La mayoría de los responsables de ciberseguridad en pequeñas y medianas empresas (pymes) de España reconocen no estar suficientemente preparados para proteger a sus compañías. Casi dos tercios (62%) afirman tener una estrategia que funciona mejor sobre el papel que en la realidad, o bien que se limita a un conjunto de objetivos poco conectados. Además, algunos admiten tener lagunas incluso en aspectos básicos de ciberseguridad: un 38% reconoce que necesita mejorar su preparación para responder y resolver incidentes. Esta falta de estrategia aplicable y de conocimientos deja a muchas pymes sin una protección real y vulnerables a ciberataques. Estos son algunos de los datos del último informe de Kaspersky ‘How cyberattackers are targeting SMBs in Europe and Africa in 2025’.

En España, las pymes carecen de conocimientos adecuados y de una estrategia consistente para protegerse. Solo un 27% puede afirmar que tiene una estrategia de ciberseguridad completamente implementada. En general, más de dos tercios (84%) reconocen que su planteamiento actual es una estrategia parcial, teórica, o directamente un conjunto de metas sin un plan real. En concreto, el 62% dice que, aunque su estrategia está pensada, aún no está totalmente en marcha, mientras que el 12% admite que solo trabaja en torno a objetivos. Estas cifras evidencian una brecha generalizada entre la planificación estratégica y su puesta en práctica en el día a día, una brecha que probablemente se traduzca en debilidades estructurales en las operaciones cotidianas de ciberseguridad de las pymes.

Estos datos van en línea con otros estudios e informes en España. El  Observatorio de Competitividad Empresarial de la Cámara de Comercio de España (2024) reveló que menos de la mitad de las empresas (solo un 46,8%) dispone de un plan formal de seguridad digital, y entre las microempresas la cifra desciende al 29%. Además, únicamente un 34% de las compañías ofrece formación específica en ciberseguridad a sus empleados. Entre las principales barreras identificadas destacan la escasez de recursos económicos (28,4%) y la falta de conocimiento técnico (26,3%) sobre qué soluciones implementar, lo que refuerza la idea de que la mayoría de las pymes españolas carecen de una estrategia sólida y aplicada para protegerse frente a las ciberamenazas.

¿Saben realmente las pymes lo que necesitan?

La falta de una estrategia sólida tiene consecuencias reales. Los últimos análisis de Kaspersky sobre ataques a pymes en Europa y África muestran que este tipo de organizaciones están siendo un objetivo prioritario precisamente por sus carencias en planificación y protección. Entre enero y abril de 2025, España concentró el 10% de los ataques detectados, mientras que Austria lideró con un 40%, seguida de Italia (25%) y Alemania (11%). En el norte de África, Marruecos encabezó la lista con un 41%, seguido de Túnez (24%) y Argelia (6%).

Estas cifras reflejan una tendencia clara: las pymes que carecen de una estrategia aplicable y de recursos especializados son las más vulnerables. Esta brecha entre la planificación y la práctica se traduce en una menor confianza de los responsables de TI en sus propias capacidades y herramientas. En España, el 38% quiere comprender mejor cómo optimizar su capacidad de respuesta y resolución durante un incidente, mientras que casi un tercio (27%) duda de que su protección de endpoints sea suficiente frente a la variedad de amenazas actuales. También quieren, o necesitan, mejorar su comprensión en aspectos como:

• Qué herramientas del mercado necesitan realmente (28%).
• Cómo garantizar la visibilidad en la nube y realizar evaluaciones de vulnerabilidades (23%).
• Qué legislación y requisitos normativos aplican a sus empresas (22%).

A esto se suma que un 28% duda de que las evaluaciones de riesgo de los proveedores reflejen realmente la realidad de una empresa de su tamaño. La pregunta es evidente: ¿saben las pymes cómo proteger su negocio?

“Uno de los errores más comunes en ciberseguridad es diseñar estrategias que funcionan sobre el papel, pero no en la práctica. Nuestra investigación muestra que dos de cada tres responsables de TI aún no han implementado de forma efectiva las medidas que planifican, lo que los deja expuestos a ataques cada vez más dirigidos a las pymes. Para cerrar esta brecha, las organizaciones deben pasar de la teoría a la acción e integrar la ciberseguridad en su día a día: en las operaciones, en la toma de decisiones y en la cultura interna. Solo así podrán construir una protección coherente y sostenible frente a las amenazas actuales”, afirma Oscar Suela, director general de Kaspersky Iberia.

Para cubrir la falta de conocimientos y de estrategia ahora y en el futuro, los líderes empresariales deben dar los siguientes pasos:

• Convertir los planes en protección aplicable: Kaspersky Next para pymes integra protección avanzada de endpoints con EDR y XDR, ofreciendo visibilidad en tiempo real, respuesta ante amenazas y transparencia para operacionalizar la estrategia de seguridad. Para aquellas con infraestructuras de TI consolidadas, Kaspersky Next XDR Optimum aporta integración y visibilidad avanzadas.
• Proteger con recursos limitados de TI: incluso las empresas muy pequeñas pueden lograr protección de nivel profesional. Kaspersky Small Office Security ofrece seguridad sencilla de desplegar y gestionar, evitando pérdidas económicas, robo de datos o ransomware sin necesidad de experiencia interna.
• Invertir en concienciación y formación: implantar programas de formación específicos y concienciar en todos los niveles de la organización para minimizar riesgos internos. La Plataforma Automatizada de Concienciación en Seguridad de Kaspersky ofrece módulos de aprendizaje escalables y adaptados a cada perfil.
• Integrar y cultivar la ciberresiliencia: fomentar una mentalidad de seguridad en toda la organización, construyendo una cultura que empodere a los empleados para mitigar amenazas en su día a día.