Muchos propietarios de pequeñas empresas siguen pensando que los ataques de ransomware solo ocurren en hospitales, marcas globales o infraestructuras públicas. En realidad, el riesgo de ransomware en pequeñas empresas es uno de los ejemplos más claros de cómo los atacantes se centran constantemente en organizaciones con datos valiosos, tiempo limitado y defensas más débiles.

Hallazgos recientes del Observatorio de vulneraciones de datos de Proton muestran que las pymes son frecuentemente víctimas de vulneraciones. También están representadas de manera desproporcionada en los incidentes más dañinos, incluidas las vulneraciones que involucran datos de alto riesgo y grandes exposiciones de registros.

El ransomware es un problema de protección de datos, seguridad de credenciales y continuidad del negocio. La Encuesta sobre vulneraciones de ciberseguridad del gobierno del Reino Unido reveló que el 1 % de las empresas británicas identificaron incidentes de ransomware en los 12 meses anteriores, frente a menos del 0,5 % en 2024. A escala nacional, eso equivale a unas 19 000 empresas.

A pesar del auge del ransomware, la suplantación sigue siendo el tipo de ciberataque más común. Los atacantes suelen obtener acceso a las redes empresariales a través de personas, credenciales y flujos de trabajo rutinarios, en lugar de mediante ciberataques a gran escala. Básicamente, pueden usar un ataque de suplantación de identidad para luego lanzar un ataque de ransomware mayor si intuyen que el beneficio será alto.

Para una pequeña empresa, el daño del ransomware puede causar interrupciones significativas en la continuidad del negocio. Los miembros del equipo pierden el acceso a los archivos y no pueden continuar con su trabajo, las operaciones se ralentizan o se detienen y los clientes no reciben los servicios adecuados. Si los datos personales se ven comprometidos, habrá obligaciones de notificación. Una estrategia práctica de ransomware para pymes debe cubrir ambos aspectos de un ataque: la prevención y el recuperar los datos.

¿Cómo funciona el ransomware?

El ransomware es un tipo de malware que te impide acceder a tus dispositivos o datos, generalmente al cifrar archivos, y luego exige un pago a cambio del descifrado. En muchos casos, los atacantes ahora hacen algo más que bloquear archivos: también roban datos y amenazan con filtrarlos si no se paga el rescate, lo que convierte el evento tanto en una crisis de disponibilidad como en una posible vulneración de datos.

A menudo se indica a las víctimas que se comuniquen a través de correo electrónico o páginas web anónimas y que paguen en criptomonedas. Para las pequeñas empresas, esa distinción es importante porque las criptomonedas son anónimas, están descentralizadas y no están reguladas por las instituciones financieras tradicionales; es casi imposible rastrear los pagos.

Un evento de ransomware no siempre se limita a perder el acceso a los archivos. También puede significar que la información de los clientes, los datos de los empleados, los registros financieros, los contratos o las credenciales de inicio de sesión ya han sido exfiltrados. El ransomware puede provocar la pérdida del acceso oportuno a los datos personales y, cuando las copias de seguridad no son adecuadas o no están disponibles, incluso su pérdida permanente.

La cadena de ataque suele ser más ordinaria de lo que podrías esperar. Los incidentes fáciles de pasar por alto que pueden derivar en un ataque de ransomware incluyen:

  • Hacer clic en enlaces de suplantación.
  • Contraseñas reutilizadas que quedan expuestas en una vulneración de datos.
  • Servicio de acceso remoto que queda expuesto.
  • Vulnerabilidades conocidas que se quedan sin parchear

Una vez que un atacante logra acceder a una red empresarial, se mueve lateralmente, escala privilegios, desactiva las rutas para recuperar datos cuando es posible y despliega el cifrado o la extorsión donde más duela. Ninguna herramienta o solución única puede prevenir los ataques de ransomware. En su lugar, las organizaciones deben centrarse en reducir el número de rutas fáciles de entrada a su red.

Por qué las pequeñas empresas son objetivos desproporcionados

Las pequeñas empresas son objetivos atractivos para el ransomware por una razón sencilla: poseen datos valiosos que no están tan bien protegidos como deberían. Los últimos hallazgos del observatorio de Proton muestran que las pymes representan el 63 % de las vulneraciones rastreadas desde enero de 2025 y más de 352 millones de registros filtrados.

También representan el 61 % de las vulneraciones que involucran datos de alto riesgo, y las pequeñas empresas representan por sí solas el 48 % de esos incidentes críticos. Entre las vulneraciones que exponen más de 100 000 registros, las pymes representan el 60 % y las pequeñas empresas el 42 %.

Las pequeñas empresas no son descuidadas. De hecho, el Informe de ciberseguridad para pymes 2026 de Proton demuestra que estas intentan mejorar su ciberseguridad. El problema es que sus defensas fallan en condiciones del mundo real. El cumplimiento inconsistente, el error humano, los hábitos de compartir el acceso y la capacidad limitada de seguridad interna son lo que hace que las pequeñas empresas sean objetivos tentadores.

En la encuesta de Proton a 3000 líderes de empresas con menos de 250 empleados, el 39 % dijo que los incidentes se debieron a errores humanos, y el 48 % dijo que no tenían un gestor de contraseñas instalado.

Las empresas más grandes pueden tener equipos de respuesta dedicados, entornos segmentados, planes de copia de seguridad probados y soporte externo para incidentes ya establecidos. Las más pequeñas suelen tener una función de TI reducida, soporte subcontratado o ningún experto en seguridad dedicado. Cuando se produce el ataque, la empresa se ve obligada a tomar decisiones de alto riesgo bajo presión operativa. Esa presión es exactamente con lo que cuentan los operadores de ransomware.

Los puntos de entrada más comunes para el ransomware en las pymes

Tras examinar los estudios realizados en el Reino Unido, sabemos que la suplantación sigue siendo el vector de ciberdelincuencia dominante para las empresas. ¿Pero por qué? Es porque la suplantación de identidad suele ser el primer paso hacia el robo de credenciales, el compromiso de la cuenta, la entrega de malware o el abuso del acceso remoto.

Las credenciales débiles o reutilizadas son otro problema importante. Las pequeñas empresas a menudo tienen inicios de sesión compartidos, contraseñas reutilizadas en varios servicios o cuentas antiguas que permanecen activas después de que alguien cambia de rol o se va. Una vez que los atacantes obtienen un inicio de sesión que funciona, no necesitan piratear cuentas; simplemente pueden iniciar sesión.

A partir de ahí, una cuenta de administrador mal protegida, una consola en la nube expuesta o un punto de acceso remoto sin autenticación de dos factores (2FA) pueden convertirse en el puente hacia un incidente de ransomware más amplio. Siendo realistas, las organizaciones deben desplegar la 2FA, el acceso con privilegios mínimos y revisiones periódicas de permisos para reducir la facilidad con la que se pueden reutilizar las credenciales robadas y hasta dónde se puede propagar el malware.

El software sin parches es otro punto de entrada recurrente. El NCSC señala que el ransomware se despliega cada vez más a través de servicios expuestos como RDP o dispositivos de acceso remoto sin parches, y recomienda corregir las vulnerabilidades en los sistemas de acceso remoto y los que están de cara a internet tan pronto como los parches estén disponibles. Para las pymes, aquí es donde un incidente que pasa desapercibido se convierte silenciosamente en una superficie de ataque.

Cómo protegerse contra el ransomware: un enfoque por capas

No existe un control único que pueda prevenir el ransomware. El enfoque más eficaz es práctico y por capas.

Empieza por administrar la identidad

Los datos de las cuentas de los miembros del equipo necesitan una protección exhaustiva para repeler los ataques de ransomware. Haz que la autenticación de dos factores sea obligatoria siempre que sea posible en las cuentas críticas para el negocio, especialmente en el correo electrónico, herramientas de administrador, almacenamiento en la nube, plataformas financieras, puntos de acceso remoto y cualquier sistema que almacene datos personales de clientes u otra información de identificación personal (PII) sensible.

Mejora la higiene de las contraseñas

Los atacantes no siempre fuerzan la entrada a las cuentas. A menudo, inician sesión con credenciales robadas o reutilizadas. Cada cuenta de empresa debe tener una contraseña segura y única, y el acceso compartido debe sustituirse por un intercambio de credenciales administrado y seguro a través de un gestor de contraseñas empresarial en lugar de usar hojas de cálculo, chats o el correo electrónico.

El propio informe sobre pymes de Proton destaca que incluso las empresas que cuentan con herramientas suelen volver a caer en hábitos inseguros de intercambio de contraseñas. Aquí es exactamente donde un gestor de contraseñas empresarial seguro como Proton Pass for Business puede reducir el riesgo: ayuda a los equipos a crear credenciales sólidas y únicas, almacenarlas de forma segura y compartir el acceso de manera controlada y segura.

La administración de parches debe ser disciplinada

Las actualizaciones de seguridad para sistemas operativos, aplicaciones, VPN, herramientas para acceder de forma remota y dispositivos periféricos deben tratarse como elementos esenciales de funcionamiento, no como mantenimiento opcional. Instala las actualizaciones de seguridad lo antes posible y activa las actualizaciones automáticas cuando sea factible.

Protección robusta para la web y el correo

El filtrado de correo, el control de archivos adjuntos, el bloqueo de sitios maliciosos conocidos y las protecciones de navegación segura reducen la probabilidad de que el ransomware llegue a entregarse. Debido a que la suplantación de identidad es tan común, estos controles son esenciales.

Aborda el error humano

Incluso cuando hayas implementado medidas de seguridad y una política de contraseñas, la formación para la concienciación sobre seguridad sigue siendo necesaria. La formación ayuda al personal a detectar correos electrónicos sospechosos e intentos de ingeniería social, pero las personas seguirán cometiendo errores.

Las herramientas o funciones más potentes y los controles de acceso deben asumir eso. El NCSC recomienda explícitamente la formación en concienciación, pero la investigación de Proton también señala que la formación por sí sola no detecta todos los fallos. Un buen diseño de seguridad reduce los daños cuando alguien hace clic, al hacer que sea menos probable que un error se convierta en un incidente a gran escala, ya sea mediante 2FA, acceso de privilegio mínimo, protecciones de correo electrónico más sólidas, acceso segmentado o copias de seguridad probadas que soporten la recuperación.

Protege la recuperación antes de que la necesites

Las copias de seguridad deben ser periódicas, estar aisladas y probarse. El ICO recomienda adoptar el enfoque 3-2-1: tres copias, en dos dispositivos diferentes, con una almacenada fuera de las instalaciones. El NCSC añade una advertencia operativa importante: el ransomware puede haber infiltrado tu entorno antes de ser descubierto, por lo que las copias de seguridad deben escanearse antes de la restauración, y los propios sistemas de copia de seguridad deben estar protegidos.

La conexión de las credenciales: por qué las contraseñas siguen siendo importantes en la defensa contra el ransomware

Es fácil pensar en el ransomware como malware y olvidar que las contraseñas desempeñan un papel en un ataque exitoso. Pero muchos incidentes de ransomware comienzan con el robo, la reutilización o el abuso de los inicios de sesión.

Eso podría significar que un miembro del personal reutilice una contraseña de otro servicio, que la cuenta de un antiguo contratista permanezca activa, que una credencial de administrador se comparta entre varias personas o que un punto de acceso remoto expuesto esté protegido solo por una contraseña. Cada uno de esos atajos amplía la superficie de ataque.

Esta es una de las razones por las que una administración de credenciales sólida debe formar parte de cualquier plan de recuperación de ransomware y marco de prevención. El uso de contraseñas únicas por servicio reduce el radio de impacto de un inicio de sesión robado. La MFA hace que esa contraseña robada sea menos útil por sí sola, mientras que el almacenamiento centralizado de credenciales elimina la necesidad de soluciones provisionales inseguras.

Compartir de forma segura significa que los empleados obtengan el acceso que necesitan a través de métodos controlados y rastreables en lugar de compartir contraseñas de manera informal. La revisión periódica de quién tiene acceso a qué también soporta el privilegio mínimo, algo que el NCSC recomienda como parte de la limitación del movimiento lateral y la propagación.

Hemos escrito extensamente sobre las amenazas de ransomware a las que se enfrentan las pymes. Una y otra vez, vemos lo mismo: los atacantes buscan cada vez más las empresas que son más fáciles de vulnerar, no solo las que tienen los nombres más grandes.

Qué hacer si tu pequeña empresa se ve afectada

1. Contén el incidente

Si tu empresa se ve afectada, tu prioridad número uno es la contención. Desconecta los dispositivos infectados de la red, desactiva las cuentas comprometidas si puedes identificarlas, aisla las rutas de acceso remoto, conserva las pruebas y evita borrar los sistemas demasiado rápido por si necesitas soporte forense más adelante.

2. Informa del incidente

El NCSC aconseja a las organizaciones del Reino Unido informar sobre los incidentes y ofrece una guía específica sobre ransomware para la respuesta y la recuperación. La guía de Proton sobre respuesta a incidentes también es una referencia útil para estructurar el proceso de toma de decisiones más amplio en torno a la contención, investigación, comunicaciones y recuperación.

3. No pagues el rescate

El NCSC y las fuerzas de seguridad del Reino Unido no fomentan, respaldan ni aprueban el pago de rescates. Señalan que no hay garantía de que vuelvas a tener acceso, tus sistemas pueden seguir infectados, estarás financiando a grupos criminales y es más probable que vuelvas a ser un objetivo.

La ICO es igualmente clara al afirmar que pagar un rescate no reduce el riesgo para las personas y no protege la información. Aunque se ofrezca una clave de descifrado, no hay garantía de que funcione o de que los datos robados no acaben siendo objeto de una filtración.

4. Inicia la recuperación

La recuperación debe centrarse en una restauración lenta y segura. Eso significa reconstruir a partir de copias de seguridad limpias, validar que la ruta del ataque se haya cerrado, rotar las credenciales afectadas, volver a habilitar el acceso con cuidado y documentar lo sucedido. Si las copias de seguridad están conectadas a sistemas activos o no se han probado, suele ser cuando las empresas descubren un segundo fallo después del primero. Un buen plan de recuperación ante ransomware empieza en realidad mucho antes de que ocurra un incidente.

Obligaciones de notificación en el Reino Unido: cuándo puede ser necesaria la intervención de la ICO

Si un incidente de ransomware afecta a datos personales, esto puede constituir una vulneración de datos personales bajo el GDPR del Reino Unido. La ICO explica que la pérdida de acceso a los datos personales puede ser en sí misma una vulneración cuando crea un riesgo para las personas, y que debes notificarlo a la ICO sin demora indebida y, cuando sea factible, en un plazo de 72 horas si es probable que la vulneración suponga un riesgo para los derechos y libertades de las personas. Si el riesgo es alto, también puede ser necesario informar a las personas afectadas sin demora indebida.

Algunas organizaciones siguen asumiendo que si restauran los sistemas rápidamente o no hay una filtración pública obvia, informar es innecesario. Esa no es una suposición segura. La guía sobre ransomware de la ICO aborda explícitamente los escenarios de notificación de vulneraciones y deja claro que la evaluación depende del riesgo para las personas, no solo de si los archivos robados ya han aparecido online.

El ransomware es ahora un problema de las pymes

Las pequeñas empresas sufren ataques de ransomware con cada vez más frecuencia y, cuando les afecta, el impacto puede ser grave porque los atacantes explotan sus debilidades. Los últimos datos de vulneraciones de Proton lo hacen visible: la amenaza es cuantificable, creciente y operativamente disruptiva.

La buena noticia es que los aspectos fundamentales pueden hacer gran parte del trabajo pesado para cualquier pyme. Medidas como utilizar un gestor de contraseñas para empresas para desplegar 2FA y crear credenciales únicas, la aplicación de parches, el filtrado de correo electrónico, la concienciación del personal, la revisión de permisos, las copias de seguridad probadas y la planificación de respuesta a incidentes pueden no parecer llamativas por sí solas, pero juntas marcan una diferencia significativa. Reducen las posibilidades de que una sola contraseña robada, un correo electrónico de suplantación o un servicio remoto expuesto se conviertan en una interrupción de toda la empresa.