Las grandes empresas comienzan a reconocer que sus cadenas de suministro son un punto débil en la ciberseguridad, ya que los atacantes ven en las PYME el eslabón más frágil, dice Marc Rivero, investigador de seguridad en Kaspersky. Aun así, muchas pequeñas empresas continúan subestimando estos riesgos, creyendo que su tamaño los hace menos visibles para los cibercriminales, agrega. Sin embargo, su pequeña protección y su vínculo con las grandes empresas hacen objetivos fáciles para los ataques dirigidos, advierte al experto.

Rivero explica que la ignorancia y la falta de recursos agravan esta vulnerabilidad. Muchas PYME carecen de experiencia en ciberseguridad y priorizan otras inversiones, lo que deja sus sistemas expuestos, sostiene. Aunque el GDPR ha promovido la protección de datos, muchos aún no cumplen con los estándares mínimos, indica. Además, algunas firmas excelentes no auditan a sus proveedores, lo que amplifica el problema. Para reducir los riesgos, es clave reforzar la colaboración y mejorar el entrenamiento de ciberseguridad, concluye.

Las limitaciones económicas y la falta de talento especializado también hacen que las PYME refuerzan su ciberseguridad, dice Juan José Sánchez Peña, director de la maestría universitaria en línea en ciberseguridad de la Universidad de Alfonso X (UAX). Muchos no pueden permitirse contratar expertos o implementar soluciones avanzadas, lo que les deja aún más expuestos, advierte. A esto se agrega la percepción incorrecta de que la ciberseguridad es un problema técnico y no un problema estratégico, lo que retrasa su adopción. Para mitigar los riesgos, es esencial invertir en capacitación, herramientas básicas y buenas prácticas de seguridad, comentarios.

De Kymatio, su CEO, Fernando Mateus, señala que una de las estrategias más efectivas para reforzar la ciberseguridad en las PYME pasa por el Conciencia del factor humano. La gestión correcta de las credenciales, la aplicación del principio de no asumir que los usuarios internos son la confianza predeterminada y la evaluación continua del riesgo humano es clave, explica. Esta startup, respaldada por Wayra, asegura que su enfoque de automatización de procesos permite que los errores de los empleados se reduzcan por ataques de ingeniería social hasta en un 80%.

Esta falta de inversión y talento no solo deja a las PYME sin protección, sino que también representa un riesgo para el ecosistema comercial en el que operan. Su papel de proveedores de grandes empresas los expone aún más, ya que los ciberdelincuentes los usan como una ruta de acceso a corporaciones más grandes, advierte Miguel López, director de Southern EMEA en Barracuda Networks. Su nivel más bajo de protección facilita la infiltración en empresas y administraciones públicas, explica. En los últimos años, los ataques dirigidos contra ellos han crecido significativamente, y la tendencia aún está hacia arriba en 2025, dice. Entre las amenazas más frecuentes se encuentran el ‘ransomware’, el ‘phishing’, los ataques dirigidos, el ‘malware’ y el DDoS, señala.

Impacto devastador

El problema no es solo la frecuencia de los ataques, sino también su impacto, lo que puede ser devastador. Los efectos de un ataque pueden ser desproporcionados en relación con sus ingresos, advierte. La pérdida de datos, la interrupción operativa, el costo de recuperación y el daño de reputación pueden ser críticos. En muchos casos, la escape del cliente y la inestabilidad financiera terminan llevándolos a la bancarrota, indica, López

Además, la falta de conciencia y recursos perpetúa un enfoque reactivo. Según un estudio del University College of London, la pequeña inversión en ciberseguridad se debe a la falta de conocimiento, presupuesto y personal capacitado, dice Diego León, CEO de Flamera. A pesar de Las regulaciones europeas han promovido mejoras, Su impacto directo sigue siendo limitado, excepto en sectores críticos, dice. Sin embargo, la creciente presión de las grandes empresas y reguladores está obligando a muchas PYME a fortalecer sus sistemas para mantenerse competitivos en el mercado, agrega.

«Para que un programa de seguridad sea efectivo, debe contemplar no solo la organización misma sino toda la cadena de suministro. La globalización y la alta digitalización de los servicios obligan a las empresas a demostrar el cumplimiento continuo de múltiples regulaciones y leyes ”, dice Tatiana Beron, directora gerente de Concentix España.

Ante este escenario, las PYME pueden reforzar su seguridad digital sin comprometer su estabilidad financiera, dice José Luis Díaz, CEO de Advens Iberia. Las tecnologías como la detección de puntos finales y la respuesta (EDR) ofrecen una protección más avanzada que el antivirus tradicional, al detectar anomalías con IA. La autenticación multifactorial y la gestión eficiente de contraseñas también son medidas clave para reducir los riesgos, mientras que la capacitación del personal en la detección de amenazas ayuda a minimizar los errores humanos, responsables de gran parte de los incidentes de seguridad.

Cloud e IA Union

La ciberseguridad en las PYME sigue siendo un mercado descuidado, aunque estas compañías enfrentan riesgos crecientes, dice Sánchez Peña, de la UAX. Las oportunidades para las empresas de ciberseguridad deben ofrecer soluciones asequibles, integradas en servicios en la nube y basadas en la inteligencia artificial. Además, el capacitación y conciencia de los empleados Es clave para mitigar los ataques, señala.

En la misma línea, Luis Corrons, evangelista de seguridad de Gen, explica que la falta de inversión en ciberseguridad entre las PYME responde, en gran parte, a la ignorancia y la falta de recursos. Muchas compañías no tienen personal especializado y no implementan medidas de protección adecuadas. Para corregir esta situación, está de acuerdo en que las soluciones asequibles basadas en la nube, la automatización inteligente y la capacitación continua son clave para fortalecer su seguridad sin generar grandes costos. Corrons destaca tres áreas clave donde las empresas de ciberseguridad pueden marcar la diferencia. Primero, ofreciendo herramientas accesibles como la detección y la respuesta administrada (MDR) o la seguridad en la nube, diseñadas para organizaciones con recursos limitados. Además, insiste en la importancia de la formación, ya que los errores humanos siguen siendo un factor determinante en los ataques, especialmente el phishing y el uso de contraseñas débiles. Finalmente, enfatiza que la integración de las medidas de seguridad en las plataformas SaaS y los servicios digitales permitiría a las PYME adoptar las mejores prácticas sin la necesidad de una infraestructura compleja.

Las grandes empresas han endurecido sus requisitos de ciberseguridad para los proveedores de PYME, especialmente en sectores críticos, agrega Corrons. Sin embargo, cumplir con estos estándares implica auditorías complejas que pueden retrasar los contratos e ingresos. Además, algunas PYME enfrentan dificultades para implementar medidas avanzadas sin soporte. Para evitar que esto se convierta en una barrera, las grandes empresas deben adoptar un enfoque colaborativo, proporcionando herramientas, capacitación y orientación de seguridad. Esto no solo fortalecería a sus proveedores, sino que reforzaría toda la cadena de suministro, dice.

Mirando hacia el futuro, las PYME deben enfrentar ataques más sofisticados, cada vez más automatizados y promovidos por AI, dice Díaz, de Advens Iberia. La seguridad digital pasará de una opción a una obligación, especialmente antes de las regulaciones más estrictas que requerirán estándares de protección más altos en todos los sectores. Para sobrevivir en este entorno, las empresas tendrán que apostar por soluciones automatizadas, seguridad administrada y una cultura de prevención continua. La adaptación ya no será una cuestión de competitividad, sino un requisito fundamental para garantizar la continuidad del negocio en un entorno digital cada vez más hostil, concluye.