¿Qué lo hace o lo deshace?

La ciberseguridad tiene una forma familiar de decir que la tormenta llegará: “una infracción es una cuestión de cuándo, no de si sucederá”. Si bien la máxima más estricta de la industria probablemente nunca haya sido más cierta, a veces se siente como si también hubiera perdido parte de su ventaja con el paso de los años. Si bien todos están de acuerdo en que podría haber una «nube en el horizonte», ¿se apresurarán también a redactar o revisar sus plan de contingencia de TI ¿O comprometerse a un nivel de dolor operativo que su empresa pueda soportar mientras está bajo ataque?

Sin duda, un ciberincidente no le dará a nadie una fecha para prepararse. Las organizaciones sólo pueden asumir que esto llegará, eventualmente, de alguna forma y desde alguna dirección. Pero esa comprensión por sí sola claramente no los prepara para resistir un ataque. Una advertencia sólo cuenta cuando incita a la acción, y las empresas con mayores probabilidades de salir airosas son las que aprovecharon las horas de calma para obtener una visión clara de los riesgos clave y prepararse como si la fecha estuviera fijada.

Huecos y agujeros enormes

El Índice de preparación cibernética para PYMES de ESET 2026 se propusieron medir la brecha entre la frecuencia con la que las PYMES terminan en el punto de mira de los atacantes y la confianza con la que creen que pueden absorber el golpe. Encuestando a 4.400 tomadores de decisiones en Estados Unidos, Canadá, Europa, Medio Oriente y Japón, el informe encontró que el 45% de las pequeñas y medianas empresas (PYMES) registraron al menos un incidente cibernético en los últimos doce meses.

Un hallazgo aún más interesante es lo que sucede con la confianza después de un incidente real. A nivel mundial, el 75% de los encuestados se describen a sí mismos como muy o ligeramente confiados en su resiliencia, cifra que aumenta al 81% entre aquellos que ya han estado expuestos a más de un incidente. En Estados Unidos y Canadá, la confianza es aún mayor: 86% entre todos los encuestados y 91% entre la cohorte que ha sido vulnerada más de una vez.

En otras palabras, la confianza parece aumentar con frecuencia de incidentes, no a pesar de ello. ¿Las víctimas recurrentes han llegado a ver sus encuentros con los ciberincidentes como una prueba de que “lo que no me mata me hace más fuerte”? ¿O han hecho las paces con las infracciones como parte de sus negocios? Probablemente ninguna de las dos cosas: la encuesta encontró que muchas PYMES se han vuelto más preparadas, ayudadas por los requisitos de seguro, la presión de cumplimiento y una mejor capacitación en concientización sobre ciberseguridad.

Aún así, los mismos datos también apuntan a una persistente brecha entre sentirse preparado y tener las precauciones básicas implementadas. Por lo tanto, un ataque que no saque a una organización del negocio puede fortalecerla, siempre que aprenda las lecciones correctas, por supuesto. Pero también puede dejarlo más débil y menos capaz de evitar costosas penitencias en el futuro.

Cómo comienzan realmente la mayoría de los incidentes

Cuando se trata de las causas fundamentales de los ciberincidentes, los datos de ESET apuntan a las categorías menos «llamativas»: phishing (26%), vulnerabilidades sin parches (23%), brechas de monitoreo (22%) y contraseñas débiles (20%). Estas son las categorías que durante años han requerido más atención, pero en la mente de la gente a menudo son desplazadas por cualquier amenaza que domine los titulares de las noticias. A pesar de todo lo que se habla sobre la IA, la automatización y la sofisticación de los atacantes, muchas vulneraciones de las PYMES todavía comienzan con una apertura familiar.

Esta desconexión se refleja en lo que temen las PYMES: el malware impulsado por IA es la amenaza más citada a nivel mundial (31%), por delante del ransomware y otro malware (29%) y el phishing (26%). Michal Jankech, vicepresidente empresarial, PYMES y MSP de ESET, lo expresa claramente: «Hemos descubierto que las preocupaciones de las PYMES a menudo están determinadas por los titulares sobre amenazas emergentes como los ataques impulsados ​​por IA, mientras que los riesgos más rutinarios (phishing, vulnerabilidades sin parches y falta de monitoreo) se subestiman. Esto sugiere que muchos encuestados perciben erróneamente su postura de seguridad y su resiliencia».

Mientras tanto, Verizon Informe de investigaciones de vulneración de datos de 2026 (DBIR) registra la prioridad inversa por parte del atacante: sólo el 2,5% de las funciones de malware asistidas por IA utilizaban técnicas raras o novedosas. Otros hallazgos de DBIR también apuntan en la misma dirección: por primera vez en los diecinueve años de historia del informe, la explotación de vulnerabilidades ha superado a las credenciales robadas como principal vector de acceso inicial (31% de las infracciones), mientras que el tiempo medio para parchear creció de 32 a 43 días año tras año. En lo que respecta a las acciones específicas que afectan a las PYMES, el ransomware, las credenciales robadas y las vulnerabilidades explotadas volvieron a aparecer en la cima.

la hora dorada

La medicina de emergencia llama a esta ventana equivalente la «hora dorada», el período en el que la velocidad de respuesta determina si el daño es reversible. En ciberseguridad, las opciones son a partes iguales técnicas y de procedimiento. Detener la propagación de una «infección» a menudo requiere conocer el procedimiento, incluso cuando se trata de intercambiar una interrupción garantizada autoinfligida ahora para evitar una peor en el futuro. Quien pueda tomar o autorizar la decisión (por ejemplo, eliminar una base de datos de producción o desconectar los pagos) debe estar disponible en minutos.

El ransomware, una amenaza que constantemente acecha a organizaciones de todos los tamaños, pero que apunta de manera desproporcionada a las PYMES, también aparece temprano en la conversación. El pago medio del rescate asciende ahora a 140.000 dólares, según DBIR, y el 69% de las víctimas se niegan a pagar. En este sentido, la guía de contingencia de ESET y la mayoría de las autoridades policiales son directas en este punto: no pague.

Otro reloj arranca a la misma hora. Según el RGPD, por ejemplo, una violación de datos personales activa un plazo de notificación de 72 horas a la autoridad supervisora, independientemente de si la investigación ha concluido. Los registros y otras pruebas deben recopilarse en paralelo, porque las ciberaseguradoras y las fuerzas del orden los solicitarán, y lo que no se conserve en las primeras horas puede ser imposible de recuperar más adelante.

Por qué la preparación es la respuesta

Principales marcos de respuesta a incidentes, SP 800-61 del NIST, ISO/CEI 27035-1 y el NCSC Marco de evaluación cibernética (CAF), preparación inicial tratando la respuesta a incidentes como una actividad continua de gestión de riesgos. Pero la expectativa –la creencia de que llegará la hora– no es lo mismo que la preparación, por supuesto. Esta última es la decisión consciente de que, cuando llegue el momento, la empresa ya sabrá cómo abordar las cuestiones candentes con prontitud y podrá seguir funcionando a pesar de los contratiempos, lo que en sí mismo es una capacidad que es el núcleo de la verdadera resiliencia cibernética.

Sin duda, las respuestas correctas varían según el sector: una planta de fabricación considera la disponibilidad lo más importante posible, porque el tiempo de inactividad desperdicia dinero minuto a minuto; Mientras tanto, un hospital, donde un cierre incorrecto puede costar una vida, puede necesitar hacer un cálculo diferente. De cualquier manera, las decisiones sobre quién tiene la autoridad para cerrar un entorno generador de ingresos o qué servicios pueden volver a funcionar primero deben tomarse en las horas de calma, no sólo después de que «se desate el infierno».

La superficie de ataque actual es amplia, a menudo demasiado amplia, y una preparación real requiere que la organización reduzca el número de aperturas disponibles. Se sabe que los entornos de TI acumulan grasa operativa, como sistemas heredados no compatibles, API no documentadas o máquinas virtuales olvidadas, de la que no siempre es fácil deshacerse. Sin embargo, las organizaciones deben acostumbrarse a minimizar su huella en Internet, ya que es imposible defender un activo o parchear una vulnerabilidad que el equipo de TI no sabe que existe.

Las integraciones de la cadena de suministro crean su propio tipo de expansión, sin un propietario claro y con una huella de permisos excesiva. El informe de ESET pone una cifra en el costo: el 21% de las PYMES mencionan la complejidad de la integración como su segunda barrera más grande para la mejora, justo detrás, como habrá adivinado, del presupuesto. Según DBIR, la participación de terceros representa actualmente el 48% de todas las infracciones, un aumento interanual del 60%.

Mientras tanto, la disciplina llega cada vez más desde fuera. Un total del 71% de las PYMES a nivel mundial cuentan ahora con un seguro cibernético, cifra que aumenta al 84% en América del Norte, y la adopción aumenta considerablemente entre las víctimas recurrentes. Más de la mitad de las empresas aseguradas con múltiples historiales de incidentes (55 % en todo el mundo, 71 % en América del Norte) tienen controles específicos escritos en su cobertura: MFA, gestión de identidad y acceso, EDR o MDR. Sólo el 31% de las PYMES cree que el seguro por sí solo es una defensa suficiente, y el 67% a nivel mundial menciona el monocultivo de un solo proveedor como una preocupación.

Una vez que el polvo se haya asentado

La revisión posterior al incidente es el lugar para las preguntas, incluidas las desagradables sobre las precauciones que no se tomaron y las medidas de recuperación que se suponía que estaban bien pero que no se habían probado. Las organizaciones no deberían utilizar por defecto la versión en la que los atacantes tenían habilidades inusuales. A veces lo son, pero a menudo la realidad es más mundana.

Si bien “cuándo, no si” nunca ha sido más cierto, eso por sí solo no prepara a una empresa para la adversidad. Una advertencia sólo resulta útil cuando cambia lo que sucede antes de su vencimiento. El techo es más fácil de arreglar antes de que empiece a llover.