/
  • Last updated
/
  • 12 min de lectura

7 estadísticas que debes conocer sobre la ciberseguridad de las pymes en 2025

por Team Ninja   |  
traducido por Karina PicoCatala
Ilustración representativa de la ciberseguridad de las PYME estadisticas

 Puntos clave: estadísticas de ciberseguridad sobre las pymes en 2025

  • El 94% de las pymes se enfrentaron al menos a un ciberataque en 2024, y el 78% teme que una brecha pueda dejarlas fuera del negocio.
  • La suplantación de identidad y el robo de credenciales provocan el 73% de las brechas, lo que convierte al error humano en el principal factor de riesgo.
  • El ransomware costó a las organizaciones más de 812 millones de dólares en 2024, con pagos medios que alcanzaron los 2,73 millones de dólares.
  • En 2024 se notificaron casi 29.000 nuevas CVE, miles de ellas calificadas de críticas, muchas de ellas explotadas debido a un parcheado deficiente.
  • Las configuraciones erróneas de la nube y los compromisos de la cadena de suministro siguen figurando entre las amenazas de más rápido crecimiento para las pymes.

La ciberseguridad no es un tema que únicamente esté en el candelero de las empresas de TI. Empresas y gobiernos de todo el mundo han estado prestando mucha atención al aumento de las ciberamenazas y a las estadísticas de ciberseguridad de las pymes.

Muchos han aprendido por las malas que las pequeñas empresas son objetivos frecuentes de todo tipo de ciberataques. La idea misma de «apuntar a una víctima» ha quedado en entredicho, ya que los ataques indiscriminados son ahora la normalidad. Las pymes son especialmente vulnerables, ya que a menudo carecen de la concienciación, el personal o la postura cibernética necesarios para resistirlas.

Esta es solo una de las muchas conclusiones que surgieron en 2024. A medida que nos acercamos a 2025, las nuevas amenazas y patrones de ataque siguen evolucionando, y los MSP deben adaptarse o enfrentarse a importantes consecuencias. A continuación se presentan las siete estadísticas y tendencias de ciberseguridad de las pymes más relevantes del año.

Los principales factores de ciberseguridad que debes priorizar para tu empresa [Webinar a petición]
Míralo ahora.

De qué tratará este artículo:

1. La gran mayoría de las empresas siguen siendo vulnerables a los ataques

El 94% de las pymes ha sufrido al menos un ciberataque en el último año.

Además, las estadísticas de Connectwisemuestran que al menos el 78% de las pymes temen que un incidente grave podría dejarlas fuera del negocio. Además, la aparición de la IA ha hecho que estos ataques sean más sofisticados: se prevé que para 2027, el 17% de los ciberataques se ejecutarán con la ayuda de IA generativa.

Positive Technologies llevó a cabo una serie de pen tests en varios sectores importantes, como el financiero, el de los combustibles y la energía, los organismos gubernamentales, las empresas industriales e incluso las empresas de TI. Demostraron que en el 93% de los casos de prueba, un atacante podía traspasar las defensas de red de una organización y obtener acceso a la red local.

Un estudio de VikingCloud revela que el tiempo de inactividad causado por un ciberataque cuesta a las empresas unos 53.000 dólares cada hora. (Fuente)

El tiempo de inactividad sigue siendo uno de los mayores costes ocultos. Según el informe de IBM Cost of a Data Breach 2025 Report, la filtración media cuesta actualmente 4,88 millones de dólares en todo el mundo y se tarda 204 días en identificarla. Para las organizaciones más pequeñas, este tipo de interrupción puede ser devastador.

Además, como señala Cybersecurity Magazine (Fuente):

  • El 30% de las pequeñas empresas considera el phishing como su mayor amenaza cibernética
  • El 83% de las pequeñas y medianas empresas no están preparadas para recuperarse de los daños financieros de un ciberataque
  • El 91% de las pequeñas empresas no ha contratado un seguro de responsabilidad cibernética, a pesar de ser conscientes del riesgo y de la probabilidad de que no pudieran recuperarse de un ataque
  • Solo el 14% de las pequeñas empresas considera que su postura en materia de ciberseguridad es muy eficaz

¿Por qué las empresas siguen dudando en adoptar un enfoque más sólido de la seguridad? Aunque las estadísticas de ciberseguridad son buenas para entender la naturaleza del entorno de las amenazas, no siempre funcionan bien como herramienta para cambiar las percepciones. Para ello, muchos miembros de la comunidad de ciberseguridad y del canal han abogado por un cambio de actitud hacia la adopción de la ciberseguridad.

2. Las principales ciberamenazas en 2025

Los humanos siguen siendo considerados el «eslabón más débil» de un plan de ciberseguridad.

El phishing por correo electrónico, el spear-phishing y la ingeniería social siguen siendo los medios más comunes y fiables para acceder ilegalmente a una red. El phishing y el pretexting representan cerca del 73% de las brechas de seguridad en algunos sectores, siendo las credenciales los datos más comúnmente comprometidos (alrededor del 50% de los incidentes de phishing).

La ingeniería social y el phishing son los métodos más utilizados. Incluso cuando el software, el hardware y los parches adecuados están en funcionamiento, el elemento humano sigue siendo un punto débil para la entrada.

Un estudio de 2024 CyberArk descubrió que el 49% de los empleados reutiliza las mismas credenciales en varias aplicaciones relacionadas con el trabajo, y el 36% utiliza las mismas credenciales para cuentas personales y de trabajo. Estos hábitos magnifican el riesgo de relleno de credenciales y ataques laterales, además de aumentar la exposición en entornos híbridos.

Otras investigaciones muestran lo siguiente:

  • El 82% de las brechas son causadas por humanos, ya sea a través de phishing, robo de credenciales o errores manuales. (Fuente)
  • El 65% de los empleados de pymes se saltan las políticas de ciberseguridad para facilitar el trabajo. (Fuente)
  • El 61% de las PYME afirman que el phishing es el vector de ataque más común al que se enfrentaron el año pasado. (Fuente)

3. Gestión de credenciales y accesos administrativos

Se han producido muchas más infracciones relacionadas con el compromiso de las cuentas y el mal control de los permisos que con los virus.

La escasa seguridad de las cuentas y la mala gestión de privilegios siguen siendo algunas de las brechas más explotadas en las defensas de las pymes. Según el informe Verizon DBIR 2024, el 86% de los ataques a aplicaciones web se debieron al robo de credenciales, mientras que el informe Microsoft’s Identity Report señalaba que casi la mitad de las pymes siguen confiando únicamente en las contraseñas, sin autenticación multifactor.

Una vez dentro, los atacantes suelen explotar el exceso de derechos de administrador. Una encuesta realizada en 2024 por Sophos muestra que más del 90% de los ataques de malware implicaban el robo de datos o credenciales.

Esto significa que, en la mayoría de los casos, la responsabilidad de la seguridad de los endpoints de las pymes recae en los proveedores de servicios gestionados (MSP). Los MSP deben concienciar a las pequeñas empresas de la necesidad de la higiene de contraseñas, el control de permisos y otras medidas de seguridad de los endpoints, como el cifrado de datos. Como mínimo, los MSP deberían adoptar activamente el principio del menor privilegio a la hora de gestionar las cuentas administrativas en las redes de sus clientes.

Al combinar los controles técnicos con la educación de los usuarios y la supervisión continua, los MSP pueden ayudar a mitigar uno de los riesgos más persistentes y perjudiciales a los que se enfrentan las pymes hoy en día.

4. El ransomware sigue siendo una amenaza

La sencillez y eficacia del ransomware siguen haciendo que sea la opción preferida de los hackers.

A pesar de un ligero descenso en el pago de rescates en 2024, el ransomware sigue siendo una de las amenazas más dañinas para las pymes. Los atacantes están evolucionando sus tácticas, utilizando el robo de datos y esquemas de doble extorsión para aumentar la presión.

Estas son algunas cifras importantes que debes conocer:

  • 5.243 víctimas de ransomware fueron publicadas en sitios de filtraciones en 2024, un 15% más que en 2023. (Fuente)
  • En 2024, se hicieron más de 800 millones de dólares en pagos a los hackers de ransomware. (Fuente)
  • El pago medio por rescate en 2024 fue de 2,73 millones de dólares. (Fuente)
  • El 70% de los ciberataques en 2024 condujeron al cifrado de datos. (Fuente)
  • El 41% de los encuestados por Sophos citan un aumento de la ansiedad ante la posibilidad de futuros ataques de ransomware. (Fuente)

Descubre cómo H.E.R.O.S. pudo recuperarse rápidamente de un ataque de ransomware con un tiempo de inactividad mínimo y daños duraderos.

5. En 2024 se publicaron 29.000 CVE

A finales de 2024, se habían publicado alrededor de 29.000 nuevos CVE, con miles calificados como críticos o de alta gravedad (Fuente)

Se espera que las vulnerabilidades aumenten con el ritmo y la escala de la adopción de la tecnología. Los ciberataques se consideran un riesgo inherente hoy en día. Sin embargo, esta tendencia está creando un creciente cúmulo de deudas de seguridad que los MSP y los profesionales de la seguridad se esfuerzan por abordar. Cuando los equipos de ciberseguridad dejan sin resolver las vulnerabilidades del año pasado, el número de este año se acumula y es significativamente más difícil de remediar.

He aquí algunas estadísticas clave:

  • De las 29.000 CVE publicadas el año pasado, más de 4.600 se calificaron de críticas y más de la mitad podían explotarse con unos conocimientos técnicos mínimos. (Fuente)
  • Los exploits de vulnerabilidades son el vector de ataque más común, representando más del 30% de los ataques. (Fuente)
  • Solo el 38% de las pymes afirman contar con un programa de gestión de vulnerabilidades. (Fuente)

6. Aumentan los ataques a la nube

Organizaciones de cualquier tamaño podrían sufrir un ataque dirigido a sus datos en la nube.

Las tendencias hacia la nube han llevado, por supuesto, a una tendencia de ciberataques dirigidos a la nube. Desde 2020, el 79% de las empresas con datos en la nube han experimentado al menos una brecha. No es una cifra pequeña, ya que los informes muestran que el 94% de las organizaciones de 2025 alojan actualmente al menos parte de sus datos o de su entorno informático en la nube.

Se trata, una vez más, de una cuestión que se remonta a la pandemia de COVID-19. La velocidad imprevista con la que muchas organizaciones han adoptado la tecnología de la nube ha creado muchas vulnerabilidades únicas.

Un informe del Foro Económico Mundial muestra que mientras que el 66% de los encuestados espera que la IA afecte a la ciberseguridad en los próximos 12 meses, solo el 37% dispone actualmente de procesos para garantizar su despliegue seguro.

Además, solo el 14% de las empresas confía en que su equipo tenga las competencias necesarias para hacer frente a las amenazas de ciberseguridad.

Según Nikesh Ashora, CEO de Palo Alto Networks, las empresas «luchan por coser docenas de soluciones de seguridad dispares y aplicar políticas de seguridad en toda la red de una empresa, la nube y los entornos endpoint».

La actualización de las operaciones de ciberseguridad y los protocolos de adopción de IA pueden ayudar a minimizar la carga de los equipos de TI que todavía pueden necesitar abordar manualmente los ataques de diversas fuentes.

7. Los ataques a la cadena de suministro digital se consideran un riesgo importante

Se esperan más amenazas a medida que vulnerabilidades como la de Log4j proliferen a través de la cadena de suministro.

Aunque las superficies de ataque de las organizaciones siguen ampliándose, los riesgos de terceros se vuelven más críticos. Gartner predice que, para 2025, el 45% de las organizaciones de todo el mundo habrán sufrido ataques en sus cadenas de suministro de software. Esto representa un aumento del 300% desde 2021, y las brechas de alto perfil como MOVEit demuestran que esta predicción se está materializando.

Debido a las recientes amenazas de alto perfil, los MSP están muy familiarizados con los ataques a la cadena de suministro. La presión sobre la cadena de suministro digital exige una mayor separación entre proveedores y socios basada en el riesgo, controles de seguridad más estrictos, mejores prácticas y un cambio hacia un desarrollo y una distribución más preocupados por la seguridad. Dicho esto, se considera que los proveedores de TI y sus vendedores pueden tener dificultades para adelantarse a las próximas normativas provocadas por este aumento del riesgo.

Recibe más consejos prácticos con la guía gratuita de NinjaOne sobre los fundamentos de la seguridad de TI.

⬇️ Descargar ahora

También está disponible esta guía en vídeo sobre las 7 estadísticas que debes conocer sobre la ciberseguridad de las pymes en 2025.

No escatimes en mitigación de riesgos.

Estas estadísticas pueden parecer desalentadoras, y muchas pequeñas empresas se sienten impotentes ante estas cifras. Después de todo, las sofisticadas herramientas de ciberseguridad y los expertos cualificados no son baratos y pueden ser difíciles de justificar, incluso cuando una pyme sabe que un ciberataque podría dejar a su empresa fuera de juego. Entonces, ¿dónde radica esta disparidad entre MSP en el coste de mitigación del peligro y el riesgo?

Por suerte, esto coloca a los MSSP y MSP en una buena posición con las empresas que se dan cuenta de que necesitan ofertas de seguridad pero no pueden permitirse profesionales de seguridad internos. En cambio, el proveedor de TI debe convencer a los clientes finales de la importancia de una postura de seguridad sólida.

¿Buscas respuestas prácticas a los retos de seguridad más comunes de los MSP? Consulte nuestras FAQ sobre los RMM.

NinjaOne – El RMM que ayuda a sus clientes a estar seguros

Obteén más información sobre cómo aprovechar las herramientas integradas de NinjaOne para mejorar la seguridad de los endpoints.

Comienza tu prueba gratuita

FAQs

Las pymes suelen carecer de personal de seguridad de TI interno y de defensas avanzadas, lo que las convierte en objetivos más fáciles en comparación con empresas más grandes. Los atacantes utilizan herramientas automatizadas para buscar vulnerabilidades, por lo que el tamaño no garantiza la seguridad.

El phishing y el robo de credenciales siguen siendo los principales puntos de entrada. Estas tácticas representan la mayoría de las infracciones, especialmente en entornos de trabajo híbridos y remotos.

El ransomware sigue estando muy extendido: más de 5.200 víctimas fueron publicadas en sitios de filtraciones en 2024, con peticiones de rescate de una media de 2,73M$. Incluso cuando las empresas pagan, muchas solo recuperan parte de sus datos.

En 2024 se publicaron casi 29.000 CVE (Vulnerabilidades y Exposiciones Comunes), continuando una tendencia al alza que deja a las pymes expuestas si se retrasa la aplicación de parches.

Las pymes deben centrarse en la defensa contra el phishing, los controles de identidad de confianza cero, la aplicación oportuna de parches, la seguridad de la configuración de la nube y la gestión de riesgos de los proveedores para contrarrestar los ataques a la cadena de suministro.

Los MSP pueden ofrecer protección de endpoints, aplicar un acceso basado en roles, gestionar la aplicación de parches y ofrecer una supervisión ininterrumpida que las pymes a menudo no pueden permitirse internamente.

You might also like

Phishing email ejemplos blog banner

Ejemplos de correos electrónicos de phishing: cómo identificar un correo electrónico de phishing

MSP Planificación de la respuesta a incidentes

MSP: 6 claves para sobrevivir a un brote de ransomware en toda tu cartera de clientes

autorización GovRAMP

NinjaOne consigue la autorización GovRAMP nivel «Moderate» para ofrecer TI modernas a las agencias locales y estatales

ransomware

Estadísticas, tendencias y datos sobre ransomware que debes conocer

Herramientas EDR

Herramientas EDR: cómo los MSP utilizan las soluciones de detección y respuesta en endpoints

Síndrome del juguete nuevo en TI

Seguridad, satisfacción y el síndrome del juguete nuevo en TI

Volver a la página de inicio del blog
¿Listo para simplificar los aspectos más complejos de las TI?
Comienza una prueba gratuita
Ver una demo