Plan Ciberseguridad PYMEs: 20 Medidas Esenciales

No necesita ser una gran empresa para ser objetivo de un ciberataque. De hecho, el 70% de los ciberataques en España se dirigen a PYMEs precisamente porque sus defensas son más débiles. La buena noticia es que el 80% de los ataques exitosos podrían haberse prevenido con medidas básicas que no requieren grandes inversiones. Estas son las 20 medidas de ciberseguridad que toda PYME debería tener implementadas, ordenadas por prioridad e impacto.

Si quiere un diagnóstico profesional antes de actuar, consulta mio artículo sobre auditoría de ciberseguridad.

Nivel 1: las medidas urgentes (implementar esta semana)

Medida 1: autenticación multifactor (MFA) en todas las cuentas críticas

El MFA es la medida de seguridad con mayor impacto inmediato. Active la verificación en dos pasos en todas las cuentas de correo electrónico, acceso a la nube (Microsoft 365, Google Workspace), CRM, ERP, banca online, redes sociales corporativas y panel de administración del sitio web. Si un atacante obtiene la contraseña de un empleado (mediante phishing o filtración de datos), el MFA impide que acceda a la cuenta.

El coste es prácticamente cero (la mayoría de servicios cloud incluyen MFA sin coste adicional) y la implementación se completa en un día. No hay excusa para no tenerlo activado.

Medida 2: copias de seguridad con regla 3-2-1

La regla 3-2-1 establece que debe mantener 3 copias de tus datos, en 2 soportes diferentes, con 1 copia fuera de las instalaciones. Esto significa que además del dato original, debe tener una copia en un disco o NAS local y otra copia en la nube o en una ubicación física diferente.

Las copias deben ser automáticas (no depender de que alguien se acuerde), verificadas periódicamente (restaure una copia al menos una vez al trimestre para verificar que funciona), y protegidas contra ransomware (al menos una copia debe ser inmutable o estar aislada de la red, para que un ransomware no pueda cifrarla).

Medida 3: actualización y parcheo de todos los sistemas

Los ciberdelincuentes explotan vulnerabilidades conocidas en software desactualizado. Mantén actualizados todos los sistemas operativos (Windows, macOS, Linux, iOS, Android), todas las aplicaciones (navegadores, Office, Adobe, Java), el firmware de los dispositivos de red (routers, firewalls, puntos de acceso WiFi), y las aplicaciones web (WordPress, CMS, plugins).

Active las actualizaciones automáticas donde sea posible. Para sistemas críticos donde las actualizaciones automáticas puedan generar problemas, establece un proceso de parcheo mensual con ventanas de mantenimiento programadas.

Medida 4: formación básica de seguridad para todo el personal

El 95% de los incidentes de seguridad tienen un componente de error humano. Una sesión de formación de 2 horas que cubra cómo identificar correos de phishing, la importancia de contraseñas únicas y robustas, el uso seguro del correo electrónico y la navegación web, qué hacer si detectan algo sospechoso, y el procedimiento de notificación de incidentes reduce drásticamente el riesgo de un ataque exitoso.

Consulta mio artículo sobre concienciación en ciberseguridad según el ENS para diseñar un programa de formación completo.

Nivel 2: medidas fundamentales (implementar este mes)

Medida 5: protección de endpoint (EDR)

Sustituya el antivirus tradicional por una solución EDR (Endpoint Detection and Response) que no solo bloquee malware conocido, sino que detecte comportamientos sospechosos y proporcione capacidades de investigación y respuesta. Las soluciones EDR modernas para PYMEs cuestan entre 3 y 8 euros por dispositivo al mes e incluyen gestión centralizada en la nube.

Medida 6: firewall perimetral correctamente configurado

Un firewall es solo tan bueno como su configuración. Verifica que bloquea todo el tráfico entrante no autorizado, que filtra el tráfico saliente (para detectar comunicaciones con servidores de comando y control de malware), que los logs están activados y se almacenan para análisis, y que las reglas se revisan al menos semestralmente para eliminar las obsoletas.

Medida 7: gestión de contraseñas

Implanta una política de contraseñas que exija un mínimo de 12 caracteres, prohiba la reutilización de contraseñas, y utilice un gestor de contraseñas empresarial (Bitwarden, 1Password, Keeper) para que los empleados no tengan que memorizar decenas de contraseñas diferentes. El coste de un gestor de contraseñas empresarial es de 3 a 6 euros por usuario al mes.

Medida 8: segmentación básica de red

Separe al menos su red WiFi de invitados de la red corporativa, y si tiene dispositivos IoT (cámaras, sensores, impresoras conectadas), colóquelos en una red separada. Un atacante que comprometa una cámara de seguridad no debería poder acceder a su servidor de contabilidad.

Medida 9: cifrado de dispositivos portátiles

Active el cifrado de disco completo en todos los portátiles y dispositivos móviles de la empresa (BitLocker en Windows, FileVault en macOS, cifrado nativo en iOS y Android). Si un portátil se pierde o es robado, el cifrado impide el acceso a los datos. Es gratuito y se activa en minutos.

Medida 10: política de uso aceptable y BYOD

Define por escrito qué pueden y qué no pueden hacer los empleados con los dispositivos corporativos y con sus dispositivos personales cuando acceden a recursos de la empresa. Esta política debe cubrir el uso del correo electrónico, la navegación web, la instalación de software, el almacenamiento de información corporativa en dispositivos personales y las condiciones de teletrabajo.

Nivel 3: medidas avanzadas (implementar este trimestre)

Medida 11: configuración de SPF, DKIM y DMARC

Estas tres tecnologías protegen su dominio de email contra la suplantación de identidad. SPF verifica que los correos que dicen venir de su dominio realmente se envían desde sus servidores autorizados. DKIM firma criptográficamente los correos para garantizar su integridad. Y DMARC establece la política sobre qué hacer con los correos que no pasan las verificaciones SPF y DKIM.

Consulta mio artículo sobre seguridad del correo electrónico para una guía de configuración paso a paso de SPF, DKIM y DMARC.

Medida 12: plan de respuesta ante incidentes

Documente un procedimiento que define quién es responsable de gestionar un incidente de seguridad, cómo se detectan y clasifican los incidentes, los pasos de contención para limitar el daño, a quién se notifica (internamente, a las autoridades, a los clientes), cómo se recupera la operación normal, y qué se aprende de cada incidente. Practique el plan al menos una vez al año con un simulacro de mesa.

Medida 13: monitorización de seguridad

Implemente herramientas que monitoricen la actividad de sus sistemas en busca de anomalías. Para PYMEs, una solución SIEM ligera en la nube o las capacidades de monitorización integradas en la solución EDR suelen ser suficientes como punto de partida.

Medida 14: gestión de vulnerabilidades

Realiza escaneos de vulnerabilidades al menos trimestralmente y corrija las vulnerabilidades críticas y altas en un plazo máximo de 30 días. Herramientas como OpenVAS (gratuita) o Nessus Essentials (gratuita hasta 16 IPs) permiten a cualquier PYME escanear su infraestructura sin coste de licencia.

Medida 15: protección WiFi empresarial

Utilice WPA3 (o WPA2 Enterprise como mínimo), cambie las contraseñas predeterminadas de todos los equipos de red, desactive WPS, oculte el SSID de la red corporativa si es práctico, y monitorice los dispositivos conectados para detectar accesos no autorizados.

Nivel 4: medidas para protección completa (implementar este semestre)

Medidas 16-20

Las cinco medidas restantes incluyen la implementación de DLP (Data Loss Prevention) para evitar fugas de información, la contratación de un seguro de ciberriesgo adaptado a su tamaño y sector, la gestión de accesos privilegiados (PAM) para controlar quién tiene acceso a qué y cuándo, la automatización de la respuesta a incidentes básicos, y la realización de un test de penetración anual para verificar la eficacia del conjunto.

Financiación con Kit Digital y ayudas públicas

El Kit Digital en su categoría de ciberseguridad financia la implementación de muchas de estas medidas (antimalware/EDR, monitorización, respuesta a incidentes) con hasta 6.000 euros para segmentos I a III y hasta 29.000 euros para segmentos IV y V. Las disposiciones de la Orden TDF/39/2026 mantienen abierto el marco para posibles nuevas convocatorias. Relacionado: Consultoría Ciberseguridad Empresas: Servicios y Costes.

Consulta mio artículo sobre Kit Digital ciberseguridad para conocer las opciones de financiación.

[[CTA-CONTACT]] ¿Necesita implementar un plan de ciberseguridad completo para su PYME? Hablamos. Evaluaremos tu situación y le propondremos las medidas más eficientes según su nivel de riesgo y presupuesto.

Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Auditoría de Ciberseguridad: Evaluación Completa.