La resiliencia digital, un reto para las pymes tras el aumento de incidentes cibernéticos

Centroamérica, 07 de julio de 2026.– La ciberseguridad en las pequeñas y medianas empresas (pymes)
no siempre recibe la atención que merece, incluso por parte de las propias organizaciones, y esto resulta
preocupante dado que representan el 90 % de las empresas del mundo, el 70 % del empleo global y el
50 % del PBI mundial, según el Foro Económico Mundial (WEF). Un nuevo informe de ESET, compañía
líder en detección proactiva de amenazas, detalla qué tan bien están posicionadas las pymes, cuáles son
sus mayores desafíos y qué debería ocurrir a continuación.
Para este tipo de organizaciones, la resiliencia cibernética es esencial: es decir, la capacidad de continuar
operando y recuperarse incluso durante un incidente grave. La preparación cibernética consiste en
implementar procesos y controles que permitan prevenir, detectar y responder a amenaza.
“En muchos aspectos, las pymes no difieren de las grandes empresas. Enfrentan un panorama de
amenazas que evoluciona rápidamente, con adversarios que aprovechan las tecnologías más recientes
para aumentar el volumen, la escala y la velocidad de los ataques. La superficie de ataque corporativa se
amplía con cada nueva herramienta digital y cada inversión tecnológica. Los empleados siguen siendo
una fuente de riesgo. Y las empresas deben cumplir con un número creciente de exigencias regulatorias”,
comenta Mario Micucci, investigador de seguridad informática de ESET Latinoamérica.
Según el informe de ESET, el 45 % de las pymes sufrió un incidente de ciberseguridad el año pasado, y un
porcentaje aún mayor (61 %) teme sufrir un ataque en los próximos 12 meses. Las principales
preocupaciones están relacionadas con la pérdida de datos, la interrupción operativa y el impacto
financiero.
Estas son las mismas preocupaciones que comparten los dueños de pymes con los CISO y los directorios
de las mayores multinacionales. Reflejan el carácter crítico de la preparación cibernética para el negocio
y explican por qué la seguridad debe funcionar como una condición operativa: no como una función
aislada del área de IT, sino como algo integrado en la cultura y en las operaciones del negocio. Este
cambio es clave porque, si bien muchas pymes logran recuperarse, el 34 % aún necesita entre dos y seis
semanas para resolver un incidente, un período de impacto operativo que puede resultar devastador
para muchas empresas.
El informe también revela que la mayoría de las pymes (73 %) está incorporando inteligencia artificial en
su negocio, aun cuando reconoce que esto introduce nuevos riesgos. También existen preocupaciones
sobre su potencial en manos equivocadas, de hecho, el malware impulsado por IA es mencionado como
la “amenaza más preocupante” por una pluralidad de los encuestados.

Desde ESET señalan que el malware que utiliza IA de forma automatizada y en tiempo real sigue siendo
poco común, pese a lo que puedan sugerir los titulares. Los casos observados son relativamente escasos,
lo que lo convierte más en un tema de investigación para especialistas que en una preocupación
inmediata para las pymes.
El phishing y las vulnerabilidades sin parchear encabezan la lista de los incidentes de ciberseguridad,
según un informe de Verizon, que los señala entre los tres principales vectores de acceso inicial para las
pymes. Las contraseñas débiles y la falta de monitoreo de seguridad también ocupan posiciones
destacadas en los datos de ESET.
Según el DBIR, el shadow AI es la tercera acción interna no maliciosa más común. La IA y la
automatización están ayudando a los actores de amenazas a mejorar sus capacidades y escalar sus
operaciones, especialmente en ingeniería social, investigación y explotación de vulnerabilidades y otras
amenazas “tradicionales”. Las pymes consultadas por ESET muestran interés en utilizar IA para combatir
estas amenazas, anticiparlas antes de que ocurran, identificar y mitigar ataques con mayor rapidez y
detectar ingeniería social.
Las pymes que adoptan programas de concientización en ciberseguridad están encaminadas hacia una
postura de mayor preparación. Sin embargo, ESET detectó que la adopción de capacitación es más alta
entre las empresas que han experimentado múltiples incidentes (81 % frente a 53 %). Estas
organizaciones también muestran una mayor confianza en su resiliencia, posiblemente porque
adoptaron de forma reactiva medidas de seguridad consideradas buenas prácticas. En este contexto,
cuatro de cada cinco encuestados consideran que su presupuesto de seguridad es suficiente o más que
suficiente, y la mitad espera que aumente el próximo año.
La confianza aumentó del 48 % en 2022 al 87 % este año. Para ESET, las pymes deberían seguir
enfocándose en:
– Tecnologías y procesos con enfoque preventivo, incluyendo capacitación, parches regulares y una
gestión sólida de identidades.
– Evaluaciones de riesgo realistas y periódicas que ayuden a priorizar inversiones en seguridad.
– Respuesta a incidentes que permita una recuperación más rápida y reduzca el impacto en el
negocio.
– Externalización de capacidades cuando corresponda, como servicios de detección y respuesta
gestionadas (MDR).
– Mejora del gobierno de IT para reducir el shadow IT y el shadow AI.
A pesar de una gestión presupuestaria cuidadosa, según la encuesta, una cuarta parte de las pymes
afirma que contar con más fondos les permitiría mejorar su postura de ciberseguridad con mayor
rapidez. La complejidad y la integración siguen siendo desafíos persistentes para quienes disponen de
menos recursos. Los encuestados señalan que buscan servicios y soluciones confiables, completos y
fáciles de usar.
“Si realmente se busca mejorar la preparación cibernética de las pequeñas empresas, la comunidad de
proveedores debería asumir un rol más activo. Aun así, no existe una solución única. Las pymes han
demostrado que están bien encaminadas hacia una mayor resiliencia, pero este es un proceso continuo

que evolucionará junto con la tecnología y las amenazas. La vigilancia constante y la capacidad de
adaptación serán claves a largo plazo” concluye Micucci, de ESET Latinoamérica.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *