Un plan de ciberseguridad PYME combina 20 medidas básicas: MFA, copias 3-2-1, EDR, formación, parches, control de accesos y respuesta a incidentes.
No necesita ser una gran empresa para ser objetivo de un ciberataque. De hecho, el 70% de los ciberataques en España se dirigen a PYMEs precisamente porque sus defensas son más débiles. La buena noticia es que el 80% de los ataques exitosos podrían haberse prevenido con medidas básicas que no requieren grandes inversiones. Estas son las 20 medidas de ciberseguridad que toda PYME debería tener implementadas, ordenadas por prioridad e impacto.
Si quiere un diagnóstico profesional antes de actuar, consulta mio artículo sobre auditoría de ciberseguridad.
Nivel 1: las medidas urgentes (implementar esta semana)
Medida 1: autenticación multifactor (MFA) en todas las cuentas críticas
El MFA es la medida de seguridad con mayor impacto inmediato. Active la verificación en dos pasos en todas las cuentas de correo electrónico, acceso a la nube (Microsoft 365, Google Workspace), CRM, ERP, banca online, redes sociales corporativas y panel de administración del sitio web. Si un atacante obtiene la contraseña de un empleado (mediante phishing o filtración de datos), el MFA impide que acceda a la cuenta.
El coste es prácticamente cero (la mayoría de servicios cloud incluyen MFA sin coste adicional) y la implementación se completa en un día. No hay excusa para no tenerlo activado.
Medida 2: copias de seguridad con regla 3-2-1
La regla 3-2-1 establece que debe mantener 3 copias de tus datos, en 2 soportes diferentes, con 1 copia fuera de las instalaciones. Esto significa que además del dato original, debe tener una copia en un disco o NAS local y otra copia en la nube o en una ubicación física diferente.
Las copias deben ser automáticas (no depender de que alguien se acuerde), verificadas periódicamente (restaure una copia al menos una vez al trimestre para verificar que funciona), y protegidas contra ransomware (al menos una copia debe ser inmutable o estar aislada de la red, para que un ransomware no pueda cifrarla).
Medida 3: actualización y parcheo de todos los sistemas
Los ciberdelincuentes explotan vulnerabilidades conocidas en software desactualizado. Mantén actualizados todos los sistemas operativos (Windows, macOS, Linux, iOS, Android), todas las aplicaciones (navegadores, Office, Adobe, Java), el firmware de los dispositivos de red (routers, firewalls, puntos de acceso WiFi), y las aplicaciones web (WordPress, CMS, plugins).
Active las actualizaciones automáticas donde sea posible. Para sistemas críticos donde las actualizaciones automáticas puedan generar problemas, establece un proceso de parcheo mensual con ventanas de mantenimiento programadas.
Medida 4: formación básica de seguridad para todo el personal
El 95% de los incidentes de seguridad tienen un componente de error humano. Una sesión de formación de 2 horas que cubra cómo identificar correos de phishing, la importancia de contraseñas únicas y robustas, el uso seguro del correo electrónico y la navegación web, qué hacer si detectan algo sospechoso, y el procedimiento de notificación de incidentes reduce drásticamente el riesgo de un ataque exitoso.
Consulta mio artículo sobre concienciación en ciberseguridad según el ENS para diseñar un programa de formación completo.
Nivel 2: medidas fundamentales (implementar este mes)
Medida 5: protección de endpoint (EDR)
Sustituya el antivirus tradicional por una solución EDR (Endpoint Detection and Response) que no solo bloquee malware conocido, sino que detecte comportamientos sospechosos y proporcione capacidades de investigación y respuesta. Las soluciones EDR modernas para PYMEs cuestan entre 3 y 8 euros por dispositivo al mes e incluyen gestión centralizada en la nube.
Medida 6: firewall perimetral correctamente configurado
Un firewall es solo tan bueno como su configuración. Verifica que bloquea todo el tráfico entrante no autorizado, que filtra el tráfico saliente (para detectar comunicaciones con servidores de comando y control de malware), que los logs están activados y se almacenan para análisis, y que las reglas se revisan al menos semestralmente para eliminar las obsoletas.
Medida 7: gestión de contraseñas
Implanta una política de contraseñas que exija un mínimo de 12 caracteres, prohiba la reutilización de contraseñas, y utilice un gestor de contraseñas empresarial (Bitwarden, 1Password, Keeper) para que los empleados no tengan que memorizar decenas de contraseñas diferentes. El coste de un gestor de contraseñas empresarial es de 3 a 6 euros por usuario al mes.
Medida 8: segmentación básica de red
Separe al menos su red WiFi de invitados de la red corporativa, y si tiene dispositivos IoT (cámaras, sensores, impresoras conectadas), colóquelos en una red separada. Un atacante que comprometa una cámara de seguridad no debería poder acceder a su servidor de contabilidad.
Medida 9: cifrado de dispositivos portátiles
Active el cifrado de disco completo en todos los portátiles y dispositivos móviles de la empresa (BitLocker en Windows, FileVault en macOS, cifrado nativo en iOS y Android). Si un portátil se pierde o es robado, el cifrado impide el acceso a los datos. Es gratuito y se activa en minutos.
Medida 10: política de uso aceptable y BYOD
Define por escrito qué pueden y qué no pueden hacer los empleados con los dispositivos corporativos y con sus dispositivos personales cuando acceden a recursos de la empresa. Esta política debe cubrir el uso del correo electrónico, la navegación web, la instalación de software, el almacenamiento de información corporativa en dispositivos personales y las condiciones de teletrabajo.
Nivel 3: medidas avanzadas (implementar este trimestre)
Medida 11: configuración de SPF, DKIM y DMARC
Estas tres tecnologías protegen su dominio de email contra la suplantación de identidad. SPF verifica que los correos que dicen venir de su dominio realmente se envían desde sus servidores autorizados. DKIM firma criptográficamente los correos para garantizar su integridad. Y DMARC establece la política sobre qué hacer con los correos que no pasan las verificaciones SPF y DKIM.
Consulta mio artículo sobre seguridad del correo electrónico para una guía de configuración paso a paso de SPF, DKIM y DMARC.
Medida 12: plan de respuesta ante incidentes
Documente un procedimiento que define quién es responsable de gestionar un incidente de seguridad, cómo se detectan y clasifican los incidentes, los pasos de contención para limitar el daño, a quién se notifica (internamente, a las autoridades, a los clientes), cómo se recupera la operación normal, y qué se aprende de cada incidente. Practique el plan al menos una vez al año con un simulacro de mesa.
Medida 13: monitorización de seguridad
Implemente herramientas que monitoricen la actividad de sus sistemas en busca de anomalías. Para PYMEs, una solución SIEM ligera en la nube o las capacidades de monitorización integradas en la solución EDR suelen ser suficientes como punto de partida.
Medida 14: gestión de vulnerabilidades
Realiza escaneos de vulnerabilidades al menos trimestralmente y corrija las vulnerabilidades críticas y altas en un plazo máximo de 30 días. Herramientas como OpenVAS (gratuita) o Nessus Essentials (gratuita hasta 16 IPs) permiten a cualquier PYME escanear su infraestructura sin coste de licencia.
Medida 15: protección WiFi empresarial
Utilice WPA3 (o WPA2 Enterprise como mínimo), cambie las contraseñas predeterminadas de todos los equipos de red, desactive WPS, oculte el SSID de la red corporativa si es práctico, y monitorice los dispositivos conectados para detectar accesos no autorizados.
Nivel 4: medidas para protección completa (implementar este semestre)
Medidas 16-20
Las cinco medidas restantes incluyen la implementación de DLP (Data Loss Prevention) para evitar fugas de información, la contratación de un seguro de ciberriesgo adaptado a su tamaño y sector, la gestión de accesos privilegiados (PAM) para controlar quién tiene acceso a qué y cuándo, la automatización de la respuesta a incidentes básicos, y la realización de un test de penetración anual para verificar la eficacia del conjunto.
Financiación con Kit Digital y ayudas públicas
El Kit Digital en su categoría de ciberseguridad financia la implementación de muchas de estas medidas (antimalware/EDR, monitorización, respuesta a incidentes) con hasta 6.000 euros para segmentos I a III y hasta 29.000 euros para segmentos IV y V. Las disposiciones de la Orden TDF/39/2026 mantienen abierto el marco para posibles nuevas convocatorias. Relacionado: Consultoría Ciberseguridad Empresas: Servicios y Costes.
Consulta mio artículo sobre Kit Digital ciberseguridad para conocer las opciones de financiación.
¿Necesita implementar un plan de ciberseguridad completo para su PYME? Hablamos. Evaluaremos tu situación y le propondremos las medidas más eficientes según su nivel de riesgo y presupuesto.
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Auditoría de Ciberseguridad: Evaluación Completa.
Preguntas frecuentes en profundidad
¿Qué medidas mínimas debe tener una PYME para estar mínimamente protegida?
Cinco medidas que son no negociables aunque la empresa tenga 3 personas: 1) MFA obligatorio en email, banco y herramientas críticas, 2) backup automático fuera de la red local con verificación mensual de restauración, 3) software antivirus o EDR moderno en todos los endpoints, 4) gestor de contraseñas corporativo, 5) formación básica en phishing al equipo (1-2 horas anuales).
Las cinco juntas cubren el 70 % de los ataques exitosos a PYMEs según los informes anuales de INCIBE-CERT. El coste combinado está por debajo de 1.500 €/año para una pyme de 10 personas.
¿Cuáles son los ataques más frecuentes a PYMEs en España?
Tres tipologías concentran el 80 % de incidentes reales según los informes anuales de INCIBE-CERT: 1) phishing y BEC (fraude del CEO) que terminan en transferencias fraudulentas, 2) ransomware que cifra ficheros y exige rescate, 3) compromiso de credenciales para uso fraudulento (acceso a banca, suplantación, robo de datos para revender).
El vector inicial en la mayoría de casos es un email malicioso que un empleado abre o un sitio web fraudulento donde se introducen credenciales. Por eso la combinación email + formación + MFA cubre tanto.
¿Cuánto cuesta implantar un plan de ciberseguridad básico?
Para una PYME de 10-50 empleados: implantación inicial 8.000-25.000 € (auditoría, configuración, formación, instalación) más licencias anuales 4.000-12.000 € (EDR, gestor de contraseñas, MDM, copia de seguridad cloud, SIEM o XDR si aplica).
Para microempresas (1-9 empleados) bastan herramientas SaaS estándar bien configuradas por menos de 1.500 €/año. El Kit Digital de Red.es y el qué es el Kit Consulting subvencionan ciberseguridad hasta 29.000 € para PYMEs y autónomos.
¿Qué hacer cuando se sufre un incidente?
Cuatro pasos en este orden: 1) contener (desconectar el equipo afectado de la red, no apagarlo si quieres preservar evidencias), 2) notificar al INCIBE-CERT vía 017 y, si hay datos personales afectados, a la AEPD en 72 horas, 3) restaurar desde backup limpio (verifica fecha del backup y que no esté comprometido), 4) analizar la causa raíz y corregir el vector.
Si la PYME no tiene equipo propio para esos pasos, la línea 017 del INCIBE da asistencia técnica gratuita 24/7. Es el primer número que debe estar en el plan de respuesta.
¿Necesito contratar un CISO o un SOC?
Una PYME normal no necesita CISO interno. Lo que necesita es asignar la responsabilidad de seguridad explícitamente (puede ser el responsable de IT con apoyo externo, o una consultora especializada en modo Virtual CISO 1-2 días/mes).
SOC externalizado (Managed Detection and Response) tiene sentido a partir de un nivel de criticidad alto: empresas que manejan datos sensibles a gran escala, sectores regulados, o tras un incidente grave. Coste habitual: 400-2.500 €/mes según volumen.
¿Cómo se mide si el plan de ciberseguridad funciona?
Cuatro KPIs prácticos: 1) % de cuentas con MFA activo (objetivo 100 %), 2) tiempo medio para parchear vulnerabilidades críticas (objetivo <30 días), 3) % de copias de seguridad restauradas con éxito en simulacro trimestral, 4) número de incidentes simulados por phishing detectados/no detectados por el equipo.
Si los cuatro mejoran trimestre tras trimestre, la postura de seguridad mejora. Si solo bajan los incidentes reportados, podría ser que el equipo se haya cansado de reportar y no que haya menos: por eso conviene combinar métricas activas (auditorías) con pasivas (incidentes reportados).
¿Necesitas ayuda con esto?
Trabaja conmigo en Auditoría y plan de ciberseguridad
Consultoría a medida en ciberseguridad para PYMEs. Primera sesión sin coste.
Agendar sesión →