Publicidad
Publicidad

Los aspectos críticos de la ciberseguridad que las pymes subestiman

En el afán de no quedarse atrás en la transformación digital, muchas organizaciones se toman decisiones apresuradas que muchas veces omiten principios básicos de protección de datos.
vie 04 julio 2025 05:55 AM
Los aspectos críticos de la ciberseguridad que las pymes subestiman
En la interacción que estas tienen con sus proveedores, donde hay acceso a sistemas críticos, acceso a la información sensible, el reto es contar con roles y permisos y una gestión de identidades lo más claro posible, señala Fernando Guarneros.

A pesar de la creciente sofisticación de los ataques cibernéticos, la mayoría de las brechas de seguridad no nacen en un laboratorio sofisticado de cibercrimen, sino en el escritorio de quien concedió acceso sin verificar lo esencial: quién, por qué y hasta dónde puede acceder un colaborador interno o externo.

Este tipo de omisiones no distingue tamaño de organización, sector, ni nivel de digitalización. Sin embargo, es en las pequeñas y medianas empresas (pymes) donde este patrón se vuelve más crítico.

Publicidad

Según el informe State of SMB Cybersecurity Survey , elaborado por CrowdStrike, apenas el 47% de las pymes con menos de 50 empleados cuenta con un plan formal de ciberseguridad. Más preocupante aún, cerca del 70% de estas organizaciones confían en terceros para tomar decisiones tecnológicas, pero lo hacen sin establecer lineamientos explícitos, sin exigir garantías mínimas de protección ni supervisar el cumplimiento de estándares, por lo que es ahí donde nace el problema. Contratar un servicio tecnológico sin establecer requisitos mínimos de seguridad es como construir una casa y dejar la puerta sin cerradura.

Ciberseguridad, una práctica que se construye, se mantiene y se adapta

Las herramientas tecnológicas no funcionan en el vacío. Su eficacia depende directamente del uso que se les dé y del entorno en el que operan. Es un error común asumir que invertir en software de protección —como firewalls, antivirus o Inteligencia Artificial— exime a la organización de responsabilidades adicionales. La ciberseguridad no es un producto que se compra; es una práctica que se construye, se mantiene y se adapta, lo cual comienza con preguntas básicas:

- ¿Quién tendrá acceso a los datos?
- ¿Qué datos pueden ser compartidos?
- ¿Qué protocolos rigen la conexión entre sistemas?
- ¿Quién responde en caso de una filtración?

Y es que diseñar un programa de concientización eficaz en seguridad digital va más allá de ofrecer cursos genéricos o enviar boletines con buenas prácticas. Requiere una lectura profunda de los procesos internos, una identificación clara de los flujos de información y un entendimiento detallado de qué áreas manejan qué datos.

En materia de seguridad, no todas las áreas dentro de una organización enfrentan los mismos riesgos. Recursos Humanos gestiona información personal altamente sensible. Finanzas administra cuentas, transacciones y contratos. Marketing puede tener acceso a datos de clientes que, si se exponen, comprometen no solo la reputación, sino la continuidad comercial. Por tanto, cada colaborador debe recibir formación específica, adaptada a sus herramientas, responsabilidades y nivel de exposición.

Principales retos de ciberseguridad para las pymes

Uno de los retos estratégicos más comunes para las pequeñas y medianas empresas es contar con el acompañamiento de una figura especializada — como un Jefe de Seguridad de la Información (CISO) o un asesor externo — que identifique las zonas críticas, traduzca riesgos tecnológicos al lenguaje del negocio y alinee la estrategia de ciberseguridad con los objetivos operativos de la organización.

De hecho, según el informe de CrowdStrike, más del 50% de las pymes se sienten abrumadas por la cantidad de herramientas y soluciones disponibles en el mercado, lo que evidencia una necesidad urgente de simplificar la toma de decisiones y priorizar la claridad estratégica.

Asimismo, la rápida adopción de plataformas basadas en Inteligencia Artificial ha abierto nuevos frentes de riesgo. Muchas organizaciones están incorporando asistentes virtuales, modelos de lenguaje o sistemas automatizados sin protocolos definidos de uso, anonimización de datos ni límites éticos. En el afán de no quedarse atrás en la transformación digital, se toman decisiones apresuradas que muchas veces omiten principios básicos de protección de datos.

En consecuencia, se subestima la protección de la identidad digital. Pero, en un entorno donde los atacantes buscan además de explotar sistemas, suplantar identidades, el control de accesos y autenticaciones se vuelve vital.

Publicidad

Un desafío más para las pymes, hacer frente a las técnicas de suplantación de identidades, smishing (SMS phising), vishing (phishing por voz), clonación de dispositivos. Aun cuando existen controles que permiten proteger de estas técnicas, como el uso de autentificación multifactor, supervisión del comportamiento digital, entre otros, falta camino por recorrer en la adopción de estos controles.

Finalmente mencionar que no podemos dejar a un lado la exposición al riesgo para las pymes, en la interacción que estas tienen con sus proveedores, donde hay acceso a sistemas críticos, acceso a la información sensible, el reto es contar con roles y permisos y una gestión de identidades lo más claro posible.

Invertir en ciberseguridad no es solo proteger los sistemas, sino resguardar el negocio completo; es decir, su continuidad operativa, su reputación frente a clientes y socios, y su valor financiero.

____

Nota del editor: Fernando Guarneros es Director de Operaciones en IQSEC. Las opiniones publicadas en esta columna corresponden exclusivamente al autor.

Consulta más información sobre este y otros temas en el canal Opinión

Publicidad

Newsletter

Únete a nuestra comunidad. Te mandaremos una selección de nuestras historias.

Publicidad

Publicidad