Este desfase preocupa especialmente a los expertos en ciberseguridad, que alertan de que los cibercriminales ya conocen esta debilidad. De hecho, el 88% de los incidentes de ransomware registrados este año ha tenido como blanco a este tipo de organizaciones. Sin planes de respuesta, sin soluciones tecnológicas avanzadas y con recursos limitados, muchas pymes se convierten en un objetivo fácil.
Además, las aseguradoras han elevado notablemente sus requisitos. Ya no es suficiente con contratar un seguro y declarar buenas intenciones: ahora se exige contar con medidas concretas, activas y verificables para optar a una póliza. “Hoy en día, sin evidencias claras de seguridad, no hay cobertura o directamente no se paga”, señala Josep Albors, director de investigación y concienciación de ESET España.
Entre las condiciones mínimas que las aseguradoras piden se encuentran: autenticación multifactor (MFA) en accesos críticos, copias de seguridad probadas con regularidad, protección endpoint con políticas activas de actualización, y un plan de respuesta ante incidentes (IRP) documentado y ensayado. A esto se suma la necesidad de ofrecer formación continua al personal, mantener registros de actividad y poder demostrar, con documentación, todas las medidas implantadas.
El problema va más allá de los requisitos técnicos. Según el informe Cost of a Data Breach 2024 de IBM, el coste medio de un ataque de ransomware supera los 4,9 millones de dólares. Sin protocolos claros, sin capacidad de respuesta y sin pruebas de prevención, una pyme no solo queda expuesta a un ataque, sino que puede ver rechazada una reclamación de seguro cuando más lo necesita.
Ante este panorama, ESET recomienda a las pymes tomar medidas proactivas. Entre ellas, realizar una evaluación integral de su postura de seguridad, identificar carencias en MFA o backups, y buscar apoyo externo de proveedores o auditores que puedan verificar las buenas prácticas. También anima a implantar una cultura de gestión del riesgo, centrada en la prevención, el principio de confianza cero (zero trust) y la gestión segura de contraseñas.
Todo este trabajo, además de mejorar la ciberresiliencia de las empresas, facilita el acceso a una póliza asequible y efectiva. Porque, como advierte ESET, la ciberseguridad ya no es una opción, y sin preparación, el coste de un ataque puede ser devastador.