Muchos propietarios de pequeñas empresas todavía piensan que los ataques de ransomware solo ocurren en hospitales, marcas globales o infraestructuras públicas. En realidad, el riesgo de ransomware en las pequeñas empresas es uno de los ejemplos más claros de cómo los atacantes se dirigen constantemente a organizaciones con datos valiosos, tiempo limitado y defensas más débiles.
Los hallazgos recientes del Observatorio de vulneraciones de datos de Proton muestran que las PyMEs suelen ser víctimas de vulneraciones con frecuencia. También están representadas de manera desproporcionada en los incidentes más perjudiciales, incluidas las vulneraciones que involucran datos de alto riesgo y grandes exposiciones de registros.
El ransomware es un problema de continuidad del negocio, seguridad de las credenciales y protección de datos. La Encuesta sobre vulneraciones de seguridad cibernética del Gobierno del Reino Unido descubrió que el 1 % de las empresas del Reino Unido identificaron incidentes de ransomware en los últimos 12 meses, frente a menos del 0,5 % en 2024. A escala nacional, eso equivale a unas 19.000 empresas.
A pesar del aumento del ransomware, la suplantación de identidad sigue siendo el tipo más común de ciberataque. Los atacantes acceden con mayor frecuencia a las redes empresariales a través de personas, credenciales y flujos de trabajo rutinarios, en lugar de hacerlo a través de ciberataques a gran escala. Básicamente, pueden utilizar un ataque de suplantación para lanzar luego un ataque de ransomware mayor si perciben una recompensa más alta.
Para una pequeña empresa, el daño del ransomware puede causar interrupciones significativas en la continuidad del negocio. Los miembros del equipo pierden el acceso a los archivos y no pueden continuar con su trabajo, las operaciones se ralentizan o se detienen, y los clientes no reciben los servicios adecuados. Si los datos personales se ven comprometidos, surgirán obligaciones de notificación. Una estrategia práctica de ransomware para PyMEs debe cubrir ambos aspectos de un ataque: prevención y recuperación.
¿Cómo funciona el ransomware?
El ransomware es un tipo de malware que le impide acceder a sus dispositivos o datos, generalmente cifrando archivos, y luego exige un pago a cambio del descifrado. En muchos casos, los atacantes ahora hacen más que bloquear archivos. También roban datos y amenazan con filtrarlos si no se paga el rescate, lo que convierte el incidente tanto en una crisis de disponibilidad como en una posible vulneración de datos.
A las víctimas a menudo se les instruye que se comuniquen a través de correos electrónicos anónimos o páginas web y que paguen en criptomonedas. Para las pequeñas empresas, esa distinción es importante porque las criptomonedas son anónimas, descentralizadas y no están reguladas por las instituciones financieras tradicionales: es casi imposible rastrear los pagos.
Un evento de ransomware no siempre se limita a perder el acceso a los archivos. También puede significar que la información de los clientes, los datos de los empleados, los registros financieros, los contratos o las credenciales de inicio de sesión ya han sido exfiltrados. El ransomware puede provocar la pérdida del acceso oportuno a los datos personales y, cuando las copias de seguridad no son adecuadas o no están disponibles, incluso una pérdida permanente.
La cadena de ataque suele ser más ordinaria de lo que usted podría esperar. Los incidentes fáciles de pasar por alto que pueden derivar en un ataque de ransomware incluyen:
- Seguir enlaces de suplantación.
- Contraseñas reutilizadas que quedan expuestas en una vulneración de datos.
- Servicios de acceso remoto que se dejan expuestos.
- Vulnerabilidades conocidas que se dejan sin parches.
Una vez que un atacante logra acceder a una red empresarial, se desplaza lateralmente, escala privilegios, desactiva las rutas de recuperación siempre que es posible y despliega el cifrado o la extorsión donde más duela. Ninguna herramienta o solución única puede prevenir los ataques de ransomware. En su lugar, las organizaciones deben centrarse en reducir el número de rutas de entrada fáciles a su red.
Por qué las pequeñas empresas son objetivos desproporcionados
Las pequeñas empresas son objetivos de ransomware atractivos por una razón sencilla: poseen datos valiosos que no están tan bien protegidos como deberían. Los últimos hallazgos del observatorio de Proton muestran que las PyMEs representan el 63 % de las vulneraciones rastreadas desde enero de 2025 y más de 352 millones de registros filtrados.
También representan el 61 % de las vulneraciones que involucran datos de alto riesgo, y las pequeñas empresas por sí solas representan el 48 % de esos incidentes críticos. Entre las vulneraciones que exponen más de 100.000 registros, las PyMEs representan el 60 %, y las pequeñas empresas el 42 %.
Las pequeñas empresas no son descuidadas. De hecho, el Informe de ciberseguridad para PyMEs 2026 de Proton demuestra que las pequeñas empresas están tratando de mejorar su ciberseguridad. El problema es que sus defensas están fallando en condiciones del mundo real. La aplicación inconsistente de las normas, el error humano, los hábitos de acceso compartido y la limitada capacidad de seguridad interna son lo que convierte a las pequeñas empresas en objetivos tentadores.
En la encuesta de Proton a 3.000 líderes de empresas con menos de 250 empleados, el 39 % afirmó que los incidentes se debieron a errores humanos, y el 48 % dijo que no contaban con un gestor de contraseñas implementado.
Es posible que las empresas más grandes cuenten con equipos de respuesta dedicados, entornos segmentados, planes de copia de seguridad probados y soporte externo para incidentes ya establecidos. Las más pequeñas suelen tener una función de TI ajustada, soporte subcontratado o ningún experto en seguridad dedicado. Cuando el ataque golpea, la empresa se ve obligada a tomar decisiones de alto riesgo bajo presión operativa. Esa presión es exactamente con lo que cuentan los operadores de ransomware.
Los puntos de entrada más comunes para el ransomware en las PyMEs
Tras examinar los estudios realizados en el Reino Unido, sabemos que la suplantación de identidad sigue siendo el vector de cibercrimen dominante para las empresas. ¿Pero por qué? Es porque la suplantación suele ser el primer paso hacia el robo de credenciales, el compromiso de la cuenta, la entrega de malware o el abuso del acceso remoto.
Las credenciales débiles o reutilizadas son otro problema importante. Las pequeñas empresas suelen tener inicios de sesión compartidos, contraseñas reutilizadas en múltiples servicios o cuentas antiguas que permanecen activas después de que alguien cambia de función o se marcha. Una vez que los atacantes obtienen un inicio de sesión válido, no necesitan piratear las cuentas. Simplemente pueden iniciar sesión.
A partir de ahí, una cuenta de administrador mal protegida, una consola en la nube expuesta o un punto de acceso remoto sin autenticación de dos factores (2FA) pueden convertirse en el puente hacia un incidente de ransomware más amplio. Siendo realistas, las organizaciones necesitan desplegar la 2FA, el acceso con privilegios mínimos y revisiones periódicas de permisos para reducir la facilidad con la que se pueden reutilizar las credenciales robadas y hasta dónde puede propagarse el malware.
El software sin parches es otro punto de entrada recurrente. El NCSC señala que el ransomware se despliega cada vez más a través de servicios expuestos como el RDP o dispositivos de acceso remoto sin parches, y recomienda parchear las vulnerabilidades en los sistemas de acceso remoto y orientados a internet tan pronto como estén disponibles. Para las pymes, aquí es donde un incidente que pasa desapercibido se convierte silenciosamente en una superficie de ataque.
Cómo protegerse contra el ransomware: un enfoque por capas
No existe un control único que pueda prevenir el ransomware. El enfoque más eficaz es práctico y por capas.
Empiece con la gestión de la identidad
Los datos de las cuentas de los miembros del equipo necesitan una protección exhaustiva para repeler los ataques de ransomware. Haga que la autenticación de dos factores sea obligatoria siempre que sea posible en todas las cuentas críticas para la empresa, especialmente el correo electrónico, las herramientas de administrador, el almacenamiento en la nube, las plataformas financieras, los puntos de acceder de forma remota y cualquier sistema que almacene datos personales de clientes u otra información de identificación personal (PII) confidencial.
Mejore la higiene de las contraseñas
Los atacantes no siempre irrumpen en las cuentas. A menudo, inician sesión con credenciales robadas o reutilizadas. Cada cuenta de la empresa debe tener una contraseña segura y única, y el acceso compartido debe sustituirse por el intercambio gestionado y seguro de credenciales a través de un gestor de contraseñas empresarial en lugar de utilizar hojas de cálculo, chats o el correo electrónico.
El informe propio de Proton sobre las pymes destaca que incluso las empresas que disponen de herramientas suelen recaer en hábitos inseguros de intercambio de contraseñas. Aquí es exactamente donde un gestor de contraseñas empresarial seguro como Proton Pass for Business puede reducir el riesgo: ayuda a los equipos a crear credenciales sólidas y únicas, a almacenarlas de forma segura y a compartir el acceso de forma controlada y protegida.
La gestión de parches debe ser disciplinada
Las actualizaciones de seguridad de los sistemas operativos, aplicaciones, VPN, herramientas para acceder de forma remota y dispositivos de frontera deben tratarse como elementos operativos esenciales, no como un mantenimiento opcional. Instale las actualizaciones de seguridad lo antes posible y active las actualizaciones automáticas cuando sea factible.
Protección robusta de la web y del correo
El filtrado de correo, los controles de archivos adjuntos, el bloqueo de sitios maliciosos conocidos y las protecciones de navegación segura reducen la probabilidad de que el ransomware se entregue en primer lugar. Dado que la suplantación de identidad es tan común, estos controles son esenciales.
Aborde el error humano
Incluso después de haber implementado medidas de seguridad y una política de contraseñas, la capacitación en concientización sobre seguridad sigue siendo necesaria. La capacitación ayuda al personal a detectar correos electrónicos sospechosos e intentos de ingeniería social, pero las personas seguirán cometiendo errores.
Las herramientas o funciones y los controles de acceso más sólidos deberían dar eso por sentado. El NCSC recomienda explícitamente la formación de concienciación, pero la investigación de Proton también señala que la formación por sí sola no detecta todos los fallos. Un buen diseño de seguridad reduce los daños cuando alguien hace clic, al hacer que sea menos probable que un error se convierta en un incidente a gran escala, ya sea mediante la 2FA, el acceso con privilegios mínimos, protecciones de correo electrónico más sólidas, el acceso segmentado o copias de seguridad probadas que soporten la recuperación.
Proteja la recuperación antes de que la necesite
Las copias de seguridad deben ser periódicas, estar aisladas y ponerse a prueba. El ICO recomienda adoptar el enfoque 3-2-1: tres copias, en dos dispositivos diferentes, con una de ellas almacenada fuera de las instalaciones. El NCSC añade una advertencia operativa importante: es posible que el ransomware se haya infiltrado en su entorno antes de ser descubierto, por lo que las copias de seguridad deben escanearse antes de la restauración, y los propios sistemas de copia de seguridad deben estar protegidos.
La conexión de las credenciales: por qué las contraseñas siguen siendo importantes en la defensa contra el ransomware
Es fácil pensar en el ransomware como malware y olvidar que las contraseñas desempeñan un papel en el éxito de un ataque. Sin embargo, muchos incidentes de ransomware comienzan con el robo, la reutilización o el abuso de los inicios de sesión.
Eso podría significar que un miembro del personal reutilice una contraseña de otro servicio, que la cuenta de un antiguo contratista permanezca activa, que se comparta una credencial de administrador entre varias personas o que un punto de acceso remoto expuesto esté protegido únicamente por una contraseña. Cada uno de esos atajos amplía la superficie de ataque.
Esta es una de las razones por las que una gestión sólida de credenciales debe formar parte de cualquier plan de recuperación y marco de prevención de ransomware. El uso de contraseñas únicas por servicio reduce el radio de impacto de un inicio de sesión robado. El MFA hace que esa contraseña robada sea menos útil por sí sola, mientras que el almacenamiento centralizado de credenciales elimina la necesidad de soluciones alternativas inseguras.
El intercambio seguro significa que los empleados obtienen el acceso que necesitan a través de métodos controlados y rastreables en lugar de compartir contraseñas de manera informal. La revisión periódica de quién tiene acceso a qué también soporta el principio de privilegios mínimos, que el NCSC recomienda como parte de la limitación del movimiento lateral y la propagación.
Hemos escrito extensamente sobre las amenazas de ransomware a las que se enfrentan las pymes. Una y otra vez, vemos lo mismo: los atacantes buscan cada vez más las empresas que son más fáciles de vulnerar, no solo las empresas con los nombres más conocidos.
Qué hacer si su pequeña empresa se ve afectada
1. Contenga el incidente
Si su empresa se ve afectada, su primera prioridad es la contención. Desconecte los dispositivos infectados de la red, desactive las cuentas comprometidas si puede identificarlas, aísle las rutas de acceso remoto, conserve las pruebas y evite borrar los sistemas con demasiada rapidez si pudiera necesitar soporte forense más adelante.
2. Informe del incidente
El NCSC aconseja a las organizaciones del Reino Unido que informen de los incidentes y proporciona orientación específica sobre ransomware para la respuesta y recuperación. La guía de Proton sobre respuesta a incidentes también es una referencia útil para estructurar el proceso de toma de decisiones más amplio en torno a la contención, la investigación, las comunicaciones y la recuperación.
3. No pague el rescate
El NCSC y las fuerzas de seguridad del Reino Unido no alientan, respaldan ni condonan el pago de las demandas de rescate. Señalan que no hay garantía de que recupere el acceso, que sus sistemas podrían seguir infectados, que estará financiando a grupos criminales y que es más probable que vuelva a ser el blanco de ataques.
La ICO es igualmente clara al afirmar que pagar un rescate no reduce el riesgo para las personas y no salvaguarda la información. Incluso si se ofrece una clave de descifrado, no hay garantía de que funcione o de que los datos robados no se filtren de todas formas.
4. Inicie la recuperación
La recuperación debe centrarse en una restauración lenta y segura. Eso significa reconstruir a partir de copias de seguridad limpias, validar que la ruta de ataque se ha cerrado, rotar las credenciales afectadas, volver a habilitar el acceso con cuidado y documentar lo sucedido. Si las copias de seguridad están conectadas a sistemas activos o no se han probado, es aquí donde las empresas suelen descubrir un segundo fallo tras el primero. Un buen plan de recuperación ante ransomware comienza mucho antes de que ocurra un incidente.
Obligaciones de informar en el Reino Unido: cuándo puede ser necesaria la intervención de la ICO
Si un incidente de ransomware afecta a datos personales, esto puede constituir una vulneración de datos personales bajo el GDPR del Reino Unido. La ICO explica que la pérdida de acceso a los datos personales puede ser en sí misma una vulneración cuando crea un riesgo para las personas, y que usted debe notificar a la ICO sin demora indebida y, cuando sea factible, en un plazo de 72 horas si es probable que la vulneración suponga un riesgo para los derechos y libertades de las personas. Si el riesgo es alto, también puede ser necesario informar a las personas afectadas sin demora indebida.
Algunas organizaciones todavía asumen que si restauran los sistemas rápidamente o no hay una filtración pública obvia, informar es innecesario. Esa no es una suposición segura. La orientación sobre ransomware de la ICO aborda explícitamente los escenarios de notificación de vulneraciones y deja claro que la evaluación depende del riesgo para las personas, no solo de si los archivos robados ya han aparecido en línea.
El ransomware es ahora un problema para las PyMES
Las pequeñas empresas se ven afectadas por ataques de rescate cada vez con más frecuencia, y cuando esto ocurre, el impacto puede ser grave porque los atacantes explotan sus debilidades. Los últimos datos de vulneraciones de Proton lo hacen visible: la amenaza es medible, está creciendo y es operativamente disruptiva.
La buena noticia es que los fundamentos básicos pueden hacer gran parte del trabajo pesado para cualquier PyME. Medidas como usar un gestor de contraseñas empresarial para desplegar 2FA y crear credenciales únicas, el parcheo, el filtrado de correo, la concienciación del personal, la revisión de permisos, las copias de seguridad probadas y la planificación de respuesta a incidentes pueden no parecer llamativos por sí solos, pero juntos marcan una diferencia significativa. Reducen las posibilidades de que una sola contraseña robada, un correo electrónico de suplantación o un servicio remoto expuesto se conviertan en una interrupción del servicio en toda la empresa.
