La semana pasada me llamó Francisco, de una pequena empresa de construcción en Monda. Estaba desesperado porque llevaba tres días sin poder acceder a sus ordenadores. "Juan José, me piden 8.000 euros para devolver mis archivos. ¿Qué hago?", me dijo con la voz quebrada. Desafortunadamente, Francisco se había convertido en otra víctima más del ransomware, ese tipo de ataque que está arruinando a muchas empresas como la suya.

Y es que la realidad es que en 2025, seis de cada diez pequeñas empresas que sufren un ciberataque grave acaban cerrando en los siguientes seis meses. No te digo esto para asustarte, sino porque creo que es importante que entiendas que la ciberseguridad ya no es algo opcional. Es tan básico como tener un seguro para tu coche o cerrar la puerta de tu negocio al irte a casa.

Lo que realmente está pasando ahí fuera

Déjame contarte lo que veo cada día desde WEBCOMUNICA. Los ciberdelincuentes ya no van solo a por las grandes empresas como pensábamos antes. Se han dado cuenta de que las pequeñas empresas somos un objetivo mucho más fácil porque tenemos menos defensas y, sinceramente, porque muchas veces no le damos la importancia que merece a este tema.

El mes pasado, Carmen, que tiene una gestoría en Coín, recibió un email que parecía del banco pidiéndole que actualizara sus datos. Parecía totalmente real, con el logo y todo. Por suerte me llamó antes de hacer clic, porque era un intento de phishing que podría haberle costado muy caro. Lo que más me llama la atención es que el 91% de los ataques empiezan exactamente así, con un simple email que parece inofensivo.

También está el caso de Miguel, que tiene un taller mecánico en Marbella. Trabajaba con una empresa grande de la zona y un día le hackearon los sistemas. No fue casualidad, los atacantes sabían que a través de él podrían llegar a su cliente principal. Es lo que llamamos ataques a la cadena de suministro, y si trabajas con empresas grandes, tienes que saber que eres un objetivo.

Pero no todo son malas noticias. También he visto empresas que han sabido protegerse bien y que han evitado disgustos enormes. La clave está en entender que la ciberseguridad no es cosa de expertos informáticos, sino de sentido común y de tomar algunas medidas básicas que cualquiera puede implementar.

Por dónde empezar sin gastarte una fortuna

Cuando la gente me pregunta por dónde empezar, siempre les digo lo mismo: hay cosas que puedes hacer hoy mismo, sin gastarte ni un euro, que ya te van a proteger muchísimo más de lo que estás ahora.

Lo primero y más importante es activar la autenticación de dos factores en todas las cuentas importantes de tu negocio. Es como poner una segunda cerradura en tu casa. Aunque alguien tenga tu contraseña, necesitará también tu móvil para entrar. Te lo digo por experiencia: en todos los años que llevamos implementando esto, nunca hemos visto un caso donde consiguieran entrar si tenías activada esta protección.

Luego están las actualizaciones. Sé que es un rollo y que siempre saltan en el peor momento, pero las actualizaciones no son solo para añadir funciones nuevas. La mayoría del tiempo son para tapar agujeros de seguridad. Es como si te dijeran que hay una ventana rota en tu casa y te dieran las herramientas para arreglarla gratis. ¿No lo harías?

Otra cosa súper importante: cambia las contraseñas que vienen de fábrica en todos tus dispositivos. El router de tu oficina, la impresora, la cámara de seguridad si tienes... Todo eso viene con contraseñas como "admin" o "123456" que cualquier niño de diez años sabe. Es como dejar las llaves puestas en tu coche.

Y por último, haz copias de seguridad, pero hazlas bien. No me vale con que tengas una copia en un disco duro al lado del ordenador, porque si entra un ransomware va a cifrar tanto el original como la copia. Necesitas tener copias en sitios diferentes. Yo siempre recomiendo la regla del 3-2-1: tres copias de tus datos importantes, en dos tipos de medios diferentes, y una fuera de tu oficina.

Si puedes permitirte un pequeño presupuesto mensual

Con unos 50-100 euros al mes ya puedes dar un salto de calidad importante en tu seguridad. Te estoy hablando de tener un antivirus empresarial de verdad, no el que viene con Windows. Herramientas como Bitdefender GravityZone o ESET Protect están especialmente pensadas para empresas y detectan amenazas que los antivirus domésticos se pasan por alto.

También puedes configurar bien tu firewall. Muchos routers ya vienen con firewalls potentes incorporados, pero hay que saber configurarlos. Es como tener un portero en tu edificio que sabe a quién dejar pasar y a quién no.

Si tienes empleados trabajando desde casa o te mueves entre la oficina y otros sitios, una VPN empresarial es fundamental. Es como crear un túnel privado entre tu ordenador y la empresa, para que nadie pueda escuchar lo que estás enviando.

Y algo que me parece importantísimo: un gestor de contraseñas empresarial. Herramientas como Bitwarden Business o 1Password te permiten tener contraseñas súper seguras para todo sin tener que recordarlas. Además, si un empleado se va, puedes revocar su acceso inmediatamente.

Para los que quieren ir un paso más allá

Si tu presupuesto te permite invertir entre 200 y 500 euros al mes, ya puedes implementar soluciones realmente profesionales. Estamos hablando de sistemas EDR que no solo detectan virus, sino que monitorizan todo lo que pasa en tus ordenadores y detectan comportamientos sospechosos antes de que se conviertan en un problema.

También puedes tener sistemas SIEM básicos que centralizan toda la información de seguridad de tu empresa y te avisan si algo raro está pasando. Es como tener un centro de control que vigila todo tu negocio las 24 horas.

Pero lo más importante en este nivel es la formación continua. Puedes tener la mejor tecnología del mundo, pero si tus empleados no saben reconocer un email sospechoso, tarde o temprano van a picar. Las auditorías de seguridad trimestrales también son clave para mantener todo actualizado y funcionando correctamente.

Si lo peor ya ha pasado: qué hacer cuando te atacan

Espero que nunca tengas que pasar por esto, pero si algún día te encuentras en la situación de Francisco, es importante que sepas qué hacer. El tiempo es oro en estos casos.

Lo primero es no entrar en pánico. Sé que es fácil decirlo, pero mantener la calma te va a ayudar a tomar mejores decisiones. Lo segundo es desconectar inmediatamente todos los sistemas afectados de internet y de la red. Es como cuando hay un incendio y cierras el gas para evitar que se propague.

Después tienes que intentar identificar qué tipo de ataque es y hasta dónde ha llegado. ¿Son solo algunos archivos o toda la red está comprometida? ¿Han robado datos o solo los han cifrado? Esta información es crucial para los siguientes pasos.

Una vez que tienes controlado que no se propague más, hay que eliminar completamente la amenaza. Esto no es tan simple como borrar algunos archivos, porque muchas veces los atacantes dejan "puertas traseras" para volver a entrar más tarde.

Luego viene la parte de recuperación, donde es cuando te das cuenta de lo importante que eran esas copias de seguridad que mencionaba antes. Si las tienes bien hechas, puedes estar funcionando otra vez en unas horas. Si no las tienes... bueno, ahí es donde muchas empresas deciden cerrar.

Y algo súper importante: documenta todo lo que ha pasado. No solo para aprender de cara al futuro, sino porque dependiendo del tipo de datos que manejes, es posible que tengas obligación legal de reportar el incidente.

Las pequeñas cosas que importan muchísimo

Hay algunas tareas básicas que deberías revisar periódicamente. No hace falta que seas un experto, pero sí que tengas una rutina.

Cada tres meses, revisa y cambia las contraseñas más críticas de tu negocio. Sé que es un rollo, pero piénsalo como cambiar las cerraduras de tu casa de vez en cuando. Cada semana, comprueba que tus copias de seguridad se están haciendo correctamente y que realmente puedes recuperar información de ellas. No te fíes solo de que el programa diga que ha funcionado.

Una vez al mes, dedica un rato a aplicar todas las actualizaciones pendientes. No solo del sistema operativo, sino de todos los programas que uses. Y aprovecha también para revisar qué empleados tienen acceso a qué sistemas. A veces nos olvidamos de quitar permisos cuando alguien cambia de departamento o deja la empresa.

Cada tres meses, haz algún tipo de simulacro o prueba. Envía un email de prueba a tus empleados para ver si reconocen un intento de phishing. No es para pillarlos, sino para formarlos.

El factor más importante: las personas

Te voy a contar algo que me ha enseñado la experiencia: el 95% de los ataques exitosos funcionan porque en algún momento una persona se equivoca. No es culpa suya, los atacantes son cada vez más listos y sus engaños cada vez más convincentes.

Por eso es fundamental que tu equipo sepa reconocer los intentos de engaño. Un email con faltas de ortografía, que te mete mucha prisa o que viene de un remitente que no conoces debería encenderte las alarmas. Antes de hacer clic en cualquier enlace, acostúmbrate a pasar el ratón por encima para ver la dirección real. Muchas veces pone "banco-santander.com" pero el enlace real va a "banco-santander-seguridad.ru" o algo así.

También hay que tener cuidado con las llamadas telefónicas. Los estafadores saben mucha información sobre tu empresa porque la sacan de internet o de redes sociales. Pueden llamarte diciendo que son del banco, del proveedor de internet o incluso de Hacienda, y pedirte datos confidenciales. La regla de oro es: si no has iniciado tú la llamada, no des información sensible. Diles que les vas a llamar tú de vuelta.

Y algo que veo muchas veces: nunca conectes un USB o dispositivo desconocido a los ordenadores de la empresa. Los atacantes a veces dejan USBs infectados en los aparcamientos o en las entradas de las empresas, esperando que alguien curioso los conecte.

María González, de una empresa cliente nuestra, me decía hace poco: "Invertimos 300 euros al mes en ciberseguridad y el año pasado evitamos un ransomware que nos habría costado 50.000 euros y probablemente el cierre de la empresa. Mejor inversión, imposible".

Lo que dice la ley (y por qué te importa)

Además de proteger tu negocio, tienes obligaciones legales que cumplir. El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPDGDD) no son solo papeles burocráticos, tienen consecuencias reales.

Dependiendo del tamaño de tu empresa y del tipo de datos que manejes, es posible que tengas que nombrar un Delegado de Protección de Datos. También tienes que hacer evaluaciones de impacto cuando vayas a tratar datos especialmente sensibles.

Pero lo más importante es que si te hackean y se filtran datos personales de tus clientes, tienes solo 72 horas para notificarlo a las autoridades. Y si han accedido a datos especialmente sensibles, también tienes que avisar directamente a las personas afectadas.

Las multas por no cumplir con esto pueden llegar hasta el 4% de tu facturación anual o 20 millones de euros, lo que sea mayor. Y créeme, la Agencia de Protección de Datos cada vez está siendo más estricta con estos temas.

Recursos que no te van a costar dinero

Si quieres aprender más sobre ciberseguridad sin gastarte dinero, hay recursos oficiales muy buenos. El INCIBE (Instituto Nacional de Ciberseguridad) tiene guías y herramientas gratuitas muy útiles para empresas como la tuya. La OSI (Oficina de Seguridad del Internauta) ofrece formación online gratuita que está muy bien explicada.

El CCN-CERT del gobierno español también tiene herramientas gratuitas de seguridad que puedes usar. Y si quieres comprobar si alguna vez se han filtrado tus datos en algún ataque, la web "Have I Been Pwned" te lo dice gratis.

No es un gasto, es una inversión

Después de 20 años ayudando a empresas como la tuya, te puedo asegurar que cada euro que inviertas en ciberseguridad te puede ahorrar miles en recuperación de desastres, pérdida de clientes y dolores de cabeza.

Francisco, del que te hablaba al principio, ahora tiene un sistema de seguridad básico que le cuesta 150 euros al mes. Me decía la semana pasada: "Juan José, duermo mucho mejor sabiendo que mis datos están protegidos. Y además, mis clientes me ven más profesional cuando les hablo de las medidas de seguridad que tengo".

Si necesitas ayuda para evaluar la seguridad de tu empresa o quieres que te asesoremos sobre qué medidas son las más importantes en tu caso específico, en WEBCOMUNICA estamos aquí para ayudarte. Llevamos años haciendo esto y conocemos muy bien las necesidades de las empresas de Monda, Coín, Marbella y toda la zona.

No esperes a ser víctima para actuar. La ciberseguridad es como el seguro del coche: esperas no necesitarlo nunca, pero cuando lo necesitas, te alegras muchísimo de tenerlo.