España se ha consolidado en los últimos años como uno de los países más castigados por los incidentes de ciberseguridad a nivel internacional. Distintos informes del sector sitúan al país de forma recurrente en el “podio” de los más atacados del mundo, una posición nada envidiable que refleja la intensidad con la que el cibercrimen está golpeando a empresas, administraciones y ciudadanos. En este contexto, las pequeñas y medianas empresas (pymes) destacan como uno de los objetivos preferidos por los atacantes, no tanto por el valor individual de cada una, sino por lo que representan dentro del ecosistema económico y digital. Tanto es así que, en los nuevos métodos de ingeniería social impulsados por la IA, el phishing como servicio empeora la situación, aumentando de manera notable la tasa de éxito de campañas dirigidas en este sector empresarial.
Los datos oficiales del Instituto Nacional de Ciberseguridad (INCIBE) ayudan a dimensionar el problema. Solo en 2024, el CERT de INCIBE gestionó más de 97.000 incidentes de ciberseguridad en España, con un incremento del 16,6 % respecto al año anterior. De ellos, más de 31.500 afectaron directamente a empresas, incluidas pymes y autónomos, que ya representan casi un tercio del total de los casos atendidos. La tendencia no solo se mantiene, sino que se agrava: en 2025 la cifra superó los 122.000 incidentes, un 26 % más, confirmando que la presión del cibercrimen sigue creciendo. Además, según los últimos datos del informe de amenazas al correo electrónico de Barracuda Networks, 1 de cada 3 mensajes de correo electrónico es malicioso o spam no deseado y es que el 48% de la actividad del correo electrónico corresponde a campañas de phishing.
Detrás de estas cifras hay una realidad especialmente preocupante. Muchas pymes siguen percibiéndose a sí mismas como “demasiado pequeñas” para resultar atractivas a los ciberdelincuentes. Sin embargo, los atacantes han demostrado justo lo contrario: las organizaciones con menos recursos, menor madurez en seguridad y una alta dependencia del correo electrónico y los servicios digitales son, en la práctica, un objetivo más fácil y rentable. Phishing, malware y ransomware continúan siendo las amenazas más habituales, con el correo electrónico como principal puerta de entrada, según coinciden tanto INCIBE como los principales fabricantes de ciberseguridad.
En este punto, los análisis de Barracuda aportan una visión especialmente reveladora. Su Email Threats Report 2026 muestra que el 34% de las empresas sufre al menos un incidente mensual, lo que permite a los atacantes enviar correos más creíbles desde direcciones legítimas. Para una pyme, la pérdida de control de una cuenta de correo no es un incidente menor: puede derivar en estafas a clientes, suplantación de identidad o ataques dirigidos a socios comerciales. Por sus características, las pymes son especialmente vulnerables ante estos ataques y, en muchas ocasiones, no cuentan con los elementos necesarios para detectarlos ni para recuperarse de ellos con rapidez lo que las convierte en objetivos muy apetecibles para los ciberdelincuentes.
El problema, además, no se limita al impacto directo sobre la pyme atacada. Cada vez con más frecuencia, estas empresas actúan como eslabones débiles dentro de la cadena de suministro de grandes organizaciones. Una pequeña empresa proveedora con acceso a sistemas, datos o comunicaciones de una gran compañía puede convertirse en la vía de entrada perfecta para un ataque más amplio. INCIBE lleva tiempo alertando de este riesgo y subraya que los ataques a la cadena de suministro permiten a los delincuentes amplificar su impacto, comprometiendo a múltiples víctimas a partir de un único proveedor vulnerable.
Barracuda también ha puesto el foco en esta tendencia desde el ámbito internacional. En su blog y análisis recientes advierte de que los atacantes ya no solo persiguen a grandes corporaciones de forma directa, sino que explotan la confianza digital entre empresas, abusando de proveedores, servicios compartidos y credenciales legítimas para eludir controles de seguridad tradicionales. De ahí que el 34% de las empresas sufra al menos un incidente de apropiación de cuentas cada mes, consiguiendo la distribución de contenido malicioso a través de URL o incorporación de códigos QR en formatos de documentos de confianza para ocultar destinos maliciosos. En la práctica, esto significa que una pyme poco protegida no solo pone en riesgo su propia continuidad, sino también la de las grandes empresas que confían en ella.
La ciberseguridad ya no puede entenderse como un lujo ni como un problema exclusivamente técnico. Requiere de inversión proporcional al riesgo
Las consecuencias de este escenario son múltiples y profundas. Para los empleados, una brecha puede suponer la exposición de datos personales, credenciales o incluso nóminas. Para los clientes, el riesgo se traduce en fraudes, suplantaciones y pérdida de confianza. Y para el conjunto del tejido empresarial, el impacto se manifiesta en interrupciones operativas, daños reputacionales y, en los casos más graves, el cierre definitivo del negocio. No es casualidad que distintos estudios alerten de que una parte significativa de las pymes no logra recuperarse tras un ciber incidente grave.
Cambiar esta situación exige un enfoque distinto. La ciberseguridad ya no puede entenderse como un lujo ni como un problema exclusivamente técnico. Requiere inversión proporcional al riesgo, formación continua de empleados (y de los directivos también) y una mayor implicación de las grandes empresas en la protección de su ecosistema de proveedores. Iniciativas como las guías y servicios de apoyo de INCIBE, o la adopción de soluciones de protección del correo, la navegación, la red y la detección avanzada y respuesta automatizada (XDR/SOC) frente a amenazas, recomendadas por fabricantes como Barracuda, son pasos necesarios, pero no suficientes por sí solos.
En un país que ocupa posiciones tan altas en los rankings de ciberataques, reforzar la ciber resiliencia de las pymes no es solo una cuestión de supervivencia empresarial, sino un asunto estratégico para la economía y la confianza digital. Porque, en un entorno interconectado, la seguridad es tan fuerte como el más débil de sus eslabones.
Por Miguel López, Channel Director Western Europe de Barracuda Networks
