Las pequeñas y medianas empresas españolas se enfrentan a un contexto cada vez más complejo en materia de seguridad digital. La capacidad para resistir un ciberataque sigue siendo muy limitada, hasta el punto de que solo el 1% de las organizaciones afectadas ha conseguido evitar consecuencias en el último año.
Según el Informe de Ciberpreparación de Hiscox 2025 se da ya una realidad preocupante: la mayoría de compañías no logra contener el impacto de un ciberataque, lo que compromete tanto su operativa como su estabilidad financiera.
El aumento de la frecuencia y sofisticación de cada ciberataque ha elevado el nivel de exposición del tejido empresarial. Las pymes, con menos recursos y estructuras más vulnerables, se convierten en objetivos prioritarios para los atacantes.
El impacto económico sigue siendo la principal preocupación
Las consecuencias de un ciberataque continúan siendo principalmente económicas. El fraude por desvío de pagos se mantiene como la principal amenaza, afectando al 53% de las empresas, aunque esta cifra desciende ligeramente respecto al 55% registrado en 2024.
A pesar de esta leve mejora, el dato sigue muy por encima del 38% observado en 2023, lo que confirma la consolidación de este tipo de ataques.
Otros incidentes relevantes incluyen los ataques de denegación de servicio, que han impactado al 49% de las organizaciones. Aunque esta cifra baja desde el 51% del año anterior, continúa duplicando los niveles registrados hace apenas dos años.
Cada ciberataque en este ámbito supone interrupciones en la actividad y pérdidas de ingresos difíciles de recuperar.
El uso indebido de recursos tecnológicos, como el minado de criptomonedas o la creación de redes de dispositivos comprometidos, ha afectado al 43% de las empresas.
En paralelo, el ransomware sigue siendo una amenaza relevante, con un 31% de organizaciones afectadas, aunque en descenso respecto al 38% del ejercicio anterior.
Datos comprometidos y riesgos operativos
Las brechas de información continúan siendo uno de los efectos más sensibles tras un ciberataque. El 30% de las empresas ha sufrido pérdida de datos no cifrados, mientras que el 26% reporta filtraciones de información protegida. Aunque ambas cifras muestran una ligera reducción respecto a 2024, siguen evidenciando un nivel elevado de exposición.
Además, los incidentes relacionados con virus informáticos, excluyendo ransomware, han caído hasta el 20%, desde el 46% del año anterior.
Este descenso sugiere una mejora en determinadas áreas de protección, aunque no compensa el impacto global de cada ciberataque sobre las organizaciones.
Las empresas refuerzan sus sistemas de prevención
Ante este panorama, las compañías están intensificando sus estrategias de protección. Según el Informe de Ciberpreparación 2025 de Hiscox, el 72% de las organizaciones realiza verificaciones de vulnerabilidad al menos una vez al mes. Este tipo de análisis incluye pruebas de penetración y simulaciones diseñadas para detectar fallos antes de que sean explotados.
El nivel de actividad es elevado: el 18% de las empresas lleva a cabo estas comprobaciones semanalmente, mientras que un 26% lo hace varias veces al mes. Otro 28% realiza revisiones mensuales y un 19% opta por evaluaciones trimestrales. En conjunto, el 91% de las compañías analiza sus sistemas al menos una vez cada tres meses.
A pesar de estos esfuerzos, la efectividad frente a cada ciberataque sigue siendo limitada, lo que indica que la detección de vulnerabilidades no siempre se traduce en una protección efectiva.
La cadena de suministro, nuevo foco de riesgo
La seguridad ya no depende únicamente de los sistemas internos. La cadena de suministro se ha convertido en un vector clave en cualquier ciberataque. Los atacantes buscan puntos débiles en proveedores y socios para acceder a redes más amplias.
En este sentido, el 88% de las empresas evalúa los riesgos de ciberseguridad de sus colaboradores al menos una vez al trimestre. Un 18% realiza estas revisiones semanalmente, mientras que el 21% lo hace varias veces al mes y el 25% mensualmente. Otro 24% mantiene controles trimestrales.
En total, el 64% de las organizaciones analiza estos riesgos con una frecuencia mensual o superior, lo que refleja un cambio en la estrategia de defensa.
La seguridad ya no se limita a la infraestructura propia, sino que abarca todo el ecosistema empresarial.
Una concienciación creciente, pero insuficiente
Prácticamente la totalidad de las empresas españolas, un 99%, ha llevado a cabo algún tipo de evaluación de vulnerabilidades. Este dato evidencia un alto nivel de concienciación sobre los riesgos digitales. Sin embargo, la realidad demuestra que estas medidas no son suficientes para frenar el impacto de un ciberataque.
