En 2024, el 60% de los ciberataques registrados en España afectaron a pequeñas y medianas empresas. No es casualidad: las pymes concentran datos valiosos (clientes, proveedores, datos bancarios, información de empleados) y en muchos casos carecen de los recursos técnicos para defenderse adecuadamente. En Canarias, la dependencia del turismo y la creciente digitalización de la economía ha multiplicado el número de empresas con presencia online, y también el número de objetivos potenciales para los atacantes.
La buena noticia es que la mayoría de los ciberataques que afectan a pymes no son sofisticados. Se aprovechan de vulnerabilidades básicas que se pueden corregir sin grandes inversiones: contraseñas débiles, sistemas sin actualizar, empleados sin formación y backups inexistentes. A continuación analizamos las cinco amenazas más frecuentes que vemos en pymes canarias y las medidas concretas para cada una.
La amenaza más frecuente y más subestimada
El phishing es el punto de entrada más común en los ciberataques contra pymes. El atacante envía un correo electrónico que imita a una entidad de confianza —un banco, un proveedor habitual, la Agencia Tributaria— para conseguir que el destinatario haga clic en un enlace malicioso, descargue un archivo infectado o revele sus credenciales.
Una variante especialmente dañina para empresas es el BEC (Business Email Compromise): el atacante suplanta la identidad de un proveedor o de un directivo de la propia empresa para solicitar una transferencia bancaria urgente. En un caso reciente en Las Palmas de Gran Canaria, una empresa de distribución recibió un correo de un "proveedor habitual" comunicando un cambio de número de cuenta bancaria. El correo llegó desde una dirección casi idéntica a la del proveedor real, con el mismo nombre y firma. La transferencia de €12.400 se realizó antes de que el fraude fuera detectado.
El ataque que puede paralizar tu empresa durante días
El ransomware cifra todos los archivos del sistema infectado y exige un rescate económico (habitualmente en criptomonedas) a cambio de la clave de descifrado. Es el tipo de ataque con mayor impacto económico para las pymes: no solo por el coste del rescate (que raramente garantiza la recuperación), sino por los días o semanas de paralización operativa que genera.
Un hotel en el sur de Tenerife sufrió en 2024 un ataque de ransomware que cifró el servidor principal donde corrían el PMS, la contabilidad y los documentos administrativos. La empresa estuvo tres días operando en papel, con check-ins manuales y sin acceso a reservas previas. El coste directo entre rescate (que pagaron), recuperación de sistemas e ingresos perdidos superó los €85.000. El vector de entrada fue un servidor Windows Server 2016 con RDP expuesto a internet sin actualizar desde 2022.
Especialmente crítico en hostelería y retail
Los sistemas TPV son un objetivo atractivo porque procesan datos de tarjetas de crédito en tiempo real. Los ataques más comunes consisten en implantar malware que captura los datos de la tarjeta en el momento del pago (skimming de software) o en explotar vulnerabilidades de sistemas TPV antiguos conectados a la misma red que el resto de la empresa.
En Canarias, el sector de la hostelería y el retail concentran una proporción elevada de transacciones con tarjeta, especialmente de turistas internacionales. Un TPV comprometido puede generar responsabilidades legales importantes bajo el estándar PCI-DSS, además del daño reputacional que implica la exposición de datos de pago de clientes.
El error más habitual que vemos en auditorías es que el TPV comparte red WiFi con los portátiles de oficina, los móviles de los empleados y en algunos casos incluso con la red de clientes del hotel. Cualquier dispositivo de esa red es un vector de acceso potencial al TPV.
El riesgo legal que muchas pymes ignoran
El Reglamento General de Protección de Datos (RGPD) y su transposición española mediante la LOPDGDD establecen obligaciones claras sobre cómo las empresas deben tratar los datos personales de sus clientes. El incumplimiento no solo genera riesgo de sanciones de la AEPD (Agencia Española de Protección de Datos), sino también pérdida de confianza de clientes y daño reputacional difícil de cuantificar.
Para las empresas canarias del sector turístico, el riesgo es especialmente elevado: hoteles, apartamentos y agencias de viajes procesan datos de ciudadanos de toda la Unión Europea, incluyendo información sensible como datos de pasaporte, número de tarjeta de crédito e historial de estancias. Una brecha de seguridad en una base de datos de huéspedes puede derivar en multas de hasta el 4% de la facturación anual global.
Los casos más frecuentes que vemos en auditorías: bases de datos de clientes accesibles sin contraseña desde la intranet, copias de seguridad que incluyen datos personales sin cifrar almacenadas en servicios cloud sin configuración de acceso, y aplicaciones web con vulnerabilidades de inyección SQL que exponen la base de datos completa.
La herencia del teletrabajo post-COVID
El auge del teletrabajo durante la pandemia llevó a muchas pymes a habilitar acceso remoto a sus sistemas de forma rápida y sin las medidas de seguridad adecuadas. Dos años después, muchos de esos accesos siguen activos, a veces con credenciales que no se han renovado, versiones de software sin actualizar y sin autenticación multifactor.
El protocolo RDP (Remote Desktop Protocol) de Windows expuesto directamente a internet sin MFA es uno de los vectores de entrada más explotados por los grupos de ransomware. Los atacantes utilizan herramientas automatizadas que escanean rangos completos de direcciones IP buscando puertos RDP abiertos (por defecto el 3389) y lanzan ataques de fuerza bruta sobre las credenciales. Con contraseñas débiles o reutilizadas, el acceso se consigue en minutos.
En auditorías de pymes canarias hemos encontrado accesos RDP activos a servidores de producción que llevaban abiertos desde 2020, con contraseñas de administrador que no se habían cambiado desde la instalación. En varios casos, esos servidores ya habían sido comprometidos y formaban parte de botnets sin que la empresa lo supiera.
Existe la percepción de que protegerse de los ciberataques requiere un departamento de IT dedicado y un presupuesto de grandes empresas. No es así. Las medidas descritas en este artículo —MFA en todos los accesos, backups con regla 3-2-1, actualizaciones regulares, formación a empleados y una red segmentada— pueden implementarse en la mayoría de las pymes por menos de €3.000 al año, incluyendo herramientas y tiempo de implantación.
La estadística es contundente: el 85% de los ciberataques exitosos contra pymes se aprovechan de al menos una de estas cinco vulnerabilidades básicas. Corregirlas no elimina el riesgo completamente, pero reduce la exposición en más del 80%. Para la mayoría de los atacantes, que utilizan herramientas automatizadas y buscan objetivos fáciles, una empresa con medidas básicas bien implementadas simplemente deja de ser un objetivo atractivo.
Si no sabes por dónde empezar, una auditoría de ciberseguridad de alcance básico permite identificar en pocas horas cuáles son las vulnerabilidades más críticas de tu empresa y priorizarlas por nivel de riesgo. Es el primer paso para tomar decisiones informadas, y el coste de no hacerlo suele ser órdenes de magnitud mayor que el de hacerlo.
Analizamos tu infraestructura, identificamos las vulnerabilidades más críticas y te proponemos un plan de mejora priorizado por nivel de riesgo y coste de implementación.
ContáctanosHablemos
Cuéntanos tu situación y te proponemos el nivel de protección más adecuado para tu empresa sin compromiso.