Las pequeñas y medianas empresas continúan enfrentándose a un entorno de riesgo, cada vez más alto, en materia de ciberseguridad. En los últimos meses, los ciberataques no solo han aumentado en frecuencia, sino que también han tenido un impacto significativo en la operativa y la estabilidad financiera de las organizaciones. Según el Informe de Ciberpreparaciónde Hiscox 2025, compañía aseguradora que ofrece productos innovadores y especializados para empresas y profesionales, solo el 1% de las pymes españolas afectadas logró evitar cualquier tipo de consecuencia derivada de los ciberataques en los últimos 12 meses.

La consecuencia de los ciberataques: una amenaza persistente

El análisis de las principales consecuencias sufridas por las empresas españolas tras un ciberataque muestra que el impacto sigue siendo elevado, aunque en algunos casos se observa una ligera mejora respecto al año anterior.

La pérdida financiera derivada del fraude por desvío de pagos continúa siendo la consecuencia más frecuente, afectando al 53% de las empresas, frente al 55% registrado en 2024 y el 38% en 2023. Le siguen los ataques de denegación de servicios distribuido (DDoS), que han afectado al 49% de las organizaciones, una cifra ligeramente inferior al 51% del año pasado, pero muy superior al 24% de 2023.

Por su parte, el uso indebido de recursos de TI, como el minado de criptomonedas o la creación de botnets, ha impactado al 43% de las empresas, descendiendo desde el 53% en 2024, aunque todavía lejos del 23% registrado en 2023. En cuanto al ransomware, incluyendo la extorsión cibernética, el 31% de las compañías declara haberlo sufrido, frente al 38% del año anterior.

Las brechas de datos también siguen siendo una preocupación relevante. Un 30% de las empresas reporta pérdida de datos no encriptados, frente al 35% de 2024, mientras que el 26% sufrió pérdida de datos encriptados, por debajo del 33% registrado el año pasado. Asimismo, los brotes de virus (excluyendo ransomware) han descendido notablemente hasta el 20%, desde el 46% en 2024.

La verificación de vulnerabilidades: una práctica cada vez más extendida

Ante este escenario, las empresas españolas están reforzando sus estrategias de prevención mediante la realización de verificaciones de vulnerabilidad cibernética, como pruebas de penetración o simulacros de ataque. En concreto, el 18% de las organizaciones realiza estas comprobaciones al menos una vez a la semana, mientras que un 26% lo hace un par de veces al mes y un 28% aproximadamente una vez al mes. Además, un 19% lleva a cabo estas evaluaciones de forma trimestral.

En conjunto, el 72% de las empresas realiza verificaciones al menos mensualmente, y el 91% lo hace como mínimo una vez al trimestre, lo que evidencia un alto grado de concienciación en torno a la identificación de vulnerabilidades. Prácticamente la totalidad del tejido empresarial español (99%) afirma haber realizado este tipo de pruebas en alguna ocasión.

La cadena de suministro, un eslabón clave en la ciberseguridad

La protección frente a ciberataques no se limita únicamente a las propias infraestructuras de las empresas, sino que también abarca a todo su ecosistema de proveedores y socios, que puede convertirse en una vía de entrada para los atacantes si no se gestiona adecuadamente. En este sentido, la evaluación de riesgos de ciberseguridad en la cadena de suministro se ha consolidado como una práctica cada vez más habitual entre las compañías españolas, reflejando una mayor concienciación sobre la importancia de controlar los riesgos de terceros.

Así, un 18% de las empresas revisa estos riesgos al menos semanalmente, lo que indica un seguimiento continuo y proactivo. A este grupo se suman aquellas organizaciones que realizan evaluaciones frecuentes, como el 21% que lo hace varias veces al mes y el 25% que lleva a cabo estos análisis de forma mensual, configurando un bloque significativo de compañías que monitorizan de forma recurrente la seguridad de su red de colaboradores. Por su parte, un 24% opta por realizar estas evaluaciones con carácter trimestral, lo que también evidencia una integración de estos procesos en la planificación periódica de la empresa.

En conjunto, estos datos muestran que el 64% de las empresas evalúa los riesgos de sus proveedores al menos una vez al mes, mientras que el 88% lo hace como mínimo trimestralmente, lo que pone de manifiesto que la gran mayoría mantiene algún tipo de control regular sobre su cadena de suministro. Además, el hecho de que el 99% de las empresas haya llevado a cabo este tipo de análisis en alguna ocasión refleja una preocupación prácticamente generalizada por los riesgos derivados de terceros y su impacto potencial en la seguridad global de la organización.