Solo el 27% de las pymes españolas cuenta con una estrategia de ciberseguridad plenamente implementada

pyme, ciberseguridad, ciberataques, seguridad, trabajo, oficina
Redacción

Apenas el 27 por ciento, una de cada cuatro, pymes españolas dispone de una estrategia de ciberseguridad completamente implementada, según el nuevo informe de Kaspersky How cyberattackers are targeting SMBs in Europe and Africa in 2025. El estudio ha revelado que la mayoría de las pequeñas y medianas empresas reconocen no estar suficientemente preparadas para hacer frente a las amenazas digitales, ya que un 62 por ciento admite que su estrategia «funciona mejor sobre el papel que en la realidad» o se limita a un conjunto de objetivos inconexos.

Además, un 38 por ciento de los responsables de TI confiesa tener dificultades incluso en aspectos básicos de la ciberseguridad, como la respuesta y resolución de incidentes. Esta falta de preparación práctica deja a muchas pymes vulnerables ante ciberataques cada vez más dirigidos y sofisticados.

A su vez, el informe muestra que más de dos tercios (84%) de las pymes españolas operan con planteamientos parciales o teóricos: el 62 por ciento asegura tener una estrategia aún sin desplegar completamente, y el 12 por ciento reconoce trabajar solo en torno a metas generales. Esta brecha entre planificación y aplicación se traduce en debilidades estructurales en las operaciones cotidianas de ciberseguridad.

Un problema en el tejido empresarial

Los resultados coinciden con los datos del Observatorio de Competitividad Empresarial de la Cámara de Comercio de España (2024), que ya advertía de que menos de la mitad de las empresas (46,8%) cuenta con un plan formal de seguridad digital. En el caso de las microempresas, la cifra se reduce al 29 por ciento. De hecho, solo un 34 por ciento ofrece formación específica en ciberseguridad a sus empleados, y entre las principales barreras destacan la falta de recursos económicos (28,4%) y de conocimientos técnicos (26,3%).

Ataques a pymes españolas

Entre enero y abril de 2025, España concentró el 10 por ciento de los ataques detectados en pymes, según Kaspersky. Austria lideró el ranking con un 40 por ciento, seguida de Italia (25%) y Alemania (11%). En el norte de África, Marruecos encabezó la lista con un 41 por ciento, seguido de Túnez (24%) y Argelia (6%).

Estas cifras confirman una tendencia: las pymes con estrategias incompletas o sin recursos especializados son las más vulnerables. En España, el 38 por ciento de los responsables de TI quiere mejorar su capacidad de respuesta ante incidentes, mientras que un 27 por ciento duda de que su protección de endpoints sea suficiente.

Entre las áreas de mejora que identifican los profesionales destacan:

  • Saber qué herramientas del mercado necesitan realmente (28%).
  • Garantizar la visibilidad en la nube y realizar evaluaciones de vulnerabilidades (23%).
  • Conocer la legislación y los requisitos normativos aplicables (22%).

Asimismo, un 28 por ciento no confía en que las evaluaciones de riesgo de sus proveedores reflejen la realidad de una empresa de su tamaño.

De la teoría a la práctica

«Uno de los errores más comunes en ciberseguridad es diseñar estrategias que funcionan sobre el papel, pero no en la práctica. Nuestra investigación muestra que dos de cada tres responsables de TI aún no han implementado de forma efectiva las medidas planificadas, lo que los deja expuestos a ataques cada vez más dirigidos a las pymes», ha explicado, al respecto, Óscar Suela, director general de Kaspersky Iberia.

Suela insiste en la necesidad de «pasar de la teoría a la acción e integrar la ciberseguridad en el día a día: en las operaciones, en la toma de decisiones y en la cultura interna».

Recomendaciones para mejorar la ciberresiliencia

Para ayudar a las pymes a fortalecer su defensa, Kaspersky recomienda:

  • Convertir los planes en protección aplicable, mediante soluciones como Kaspersky Next, que combina protección avanzada de endpoints con EDR y XDR.
  • Proteger con recursos limitados, con herramientas como Kaspersky Small Office Security, diseñadas para pequeñas empresas sin equipos de TI especializados.
  • Invertir en concienciación y formación, con programas escalables como la Plataforma Automatizada de Concienciación en Seguridad.
  • Fomentar una cultura de ciberresiliencia, implicando a todos los empleados en la detección y mitigación de riesgos.

Accede al informe completo aquí.