El 27 de junio, Día Internacional de la Pequeña y Mediana Empresa, el foco se encuentra en uno de los retos más apremiantes para el tejido empresarial español: la ciberseguridad en las pymes.
Aunque la transformación digital avanza a buen ritmo, una parte considerable de estas empresas sigue sin cumplir con los estándares internacionales que garantizan la protección frente a amenazas digitales cada vez más sofisticadas.
España cuenta actualmente con más de 2,9 millones de pequeñas y medianas empresas, según los últimos datos del Directorio Central de Empresas (DIRCE) del Instituto Nacional de Estadística (INE).
Representan más del 99 % del total del tejido empresarial del país, y generan aproximadamente dos tercios del empleo privado. Sin embargo, a pesar de su peso económico y social, muchas de estas compañías aún no han implementado medidas suficientes para adaptarse a las exigencias normativas en materia de ciberseguridad.
Las pymes españolas están aún lejos del objetivo
La ciberseguridad se ha convertido en una prioridad en el contexto empresarial europeo. Directivas como la NIS2 o reglamentos como el RGPD establecen obligaciones cada vez más estrictas en áreas como la gestión de riesgos, el cifrado de datos o la respuesta ante incidentes.
No obstante, un nuevo informe revela que una mayoría de las empresas medianas españolas no está preparada.
El Barómetro de la Ciberseguridad en la Mediana Empresa, elaborado por Cylum, plataforma TIC de la firma española Factum, señala que el 62 % de estas empresas no cumple todavía con los estándares internacionales en materia de ciberseguridad.
El dato es especialmente relevante en un 2025 en el que muchas organizaciones están adecuando sus operaciones a nuevas normativas europeas que buscan crear un espacio digital más seguro y resiliente.
Este déficit de cumplimiento genera no solo riesgos operativos, sino también una clara desventaja competitiva. La falta de preparación frente a ciberataques puede comprometer datos sensibles, operaciones críticas y la propia continuidad del negocio, afectando también a la confianza de socios, proveedores y clientes.
Normas más exigentes pero también recursos limitados en las pymes
La entrada en vigor de normativas como NIS2 supone un punto de inflexión para las pymes que operan en sectores considerados esenciales o que prestan servicios críticos. Esta directiva exige a las empresas la adopción de protocolos avanzados de ciberseguridad, evaluaciones de riesgos periódicas y respuestas ágiles ante cualquier incidente.
Iosu Arrizabalaga, CEO de Factum, subraya que “estas normas son un avance para garantizar la seguridad en todo su ciclo de vida y proteger un futuro cada vez más digital”. Sin embargo, reconoce que “las medianas empresas disponen de presupuestos más ajustados y, en muchos casos, carecen de equipos internos especializados, lo que dificulta su capacidad de adaptación”.
El propio directivo remarca que la solución no pasa necesariamente por internalizar todos los servicios, sino por apoyarse en soluciones externas diseñadas específicamente para pymes.
Las pymes se enfrentan a más ciberamenazas
Más allá de las exigencias normativas, las pequeñas y medianas empresas se enfrentan a una sofisticación creciente de los ciberataques. Ya no se trata solo de ataques indiscriminados, sino de amenazas que buscan vulnerabilidades específicas en organizaciones con menor capacidad de defensa.
Los informes más recientes destacan cómo el ransomware y el phishing siguen siendo los métodos más empleados, pero se suman nuevas tácticas que evolucionan con rapidez.
Entre las amenazas más habituales se encuentran los ataques a contraseñas mediante técnicas de fuerza bruta, la suplantación de identidad a través del spoofing, y los ataques distribuidos de denegación de servicio (DDoS).
Además, el uso de técnicas como OSINT para recopilar información pública de las empresas —incluidos datos filtrados en la red— permite a los atacantes planificar acciones dirigidas con mayor precisión.
El incremento de la conectividad mediante dispositivos IoT, la migración de sistemas a la nube y la digitalización de procesos internos exponen a las pymes a un panorama de riesgos que exige estrategias más avanzadas de protección.
Consejos para hacer de tu pyme un espacio más seguro
Desde Factum insisten en que la solución pasa por una combinación de inversión, tecnología y cultura de seguridad. Realizar auditorías de forma periódica, implementar herramientas de monitorización en tiempo real y establecer planes de respuesta a incidentes son pasos fundamentales. Asimismo, formar a los empleados en buenas prácticas digitales puede reducir significativamente la exposición al riesgo.
Uno de los puntos críticos es la necesidad de adaptar las medidas de seguridad al tamaño y recursos de cada empresa. Las soluciones pensadas para grandes corporaciones no siempre son aplicables a una pyme, y eso exige una oferta tecnológica flexible y personalizada.
