Las pymes enfrentan una superficie de ataque creciente y ESET asegura que fortalecer la resiliencia en ciberseguridad es clave para reducir el impacto de los incidentes.

Centroamérica, 07 de julio de 2026.– La ciberseguridad en las pequeñas y medianas empresas (pymes) no siempre recibe la atención que merece, incluso por parte de las propias organizaciones, y esto resulta preocupante dado que representan el 90 % de las empresas del mundo, el 70 % del empleo global y el 50 % del PBI mundial, según el Foro Económico Mundial (WEF). Un nuevo informe de ESET, compañía líder en detección proactiva de amenazas, detalla qué tan bien están posicionadas las pymes, cuáles son sus mayores desafíos y qué debería ocurrir a continuación.
Para este tipo de organizaciones, la resiliencia cibernética es esencial: es decir, la capacidad de continuar operando y recuperarse incluso durante un incidente grave. La preparación cibernética consiste en implementar procesos y controles que permitan prevenir, detectar y responder a amenaza.
“En muchos aspectos, las pymes no difieren de las grandes empresas. Enfrentan un panorama de amenazas que evoluciona rápidamente, con adversarios que aprovechan las tecnologías más recientes para aumentar el volumen, la escala y la velocidad de los ataques. La superficie de ataque corporativa se amplía con cada nueva herramienta digital y cada inversión tecnológica. Los empleados siguen siendo una fuente de riesgo. Y las empresas deben cumplir con un número creciente de exigencias regulatorias”, comenta Mario Micucci, investigador de seguridad informática de ESET Latinoamérica.
Según el informe de ESET, el 45 % de las pymes sufrió un incidente de ciberseguridad el año pasado, y un porcentaje aún mayor (61 %) teme sufrir un ataque en los próximos 12 meses. Las principales preocupaciones están relacionadas con la pérdida de datos, la interrupción operativa y el impacto financiero.
Estas son las mismas preocupaciones que comparten los dueños de pymes con los CISO y los directorios de las mayores multinacionales. Reflejan el carácter crítico de la preparación cibernética para el negocio y explican por qué la seguridad debe funcionar como una condición operativa: no como una función aislada del área de IT, sino como algo integrado en la cultura y en las operaciones del negocio. Este cambio es clave porque, si bien muchas pymes logran recuperarse, el 34 % aún necesita entre dos y seis semanas para resolver un incidente, un período de impacto operativo que puede resultar devastador para muchas empresas.
El informe también revela que la mayoría de las pymes (73 %) está incorporando inteligencia artificial en su negocio, aun cuando reconoce que esto introduce nuevos riesgos. También existen preocupaciones sobre su potencial en manos equivocadas, de hecho, el malware impulsado por IA es mencionado como la “amenaza más preocupante” por una pluralidad de los encuestados.
Desde ESET señalan que el malware que utiliza IA de forma automatizada y en tiempo real sigue siendo poco común, pese a lo que puedan sugerir los titulares. Los casos observados son relativamente escasos, lo que lo convierte más en un tema de investigación para especialistas que en una preocupación inmediata para las pymes.
El phishing y las vulnerabilidades sin parchear encabezan la lista de los incidentes de ciberseguridad, según un informe de Verizon, que los señala entre los tres principales vectores de acceso inicial para las pymes. Las contraseñas débiles y la falta de monitoreo de seguridad también ocupan posiciones destacadas en los datos de ESET.
Según el DBIR, el shadow AI es la tercera acción interna no maliciosa más común. La IA y la automatización están ayudando a los actores de amenazas a mejorar sus capacidades y escalar sus operaciones, especialmente en ingeniería social, investigación y explotación de vulnerabilidades y otras amenazas “tradicionales”. Las pymes consultadas por ESET muestran interés en utilizar IA para combatir estas amenazas, anticiparlas antes de que ocurran, identificar y mitigar ataques con mayor rapidez y detectar ingeniería social.
Las pymes que adoptan programas de concientización en ciberseguridad están encaminadas hacia una postura de mayor preparación. Sin embargo, ESET detectó que la adopción de capacitación es más alta entre las empresas que han experimentado múltiples incidentes (81 % frente a 53 %). Estas organizaciones también muestran una mayor confianza en su resiliencia, posiblemente porque adoptaron de forma reactiva medidas de seguridad consideradas buenas prácticas. En este contexto, cuatro de cada cinco encuestados consideran que su presupuesto de seguridad es suficiente o más que suficiente, y la mitad espera que aumente el próximo año.
La confianza aumentó del 48 % en 2022 al 87 % este año. Para ESET, las pymes deberían seguir enfocándose en:
· Tecnologías y procesos con enfoque preventivo, incluyendo capacitación, parches regulares y una gestión sólida de identidades.
· Evaluaciones de riesgo realistas y periódicas que ayuden a priorizar inversiones en seguridad.
· Respuesta a incidentes que permita una recuperación más rápida y reduzca el impacto en el negocio.
· Externalización de capacidades cuando corresponda, como servicios de detección y respuesta gestionadas (MDR).
· Mejora del gobierno de IT para reducir el shadow IT y el shadow AI.
A pesar de una gestión presupuestaria cuidadosa, según la encuesta, una cuarta parte de las pymes afirma que contar con más fondos les permitiría mejorar su postura de ciberseguridad con mayor rapidez. La complejidad y la integración siguen siendo desafíos persistentes para quienes disponen de menos recursos. Los encuestados señalan que buscan servicios y soluciones confiables, completos y fáciles de usar.
“Si realmente se busca mejorar la preparación cibernética de las pequeñas empresas, la comunidad de proveedores debería asumir un rol más activo. Aun así, no existe una solución única. Las pymes han demostrado que están bien encaminadas hacia una mayor resiliencia, pero este es un proceso continuo que evolucionará junto con la tecnología y las amenazas. La vigilancia constante y la capacidad de adaptación serán claves a largo plazo” concluye Micucci, de ESET Latinoamérica.





