La ciberseguridad se ha convertido actualmente en uno de los grandes desafíos estratégicos para las empresas españolas.
Así lo revela el nuevo Estudio de Ciberseguridad en las Empresas Españolas 2024, que hemos elaborado en Zerod, que advierte de un aumento significativo de las amenazas digitales y destaca que el 84% de las compañías sufrió al menos un intento de ciberataque durante el último año.
Entre estos ataques, el ransomware se ha consolidado como el principal riesgo identificado y que ha afectado ya a decenas de miles de compañías durante el pasado año.
El estudio refleja que casi la mitad de las organizaciones encuestadas, un 44%, han sido víctimas de al menos un ataque de ransomware en los últimos doce meses. Además, de estas, un preocupante 40% admite haber pagado un rescate para recuperar su información.
La presión por reactivar la operativa empresarial de forma urgente y el miedo a la pérdida de datos críticos llevan a muchas empresas a ceder ante los ciberdelincuentes, llevando con ello a un significativo desembolso económico.
Startups y emprendedores en la mira de los ciberdelincuentes
Si bien las grandes corporaciones han fortalecido sus estrategias de ciberseguridad, las startups y emprendedores suelen estar más expuestos. La falta de recursos dedicados a seguridad y el desconocimiento de las mejores prácticas convierten a estos negocios emergentes en objetivos atractivos para los atacantes, al ser un blanco fácil y rentable.
Cabe recordar que, de producirse, ataque exitoso puede comprometer no solo la operatividad de la empresa, sino también su reputación y viabilidad financiera hasta el punto de llevar la compañía a su extinción.
Ante este creciente reto, uno de los principales desafíos para estos negocios menos maduros es la complejidad del cumplimiento normativo. Más de la mitad de las empresas encuestadas, un 53%, afirman tener dificultades para adaptarse a regulaciones como el Reglamento General de Protección de Datos (RGPD), o estándares cada vez más demandados como el Esquema Nacional de Seguridad (ENS) y la ISO27001.
Además, la inminente entrada en vigor de la directiva europea NIS2, que refuerza los requisitos de seguridad para sectores esenciales y empresas tecnológicas, agrega aún más presión.
El marco regulatorio está avanzando rápidamente, suponiendo más exigencias a todo tipo de compañías, y muchas startups aún no están preparadas para cumplirlo. Esto genera incertidumbre y puede afectar a su operativa y credibilidad ante inversores y clientes.
Inversión en ciberseguridad: un paso más que necesario
Ante este panorama, el 80% de las empresas españolas ha incrementado su inversión en ciberseguridad respecto al año anterior. Aunque muchas destinan estos fondos a reforzar sistemas de protección perimetral y mejorar copias de seguridad, el estudio destaca un notable crecimiento en la adopción de estrategias de ciberseguridad ofensiva.
Las empresas están comprendiendo que una postura puramente defensiva ya no es suficiente. Un 68% ha implementado programas de tests de penetración o pentesting regulares para identificar vulnerabilidades antes de que sean explotadas por atacantes, mientras que un 70% ha establecido procesos formales de gestión de vulnerabilidades. Estas estrategias han demostrado su eficacia, con una reducción media del 45% en incidentes graves en empresas que han adoptado este enfoque proactivo.
En paralelo, las técnicas de suplantación de identidad y phishing siguen en aumento, con un 61% de las empresas detectando intentos de fraude a través del correo electrónico corporativo. Esto subraya la importancia de formar a empleados y directivos en buenas prácticas de seguridad digital, evitando que el factor humano sea un punto débil antes las amenazas externas.
La ciberseguridad desde un punto de vista integral
Para los emprendedores y startups, la clave está en adoptar un enfoque integral que combine talento, tecnología, formación y cumplimiento normativo. Algunas medidas esenciales pero efectivas incluyen implementar autenticación multifactor (MFA) en todos los accesos críticos, capacitar a los empleados en la identificación de ataques de phishing y otros riesgos, y mantener actualizados los sistemas y aplicaciones con parches de seguridad.
Para las compañías que cuentan con un ecosistema digital mínimo, desde una plataforma web a una red de wifi, también sería interesante realizar auditorías periódicas para detectar vulnerabilidades antes de que sean explotadas y establecer planes de respuesta ante incidentes para minimizar tiempos de recuperación.
Ante esto, cada vez más startups están recurriendo a los servicios de vCISO (Virtual Chief Information Security Officer), que ofrece liderazgo estratégico en seguridad sin los costes de una contratación a tiempo completo.
Mirando hacia 2025: hacer de la ciberseguridad una prioridad
El fortalecimiento de las políticas internas de seguridad será sin duda una de las principales prioridades para las empresas. Es fundamental desarrollar normativas claras sobre el acceso y la protección de datos, abarcando aspectos como la segmentación de redes, la gestión de credenciales y la implementación de medidas de prevención contra fugas de información.
Otro aspecto clave será el impulso de planes formativos. La concienciación y capacitación de empleados y directivos resulta esencial para reducir el riesgo de ataques basados en ingeniería social. Para ello, se deben establecer programas de formación continua adaptados a los distintos niveles de la organización, garantizando así un enfoque integral de la ciberseguridad.
La adaptación a nuevos marcos normativos también jugará un papel determinante. Con regulaciones como NIS2 y el Esquema Nacional de Seguridad (ENS) en constante evolución, las empresas deberán realizar auditorías periódicas para garantizar su cumplimiento. De esta manera, podrán evitar sanciones que pongan en riesgo su continuidad y reputación.
Por último, la mejora de los protocolos de respuesta ante incidentes se vuelve imprescindible. Contar con planes de acción estructurados y probados permitirá minimizar el impacto de un ciberataque y agilizar la recuperación. La simulación de incidentes, así como la optimización de los procesos de comunicación interna y externa, serán factores clave para una gestión eficiente de cualquier crisis de ciberseguridad.
En este escenario, la ciberseguridad ya no es solo una cuestión técnica. Se ha convertido en un asunto estratégico y legal que impacta directamente en la continuidad del negocio y en la confianza de clientes e inversores.
Para startups y emprendedores, la mejor defensa es la preparación: adoptar un enfoque integral y proactivo permitirá no solo mitigar riesgos, sino también fortalecer la resiliencia y competitividad en un entorno cada vez más digitalizado y exigente.
