La creciente ola de ciberataques a pequeñas y medianas empresas ha puesto sobre la mesa una problemática urgente: cómo blindar al tejido empresarial más vulnerable frente a unas amenazas cada vez más sofisticadas. En el programa especial de Ágora, se celebró una tertulia con expertos en ciberseguridad que analizaron los principales desafíos, soluciones y herramientas necesarias para que las pymes puedan afrontar este contexto con garantías.
Los invitados a la mesa redonda fueron Ismael Serrano, responsable de los servicios de Ciberdefensa de BBVA España; Nacho Mas, CEO de Startup Valencia; Víctor Deutsch, Director del Programa de Ingeniería de Software del IMMUNE Technology Institute; y Bárbara García, técnico de conocimiento y concienciación en INCIBE, el Instituto Nacional de Ciberseguridad.
La urgencia de una cultura de la ciberseguridad
Ismael Serrano arrancó la tertulia subrayando que “pensar que no te va a pasar es el peor error que puede cometer una empresa”. Para el responsable de ciberdefensa de BBVA, el primer paso es conocer los activos críticos de la empresa, protegerlos con medidas básicas como contraseñas robustas y actualizaciones constantes, y disponer de copias de seguridad externas. “No hace falta una gran inversión, pero sí organización”, enfatizó.
Víctor Deutsch reforzó esta idea apuntando que la mayoría de pymes ya han sufrido un incidente en los últimos años, y que muchas han aprendido a protegerse “por la vía más dura, es decir, después de haber sido atacadas«. Subrayó la importancia de estar preparados no solo para prevenir, sino también para reaccionar: “Lo imperdonable no es ser atacado, sino no saber cómo responder al ataque”.
Nacho Mas añadió que «el miedo paraliza» y que, lejos de temer la digitalización, «las empresas deben ocuparse de usar la tecnología con seguridad y conciencia«. Recordó que la ciberseguridad no es un lujo para las grandes compañías, sino una necesidad que afecta también al pequeño comercio, a startups y a autónomos.
INCIBE: el papel del Estado en la protección digital
Desde la perspectiva institucional, Bárbara García aportó datos alarmantes: «INCIBE ha gestionado más de 97.000 incidentes en 2024, lo que supone un 43% más que el año anterior«. La experta señaló que el phishing, el ransomware y la suplantación de identidad son las amenazas más frecuentes. Destacó los servicios gratuitos del INCIBE para empresas, como la línea 017 de atención personalizada, sistemas de alerta temprana y formaciones a través de la gira nacional por ciudades y plataformas educativas.
García remarcó que no hace falta ser técnico para beneficiarse de estas herramientas: “Hemos desarrollado kits específicos para pymes con guías prácticas y fáciles de aplicar”. También subrayó que muchas veces los ciberataques se basan en errores humanos, por lo que la concienciación y la formación son fundamentales.
La trampa del phishing: una escena reveladora
Durante la emisión, se presentó una escena dramatizada que reflejó cómo un estafador, simulando ser del banco, logra engañar a un cliente para que transfiera su dinero. El objetivo: demostrar la eficacia del “ingeniería social”, el arma favorita de los ciberdelincuentes.
Ismael Serrano aprovechó la ocasión para insistir en que “ningún banco pedirá nunca claves ni transferencias urgentes por teléfono o SMS”. Y advirtió: “Si hay dudas, cuelga y llama directamente a tu banco. Nunca pulses en enlaces no verificados”.
Recursos para una defensa asequible
Víctor Deutsch ofreció una serie de recomendaciones prácticas que cualquier pyme puede aplicar sin necesidad de contar con grandes presupuestos. La primera de ellas es realizar un inventario que permita identificar los activos críticos, desde usuarios clave hasta la información sensible del negocio.
La segunda consiste en establecer políticas de contraseñas robustas, evitando combinaciones predecibles, aún presentes en muchos entornos empresariales. Para ello, también se recomienda el uso de gestores de contraseñas y la autenticación en dos pasos como medidas básicas pero eficaces.
Otro punto clave es la realización de copias de seguridad periódicas, preferiblemente en la nube. “Incluso si solo gestionas tu lista de clientes en una hoja de Excel, asegúrate de que esa información esté respaldada en un entorno externo y seguro”, explicó Deutsch.
Además, mantener los sistemas actualizados es fundamental. Muchas empresas descuidan las actualizaciones por considerarlas innecesarias, pero los ciberdelincuentes aprovechan precisamente estas vulnerabilidades sin parchear para entrar en los sistemas.
Por último, Deutsch subrayó la importancia de contar con un plan de contingencia. “Saber cómo actuar ante un ataque es tan importante como prevenirlo. Una respuesta rápida puede marcar la diferencia entre recuperarse o desaparecer como empresa”, concluyó.
Educación digital transversal
Tanto Ismael Serrano como Bárbara García coincidieron en la necesidad de incluir la ciberseguridad como un eje transversal en la educación digital. Serrano mencionó que BBVA ofrece formación en plataformas como Coursera y a través de la campaña “CiberSencillo”, que busca explicar riesgos y soluciones de forma sencilla.
Por su parte, Víctor Deutsch destacó que desde IMMUNE están formando a los futuros desarrolladores y administradores de sistemas para que integren desde el inicio prácticas seguras: “Desde segmentación de red hasta redundancia de recursos, lo que se aprende al principio define cómo actuará esa persona en el futuro”.
Llamadas a la acción
Al cierre del programa, Nacho Mas fue contundente: “Hay que usar la tecnología, pero con responsabilidad. No podemos permitir que el miedo nos frene”. Deutsch añadió que la ciberseguridad es también una oportunidad profesional, ya que hay escasez de expertos y gran demanda en el sector.
Ismael Serrano concluyó con un mensaje claro: “La concienciación es la mejor defensa, y no hace falta gastar mucho para empezar a protegerse”. El debate dejó en evidencia que la lucha contra el cibercrimen no solo depende de firewalls y antivirus, sino de una cultura digital compartida, accesible y actualizada para todos.
