Hasta 45% de las pequeñas y medianas empresas (pymes) sufrió un incidente de ciberseguridad durante el último año, mientras que 61% considera probable enfrentar un ataque en los próximos 12 meses, de acuerdo con un estudio de ESET, compañía especializada en detección proactiva de amenazas.
El reporte señala que las principales preocupaciones de las pymes se concentran en la pérdida de datos, la interrupción de las operaciones y el impacto financiero que puede derivarse de un incidente de seguridad.
Estos resultados cobran relevancia debido a que la ciberseguridad continúa sin recibir la atención necesaria en muchas pequeñas y medianas empresas, pese a que este segmento representa 90% de las empresas a nivel mundial, genera 70% del empleo global y aporta 50% del Producto Interno Bruto (PIB) mundial, según datos del Foro Económico Mundial (WEF).
“Y en muchos aspectos, las pymes no difieren de las grandes empresas. Enfrentan un panorama de amenazas que evoluciona rápidamente, con adversarios que aprovechan las tecnologías más recientes para aumentar el volumen, la escala y la velocidad de los ataques.”
“La superficie de ataque corporativa se amplía con cada nueva herramienta digital y cada inversión tecnológica. Los empleados siguen siendo una fuente de riesgo. Y las empresas deben cumplir con un número creciente de exigencias regulatorias”, comentó Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
El informe indica que las inquietudes de las pymes coinciden con las expresadas por directores de Seguridad de la Información y altos ejecutivos de grandes corporaciones, lo que refleja la importancia de fortalecer la preparación cibernética como parte de la operación del negocio. En ese sentido, ESET considera que la seguridad debe integrarse a la cultura organizacional y no mantenerse únicamente como una función del área de tecnologías de la información.
La firma también advierte que, aunque muchas empresas logran recuperarse tras un incidente, 34% requiere entre dos y seis semanas para resolverlo, un periodo que puede traducirse en afectaciones operativas significativas para organizaciones con recursos limitados.
Asimismo, 73% de las pymes consultadas ya incorpora inteligencia artificial en sus procesos de negocio, aunque reconoce que esta tecnología también introduce nuevos riesgos. Entre ellos, el malware impulsado por inteligencia artificial fue identificado como la amenaza que más preocupa a una parte importante de los participantes.
No obstante, ESET aclara que el malware que utiliza inteligencia artificial de forma automatizada y en tiempo real sigue siendo poco frecuente, pese a la atención que recibe en los titulares. Los casos detectados hasta ahora son limitados, por lo que actualmente representa más un tema de investigación para especialistas que una amenaza inmediata para la mayoría de las pymes.
De acuerdo con un informe de Verizon citado por ESET, el phishing y las vulnerabilidades sin parchear figuran entre los tres principales vectores de acceso inicial utilizados para comprometer a las pequeñas y medianas empresas. A ello se suman las contraseñas débiles y la falta de monitoreo de seguridad, factores que también aparecen entre los riesgos más relevantes identificados por la compañía.
El estudio de Verizon añade que el shadow AI se ubica como la tercera acción interna no maliciosa más común, lo que refleja el creciente uso de herramientas de inteligencia artificial sin supervisión dentro de las organizaciones.
En este contexto, ESET señala que la inteligencia artificial y la automatización están permitiendo a los actores de amenazas ampliar sus capacidades y escalar sus operaciones, particularmente en actividades relacionadas con la ingeniería social, la investigación y la explotación de vulnerabilidades, además de otros métodos tradicionales de ataque.
Al mismo tiempo, las pymes consultadas manifestaron interés en utilizar inteligencia artificial para fortalecer su estrategia de ciberseguridad, con el objetivo de anticipar amenazas, detectar y mitigar ataques con mayor rapidez e identificar intentos de ingeniería social.
La compañía también destaca que las empresas que implementan programas de concientización en ciberseguridad muestran una mayor preparación frente a los riesgos, aunque la adopción de este tipo de capacitación es superior entre las organizaciones que ya han enfrentado múltiples incidentes (81% frente a 53%). Estas compañías también reportan un mayor nivel de confianza en su capacidad de respuesta, posiblemente porque incorporaron medidas de seguridad consideradas buenas prácticas tras experimentar ataques.
En materia de inversión, cuatro de cada cinco empresas consideran que su presupuesto destinado a seguridad es suficiente o incluso superior a sus necesidades actuales, mientras que la mitad prevé incrementarlo durante el próximo año.
El estudio también muestra un aumento en la percepción de preparación de las organizaciones, ya que la confianza pasó de 48% en 2022 a 87% este año.
Ante este escenario, ESET recomienda que las pymes mantengan el enfoque en tecnologías y procesos preventivos, incluyendo capacitación continua, aplicación regular de parches y una gestión sólida de identidades. Asimismo, plantea la importancia de realizar evaluaciones periódicas de riesgos para orientar las inversiones en seguridad, fortalecer los procesos de respuesta a incidentes para acelerar la recuperación y disminuir el impacto operativo, recurrir cuando sea necesario a servicios gestionados de detección y respuesta (MDR) y reforzar el gobierno de tecnologías de la información para reducir los riesgos asociados al shadow IT y al shadow AI.
Pese a mantener una administración cuidadosa de sus recursos, una cuarta parte de las pymes considera que disponer de un mayor presupuesto le permitiría fortalecer con mayor rapidez su postura de ciberseguridad. La encuesta también identifica que la complejidad tecnológica y la integración de soluciones continúan siendo retos para las empresas con menores recursos, cuyos responsables buscan herramientas y servicios que sean confiables, integrales y sencillos de implementar.
“Si realmente se busca mejorar la preparación cibernética de las pequeñas empresas, la comunidad de proveedores debería asumir un rol más activo. Aun así, no existe una solución única. Las pymes han demostrado que están bien encaminadas hacia una mayor resiliencia, pero este es un proceso continuo que evolucionará junto con la tecnología y las amenazas. La vigilancia constante y la capacidad de adaptación serán claves a largo plazo”, concluyó Micucci, de ESET Latinoamérica.
er





