas, exfiltrar más datos o preparar el despliegue del ransomware.

Preguntas frecuentes

Son 2 millones de euros suficientes para proteger la Presidencia del Gobierno?

En mi opinion profesional, no. Los 2 millones de euros cubren la respuesta al incidente y el refuerzo inmediato, pero no garantizan una protección sostenida a largo plazo.

La ciberseguridad no es un proyecto con principio y fin: es un proceso continuo que requiere inversion recurrente. Un programa de ciberseguridad adecuado para una institucion del nivel de Moncloa necesita una partida anual que incluya monitorizacion 24x7, actualizaciones continuas de los sistemás de detección, formación periodica del personal y ejercicios de red team al menos semestrales.

Para poner un ejemplo comparable, el gobierno del Reino Unido destina anualmente más de 2.600 millones de libras a su estrategia nacional de ciberseguridad, y Francia invierte más de 1.000 millones de euros anuales a traves de ANSSI. Incluso paises más pequeños como Estonia, que sufrio un ciberataque masivo en 2007, han convertido la ciberseguridad en una prioridad presupuestaria permanente. Si la inversion de 2 millones de Moncloa es un gasto puntual y no el inicio de un presupuesto recurrente, estamos ante un parche, no una solución.

Que debería hacer una PYME española que no tiene presupuesto de ciberseguridad?

Lo primero es dejar de pensar que la ciberseguridad es un lujo. Con 3.000-5.000 euros anuales, una PYME puede implementar medidas básicas que reducen drasticamente su superficie de ataque:

Un firewall perimetral actualizado con reglas revisadas trimestralmente
Un sistema EDR en todos los endpoints (ordenadores y servidores)
Copias de seguridad 3-2-1 verificadas mensualmente (3 copias, 2 soportes, 1 offsite)
Autenticación multifactor (MFA) en todos los accesos críticos: email, VPN, panel de administración
Una sesion de formación semestral para todo el personal, con simulación de phishing incluida

Si tu empresa maneja datos sensibles de clientes o proveedores y no tiene estas medidas mínimas, un perito informático puede realizar una evaluación de riesgos y ayudarte a priorizar las inversiones en función de tu presupuesto real. Ademas, INCIBE ofrece herramientas gratuitas de autodiagnostico que sirven como punto de partida para PYMEs con recursos limitados.

Puede una empresa reclamar judicialmente si su proveedor de ciberseguridad deja de dar servicio?

Si, y es un escenario que he peritado en varias ocasiones.

Si el contrato de servicio incluye un SLA (acuerdo de nivel de servicio) con compromisos de disponibilidad y actualizacion, el incumplimiento por parte del proveedor genera responsabilidad contractual.

La clave esta en la documentación: necesitas pruebas forenses del momento exacto en que el servicio dejo de funcionar, los daños derivados de la falta de cobertura y la relación causal entre ambos.

Un informe pericial informático que acredite la cadena de causalidad es fundamental para que la reclamación prospere en via judicial.

En el caso de Moncloa, si el fabricante del sistema anti-APT incumplio los terminos contractuales de actualizacion, la Administración tendría legitimacion para reclamar por daños, aunque la complejidad de los contratos públicos y la Ley de Contratos del Sector Público anade capas adicionales al proceso.

Para empresas privadas, el consejo es claro: revisa las cláusulas de SLA de tu proveedor de seguridad, asegurate de que incluyen compromisos concretos de tiempo de respuesta y actualizacion, y conserva toda la documentación que demuestre el cumplimiento o incumplimiento.

Si llega el momento de reclamar, esa documentación vale más que cualquier argumento verbal.

Los elementos que deben estar en cualquier SLA de ciberseguridad:

Tiempo máximo de respuesta ante incidentes (medido en horas, no en días)
Compromiso de actualizacion de firmás y reglas (frecuencia mínima diaria)
Disponibilidad del servicio (mínimo 99.9% para servicios críticos)
Penalizaciones automáticas por incumplimiento (descuentos proporcionales al tiempo de indisponibilidad)
Cláusula de continuidad en caso de cambio de proveedor (mantenimiento del servicio durante la transicion)
Obligación de notificación inmediata si el proveedor sufre un incidente que pueda afectar a sus clientes

Cuanto cuesta un seguro de ciberriesgos para una PYME en España?

Las primás varian significativamente según el tamaño de la empresa, el sector, el volumen de datos que maneja y las medidas de seguridad existentes. Como referencia general: una PYME de 10-50 empleados del sector servicios puede esperar primás de entre 1.500 y 4.000 euros anuales para coberturas de 250.000-500.000 euros. Empresas del sector sanitario o financiero, que manejan datos especialmente sensibles, pagan primás un 30-50% superiores.

Lo que muchas empresas no saben es que las aseguradoras ofrecen descuentos significativos (hasta un 25%) si la empresa puede demostrar que tiene medidas de seguridad básicas implementadas: MFA, backup verificado, formación del personal y un plan de respuesta a incidentes. Un informe pericial que acredite estas medidas puede amortizarse en un solo año con el ahorro en la prima del seguro.

Que es un sistema anti-APT y por que es tan caro?

Un sistema anti-APT (Advanced Persistent Threat) es una plataforma de seguridad disenada para detectar y neutralizar ataques sofisticados que los antivirus convencionales no pueden identificar. Mientras un antivirus busca firmás de malware conocido, un anti-APT analiza el comportamiento de los archivos, las comunicaciones de red y las actividades de los usuarios para identificar patrones anormales que indiquen una intrusion avanzada.

Los sistemás anti-APT empresariales como CrowdStrike Falcon, Palo Alto Cortex XDR o Microsoft Defender for Endpoint (plan P2) cuestan entre 30 y 80 euros por endpoint al año para empresas grandes. Para una organización como Moncloa, con cientos de endpoints y requisitos de certificación especiales, el coste total puede alcanzar facilmente los 500.000-800.000 euros anuales incluyendo licencias, despliegue, integracion y soporte premium.

Que diferencia hay entre un SOC y un MDR?

Un SOC (Security Operations Center) es un centro de operaciones de seguridad con personal dedicado que monitoriza los sistemás de una organización 24x7. Un MDR (Managed Detection and Response) es un servicio externalizado que proporciona la misma capacidad de detección y respuesta pero gestionado por un proveedor especializado. Para la mayoria de PYMEs, el MDR es la opcion más coste-efectiva porque no requiere contratar personal propio de ciberseguridad, que en España es escaso y caro (un analista SOC junior cobra entre 28.000 y 35.000 euros anuales).

Como puedo saber si mi empresa necesita cumplir la NIS2?

La NIS2 clasifica las organizaciones en dos categorías: “esenciales” e “importantes”. Las esenciales incluyen sectores como energia, transporte, banca, sanidad, agua potable e infraestructura digital. Las importantes incluyen servicios postales, gestión de residuos, industria quimica, alimentacion, fabricacion y servicios digitales. Si tu empresa opera en alguno de estos sectores y tiene más de 50 empleados o factura más de 10 millones de euros, es muy probable que este incluida. Pero ojo: incluso empresas más pequeñas pueden estar incluidas si son proveedores críticos de entidades esenciales.

Cuanto tarda una empresa en recuperarse completamente de un ciberataque grave?

Depende enormemente de la preparación previa de la empresa.

Según los datos de IBM, el tiempo medio de contencion de una brecha es de 73 días. Pero la recuperación completa, entendida como la vuelta a la operativa normal con todos los sistemás restaurados, los datos verificados y la confianza de clientes y proveedores recuperada, suele tardar entre 3 y 12 meses.

En mis peritajes, el caso más rápido de recuperación completa fue de 6 semanas. Era una empresa con plan de respuesta documentado, backup verificado mensualmente y seguro ciber que cubrio la respuesta forense y la pérdida de beneficios.

El caso más lento fue de 14 meses. Era una empresa sin backup, sin plan y sin seguro. Tuvieron que reconstruir toda la infraestructura desde cero, recuperar datos manualmente de facturas impresas y correos electrónicos de clientes, y reconquistar la confianza de proveedores que habian dejado de trabajar con ellos.

La diferencia entre 6 semanas y 14 meses es, basicamente, la diferencia entre haber invertido 10.000 euros anuales en preparación y no haber invertido nada.

Que hago si mi empresa sufre un ciberataque ahora mismo?

Este es el protocolo de emergencia que recomiendo a todos mis clientes:

Paso 1: No apagues los equipos. Apagar un equipo destruye la memoria RAM, donde se encuentran muchas de las evidencias forenses más valiosas: procesos activos del malware, conexiones de red abiertas, claves de cifrado en uso. Si apagas, esa evidencia desaparece para siempre.

Paso 2: Desconecta los equipos afectados de la red. Desconecta el cable de red y desactiva el wifi. Esto impide que el ataque se propague a otros equipos y corta la comunicación del malware con los servidores de los atacantes.

Paso 3: Llama al 017 de INCIBE. Es gratuito, confidencial y esta operativo de 8:00 a 23:00 todos los días del año. Te orientaran sobre los pasos inmediatos mientras consigues ayuda especializada.

Paso 4: Contacta con un perito informático forense. La preservación de evidencias debe hacerse en las primeras horas para que tengan validez judicial. Cada minuto que pasa sin preservar las evidencias es información que puede perderse o contaminarse.

Paso 5: Notifica a tu aseguradora si tienes poliza ciber. La mayoria de polizas exigen notificación en las primeras 24-48 horas. Si tardas mas, pueden reducir o denegar la cobertura.

Paso 6: No pagues ningun rescate sin asesoramiento profesional. El pago no garantiza la recuperación de los datos (solo el 65% de las empresas que pagan recuperan todos sus datos según Sophos), puede ser ilegal si los fondos acaban financiando organizaciones sancionadas, y te convierte en un objetivo preferente para futuros ataques.

Paso 7: Documenta todo. Desde el momento en que detectas el incidente, anota las horas, las acciones que tomas, las personas con las que hablas y las decisiones que se toman. Esta documentación será esencial para el peritaje, la reclamación al seguro y, si procede, la denuncia ante la policia.

Paso 8: Prepara la notificación a la AEPD. Si hay datos personales afectados, tienes 72 horas para notificar a la Agencia Española de Protección de Datos. No esperes a tener todos los detalles: la primera notificación puede ser preliminar y completarse después.

Puede un perito informático ayudarme a negociar con mi aseguradora tras un incidente?

Si. De hecho, es uno de los servicios que más demandan mis clientes.

El informe pericial documenta con precision:

El alcance exacto del incidente (que sistemás fueron afectados, que datos se comprometieron)
Los daños sufridos (económicos, operativos, reputacionales)
Las causas técnicas del incidente (vector de ataque, vulnerabilidad explotada)
Las medidas de seguridad que la empresa tenia implementadas en el momento del ataque
La cronologia detallada de los eventos, desde la intrusion hasta la detección y respuesta

Esta documentación es esencial para que la aseguradora no reduzca la indemnizacion alegando falta de diligencia.

En varios casos, mi informe pericial ha sido la diferencia entre una cobertura total y una parcial, o incluso entre una cobertura y una denegacion.

Un ejemplo concreto: una empresa mediana habia sufrido un ataque BEC (Business Email Compromise) con pérdidas de 85.000 euros. La aseguradora inicialmente denegó la cobertura alegando que la empresa no tenia MFA activado, requisito de la poliza. Mi informe demostro que el ataque no habia explotado la falta de MFA (el atacante habia comprometido al proveedor, no las credenciales de la empresa) y la aseguradora finalmente pago la indemnizacion completa. Sin el informe pericial, habrían perdido los 85.000 euros.

Necesitas evaluar la ciberseguridad de tu organización?

Ofrezco evaluaciones de riesgos de ciberseguridad, análisis forense de incidentes y peritajes judiciales con metodología ISO 27037. Si tu empresa ha sufrido un incidente o quieres prevenir uno, la consulta inicial es gratuita.

Solicitar consulta gratuita

El coste de la inaccion: una reflexion personal

Quiero cerrar este análisis con una reflexion que va más alla de los números y las tablas.

Llevo años dedicandome al peritaje informático forense y, con diferencia, los casos que más me afectan profesionalmente son aquellos en los que el daño era completamente evitable. No hablo de los ataques sofisticados tipo APT que requieren millones en defensas. Hablo de la PYME que pierde toda su facturacion porque nadie activo el backup automático. Del autonomo que pierde 3 años de trabajo porque reutilizo la misma contraseña en todas partes. De la clinica dental que enfrenta una sanción de 100.000 euros porque sus historiales clinicos estaban en un servidor sin cifrar conectado directamente a internet.

Estos casos no aparecen en los periodicos. No generan titulares como el hackeo a Moncloa. Pero son los que destruyen vidas y negocios. Los 2 millones de Moncloa serán absorbidos por los Presupuestos Generales del Estado sin que ningun ciudadaño lo note directamente. Pero los 50.000 euros que le cuesta un ransomware a una empresa de fontaneria de 8 empleados pueden significar que esos 8 empleados se van al paro y que el propietario pierde el negocio que levanto durante 20 años.

Lo que me frustra no es que las empresas no inviertan en ciberseguridad. Es que no saben que deberían hacerlo. Nadie se lo ha explicado en terminos que entiendan. Nadie les ha dicho que con 200 euros al mes pueden protegerse del 90% de las amenazas. Nadie les ha ensenado que MFA es gratuito y que activarlo lleva 10 minutos. La brecha no es solo tecnologica o económica: es informativa.

Por eso escribo estos artículos. Porque cada empresario que lea esto y active el MFA en su correo manana, cada gestor que contrate un backup en la nube, cada abogada que deje de reutilizar contraseñas, es un peritaje menos que tendre que hacer sobre un desastre evitable. Y, sinceramente, prefiero hacer peritajes sobre incidentes bien gestionados donde la empresa sobrevivio, que sobre catastrofes donde llego demasiado tarde.

Si algo te llevas de este artículo, que sea esto: los 2 millones de Moncloa son la consecuencia de no haber invertido a tiempo. No dejes que tu empresa sea la próxima en aprender esa leccion por las malas.

Si necesitas orientación sobre por donde empezar, la primera consulta es gratuita y sin compromiso. Contacta conmigo aqui.

A lo largo de mi carrera como perito forense, he aprendido que la ciberseguridad no es un problema tecnologico. Es un problema de gestión de riesgos, de cultura organizativa y de prioridades. La tecnología es solo una herramienta. Lo que realmente protege a una organización es la decisión consciente de que la protección de sus datos, sus sistemás y sus personas es una prioridad que merece atencion, presupuesto y liderazgo.

Moncloa acaba de aprender esa leccion por 2 millones de euros. Tu empresa puede aprenderla por mucho menos.

Las herramientas estan disponibles. Los recursos públicos existen. Los profesionales estamos aquí. Lo único que falta es la decisión de actuar.

No la pospongas.