La ciberseguridad sigue siendo una asignatura pendiente para la mayoría de las pequeñas y medianas empresas en España. Solo el 27% de las pymes afirma tener una estrategia de protección digital completamente implementada, según el informe How cyberattackers are targeting SMBs in Europe and Africa in 2025 , elaborado por Kaspersky. El dato, aunque llamativo, no sorprende a quienes siguen de cerca la evolución de la seguridad digital en el tejido empresarial español.
El estudio, basado en entrevistas con responsables de TI y ciberseguridad, revela que el 62% de las pymes españolas dispone de estrategias que, en la práctica, no han sido desplegadas de forma efectiva. Otro 12% reconoce operar únicamente con un conjunto de objetivos sin un plan estructurado. En conjunto, más del 80% de las pymes admite que su enfoque actual es parcial, teórico o directamente inoperante.
Esta brecha entre planificación y ejecución no es nueva, pero adquiere una dimensión crítica en un entorno donde los ataques dirigidos a empresas de menor tamaño son cada vez más frecuentes. Según datos del mismo informe, entre enero y abril de 2025, España concentró el 10% de los ciberataques a pymes detectados en Europa y África. Austria lideró con un 40%, seguida de Italia (25%) y Alemania (11%).
En paralelo, el Observatorio de Competitividad Empresarial de la Cámara de Comercio de España (2024) ya advertía que menos de la mitad de las empresas del país (46,8%) contaba con un plan formal de seguridad digital. Entre las microempresas, la cifra descendía al 29%. La falta de formación interna (solo un 34% de las compañías ofrece capacitación específica en ciberseguridad) y la escasez de recursos económicos y técnicos figuran entre los principales obstáculos.
Aunque el discurso sobre la importancia de la ciberseguridad ha calado en el entorno empresarial, la implementación efectiva sigue siendo el gran reto. Oscar Suela, director general de Kaspersky Iberia, lo resume así: “Uno de los errores más comunes en ciberseguridad es diseñar estrategias que funcionan sobre el papel, pero no en la práctica. Dos de cada tres responsables de TI aún no han implementado de forma efectiva las medidas que planifican”.
El informe también pone el foco en las dudas que persisten entre los responsables de seguridad de las pymes. Un 38% admite necesitar mejorar su capacidad de respuesta ante incidentes, mientras que un 27% no confía plenamente en la protección de endpoints que utiliza. Además, muchos se enfrentan a incertidumbres prácticas: un 28% no tiene claro qué herramientas del mercado necesita, un 23% carece de visibilidad suficiente en entornos cloud y un 22% desconoce qué normativas legales le son aplicables.
Estas carencias no solo aumentan la exposición a ataques, sino que también generan una sensación de inseguridad interna. La falta de confianza en las evaluaciones de riesgo de proveedores (cuestionadas por un 28% de los encuestados) sugiere que muchas pymes no logran adaptar las soluciones disponibles a su realidad operativa.
A diferencia de las grandes corporaciones, las pymes operan con estructuras más reducidas y presupuestos limitados. Esto no solo dificulta la contratación de perfiles especializados, sino que también ralentiza la adopción de tecnologías avanzadas como EDR (detección y respuesta en endpoints) o XDR (detección y respuesta extendida). Sin embargo, según Kaspersky, existen soluciones adaptadas a este segmento. Herramientas como Kaspersky Next o Small Office Security están diseñadas para ofrecer protección avanzada sin requerir grandes equipos de TI.
Más allá de la tecnología, el informe insiste en la necesidad de integrar la ciberseguridad en la cultura organizativa. La formación continua y la concienciación interna son, en muchos casos, la primera línea de defensa. Plataformas como la Automatizada de Concienciación en Seguridad de Kaspersky permiten escalar programas de formación adaptados a distintos perfiles dentro de la empresa.
La pregunta de fondo, sin embargo, sigue abierta: ¿saben realmente las pymes cómo proteger su negocio? La respuesta no es sencilla. El acceso a herramientas existe, y la conciencia del riesgo también. Lo que falta, en muchos casos, es una estrategia operativa que conecte ambos elementos. Una estrategia que no se quede en el papel, sino que se traduzca en decisiones diarias, en procesos internos y en una mentalidad compartida.
España no es una excepción. En el norte de África, Marruecos lideró el número de ataques a pymes con un 41%, seguido de Túnez (24%) y Argelia (6%). La tendencia es clara: los atacantes buscan puntos débiles estructurales, no necesariamente tecnológicos. Y las pymes, por su tamaño y recursos, siguen siendo un objetivo preferente.
En este escenario, la ciberresiliencia se convierte en un concepto clave. No se trata solo de prevenir ataques, sino de estar preparados para responder, adaptarse y recuperarse. Para muchas pymes, esto implica un cambio de enfoque: pasar de una visión reactiva a una estrategia integrada, donde la seguridad no sea un añadido, sino una parte esencial del negocio.
El reto no es menor, pero tampoco inabordable. La tecnología está disponible, las amenazas son conocidas y los marcos regulatorios comienzan a exigir responsabilidades claras. Lo que falta, en buena parte, es voluntad operativa y una hoja de ruta que conecte las necesidades reales con las soluciones posibles. Porque, como muestran los datos, tener una estrategia sobre el papel ya no es suficiente.
