¿Microsoft Defender for Endpoint es suficiente para una pyme?

Para una pyme ya en Microsoft 365 Business Premium, Defender for Endpoint P1 (incluido) cubre el 80% de las necesidades: antimalware next-gen, EDR básico, reducción de superficie de ataque, control de aplicaciones. Para ir más allá (threat hunting, sandboxing automático, rollback de ransomware nativo), el Plan 2 o un producto dedicado como CrowdStrike Falcon Go o SentinelOne son preferibles. El criterio decisivo: ¿tiene equipo de seguridad interno? Si no, opte por una oferta MDR (Managed Detection Response) en lugar de un EDR autónomo.

¿MFA en todas partes es realista en una pyme?

Sí, en 2026 es incluso un requisito de las aseguradoras. Microsoft Entra ID y Google Workspace permiten activar MFA en pocos clics en todas las cuentas. Para SaaS de terceros (Salesforce, HubSpot, Slack), la activación está en los ajustes de seguridad de cada herramienta. Para VPN y RDP, use Duo, Microsoft Authenticator o una llave FIDO2. El sobrecoste es marginal (a menudo cero con licencias ya existentes), la fricción de usuario es baja tras formación, y el ROI es enorme: el 99% de los ataques por credential stuffing son bloqueados por MFA (Microsoft Digital Defense Report 2024).

¿Vale la pena contratar un ciberseguro?

Sí para pymes que tratan datos de clientes, manejan propiedad intelectual o dependen de su SI para producir. Una prima de 2.000 a 5.000 € al año cubre gastos de investigación, restauración, lucro cesante y responsabilidad civil — frente a un coste medio de incidente de 250.000 €. Atención: las aseguradoras exigen ahora MFA, EDR, copias de seguridad fuera de línea y formación. Sin esos requisitos previos, será rechazado o excluido en caso de siniestro.

¿Es obligatorio el plan de continuidad (PCN/PRA)?

Legalmente, sí para los Operadores de Servicios Esenciales (OSE) bajo NIS2 transpuesta en España vía el Esquema Nacional de Seguridad (ENS) y el Real Decreto de transposición de NIS2. Para otras pymes, no es obligatorio pero se ha convertido en un requisito asegurador y contractual (los grandes clientes lo exigen en licitaciones). Un PCN minimalista documentado (RTO, RPO, procedimiento de restauración probado mensualmente, contactos de emergencia) basta para una pyme estándar.

¿La formación antiphishing a empleados es realmente eficaz?

Sí, es medible. Las campañas simuladas trimestrales (KnowBe4, Mantra, Cymulate) hacen pasar la tasa de clics en phishing simulado del 30% a menos del 5% en doce meses de media. El secreto: regularidad, escenarios creíbles y adaptados al negocio, y debriefing pedagógico (nunca punitivo) después de cada campaña. Combine con cursos de concienciación gratuitos del INCIBE para reforzar la base.

¿Qué hacer en las primeras 24 horas tras un ataque?

Hora H: aislamiento de red (cortar Internet y SMB internos), activación de la célula de crisis, contacto con DFIR. H+2: copia de los logs y copia forense, identificación de la cepa. H+4: notificación INCIBE-CERT si OSE y activación del ciberseguro. H+12: inicio de la restauración desde copia de seguridad inmutable en entorno aislado. H+72: notificación AEPD si fuga probable de datos personales. Todas estas acciones deben estar pre-redactadas en el runbook de incidentes, no improvisadas.

Protección ransomware empresa 2026: stack completa y cumplimiento

El ransomware ya no es una amenaza abstracta reservada a las grandes empresas. En 2025, las pymes españolas representaron el 60% de las víctimas de ransomware atendidas por INCIBE, con un coste medio de incidente estimado en 250.000 € según Coveware en el mercado europeo. Y el 60% de las pymes víctimas de un ataque mayor no se recuperan en los 18 meses posteriores (Hiscox Cyber Readiness Report 2024).

Esta guía está dirigida a CISO, CIO, gerentes y responsables informáticos de pymes españolas. Describe la stack defensiva mínima considerada estado del arte en 2026, articula las exigencias regulatorias (RGPD, NIS2, DORA, ENS) y propone una hoja de ruta pragmática para construir una defensa en profundidad sin presupuesto de gran cuenta.

Por qué las pymes se han convertido en el objetivo principal

Los grupos de ransomware (LockBit, BlackCat/ALPHV, Play, 8Base, Akira) operaron un giro estratégico desde 2022. Las grandes cuentas, mejor equipadas, pagan menos y negocian más. Las pymes, infradotadas en medios humanos de ciberseguridad, pagan más rápido y sin publicidad. El modelo de negocio de los operadores RaaS (Ransomware-as-a-Service) se basa ahora en el volumen: cientos de ataques oportunistas dirigidos a pymes mal protegidas, en lugar de campañas costosas contra grandes grupos.

Los vectores de entrada dominantes en 2025-2026:

Cuentas RDP expuestas a Internet sin MFA: aún el 23% de las intrusiones según informes europeos 2024.
Phishing con archivo adjunto Office macro o enlace hacia un falso portal Microsoft 365 que recolecta credenciales.
Explotación de CVE no parcheadas en VPN SSL (Fortinet, SonicWall, Citrix), servidores Exchange, aplicaciones de negocio abiertas a Internet.
Compromiso de la cadena de suministro (MSP infectado, actualización envenenada).
Credenciales robadas revendidas en mercados (Initial Access Brokers).

La defensa en profundidad no consiste en impedir el 100% de las intrusiones — es estadísticamente imposible. Consiste en multiplicar las capas para hacer el ataque económicamente no rentable, y garantizar una recuperación rápida cuando triunfa a pesar de todo.

La regla 3-2-1-1-0: copia de seguridad anti-ransomware

La regla clásica 3-2-1 (tres copias, dos soportes, una copia fuera del sitio) ha mostrado sus límites frente a los ransomware modernos que apuntan activamente a las copias de seguridad conectadas. Las copias Veeam, Synology y Datto han sido cifradas en más del 70% de los incidentes pyme atendidos por los CSIRT regionales en 2024. La evolución estándar es ahora la regla 3-2-1-1-0:

Elemento	Significado	Implementación pyme tipo
3 copias	Dato original + 2 backups	Producción + copia primaria + copia secundaria
2 soportes	Medios diferentes	Disco (NAS) + cinta LTO o nube
1 offsite	Una copia fuera del sitio	Nube cifrada (AWS S3, Azure Blob, Wasabi) o datacenter remoto
1 offline / inmutable	Una copia air-gapped o WORM	LTO en caja fuerte, u Object Lock (S3, Azure, Backblaze B2)
0 errores	Pruebas de restauración sin fallo	Restauración mensual documentada, alertas sobre error de verificación

Tres opciones técnicas para la copia inmutable:

Cinta LTO en rotación semanal ubicada en caja fuerte ignífuga fuera del sitio. Solución probada, poco costosa a largo plazo (LTO-9 = 18 TB nativos, ~150 €/cartucho), pero lenta en restauración.
Nube con cerradura de objetos (S3 Object Lock en modo compliance, Azure Blob immutability policy, Wasabi Object Lock, Backblaze B2). El bloqueo impide cualquier supresión — incluso por un atacante que hubiera robado las claves de la cuenta cloud — durante la duración definida (típicamente 30 a 90 días).
NAS con snapshots WORM: Synology Hyper Backup con retención inmutable, QNAP HBS 3 con SnapSync bloqueado. Práctico pero permanece en sitio, por tanto vulnerable a desastre físico.

Para la copia de seguridad primaria de puestos y servidores Windows, EaseUS Todo Backup Business gestiona nativamente el cifrado AES-256, la rotación de juegos, la verificación CRC tras cada ciclo, y la copia multi-destino (NAS + nube + USB rotativo).

★ Éditeur fondé en 2004 · ✓ Garantie 30 jours · Version gratuite jusqu'à 2 Go

EaseUS Todo Backup Business para pymes→

Para la documentación detallada de la estrategia 3-2-1, ver nuestra guía Copia de seguridad automática Windows / Mac 2026.

EDR: el pilar de la detección moderna

El antivirus clásico basado en firmas está muerto frente a los ransomware. Los operadores RaaS recompilan sus payloads varias veces al día, evadiendo sistemáticamente las firmas. La capa defensiva de referencia en 2026 es el EDR (Endpoint Detection and Response): agente ligero que vigila los comportamientos, telemetría enviada a una consola cloud, capacidades de rollback, hunting proactivo.

Comparativa de soluciones EDR para pymes

Solución	Objetivo	Precio orientativo	Rollback ransomware	Threat hunting	Opción MDR	Despliegue
CrowdStrike Falcon Go	Pymes 5-50 puestos	~8 €/puesto/mes	Sí (limitado)	No en Go, sí en Pro	Falcon Complete	Muy rápido, agente único
SentinelOne Singularity Core	Pymes 10-500 puestos	8-12 €/puesto/mes	Sí (rollback nativo)	Sí en Control	Vigilance Respond	Rápido, consola intuitiva
Microsoft Defender for Endpoint P1	Incluido M365 Business Premium	Incluido	Parcial	Limitado	MDE Plan 2 o terceros	Nativo Intune / Entra ID
Microsoft Defender for Endpoint P2	Pymes exigentes	~5 €/puesto/mes adicional	Sí	Advanced Hunting KQL	MDR socio	Nativo Intune
Sophos Intercept X Advanced	Pymes hispanohablantes	7-10 €/puesto/mes	Sí (CryptoGuard)	Sí en XDR	Sophos MTR	Cloud Sophos Central
Bitdefender GravityZone Business Security	Pymes con presupuesto ajustado	4-6 €/puesto/mes	Sí (Ransomware Mitigation)	Limitado en Business	Premium / MDR	Cloud, simple

Criterios prácticos de elección:

Equipo de seguridad interno nulo o reducido: priorizar una oferta MDR (Managed Detection Response). El SOC del proveedor vigila 24/7, detecta y neutraliza. Coste más elevado (15-30 €/puesto/mes según proveedor), pero valor incomparable para una pyme sin CISO a tiempo completo.
Ya en Microsoft 365 Business Premium: Defender for Endpoint P1 está incluido, conviene activarlo correctamente (políticas Intune, ASR rules, acceso condicional) antes de plantearse un producto de terceros.
Entorno heterogéneo (Windows + Mac + Linux + servidores): SentinelOne y CrowdStrike cubren el conjunto con un agente unificado. Defender cubre mal Linux y los servidores no-AD.
Restricción de soberanía: Sophos (Reino Unido) y Bitdefender (Rumanía, UE) son opciones defendibles en el plano de soberanía fuera del ecosistema estadounidense.

El EDR no reemplaza la copia de seguridad inmutable. Disminuye la probabilidad de un ataque exitoso, acelera la detección, y permite el rollback; jamás garantiza la inviolabilidad absoluta.

MFA en todas partes: el freno más rentable

La Multi-Factor Authentication es estadísticamente la medida de ciberseguridad pyme más rentable. Microsoft mide que el 99,2% de los ataques por credential stuffing son bloqueados por MFA, independientemente de la calidad de la contraseña.

Cobertura objetivo

Cuentas Microsoft 365 / Google Workspace: MFA obligatoria para el 100% de los usuarios, sin excepción. Conditional Access (Entra ID) o 2-Step Verification enforce (Google).
VPN de acceso remoto: MFA vía Duo, Microsoft Authenticator, Cisco DUO, o solución integrada al firewall (Fortinet FortiToken, SonicWall TOTP).
RDP: nunca exponerlo a Internet. Si el acceso remoto es obligatorio, pasarlo detrás de un VPN con MFA, o usar una solución PAM tipo CyberArk, Senhasegura, BeyondTrust.
SaaS de negocio: Salesforce, HubSpot, Slack, Notion, GitHub, GitLab, Atlassian. Activar MFA en los ajustes de cada herramienta. Para organizaciones maduras, federar vía SSO (Okta, Entra ID, Google) para centralizar el control.
Webmail profesional: MFA siempre activa, sin tolerancia.
Cuentas admin y privilegios: exigir una llave FIDO2 física (YubiKey 5 Series, Token2, Feitian). El SMS está prohibido (vulnerable al SIM swap), el TOTP en app es aceptable para no-admins, FIDO2 para admins.

Supresión definitiva del SMS

El SMS como segundo factor es obsoleto desde 2017 (NIST SP 800-63B). Vulnerable al SIM swap, a la interceptación SS7, al phishing por proxy (Evilginx). En 2026, su presencia en una stack pyme es una no-conformidad estándar de seguridad.

El camino de migración: desplegar Microsoft Authenticator o Google Authenticator en todos los teléfonos profesionales, importar las cuentas, desactivar el SMS en el orden mensajería profesional, SaaS críticos, cuentas usuarios corrientes, cuentas admin (en último lugar tras pruebas).

Segmentación de red: aislar para limitar la propagación

Una vez dentro, un ransomware se propaga lateralmente vía SMB, RDP, WMI, PsExec, a veces en minutos. La segmentación limita la superficie contaminable.

Modelo minimalista pyme

VLAN puestos usuarios: aislados de los servidores salvo flujos necesarios (RPC, SMB hacia recursos compartidos de negocio).
VLAN servidores: aislado del VLAN puestos, comunicaciones restringidas por reglas de firewall internas.
VLAN IoT e impresoras: estrictamente aislado. Estos equipos rara vez se parchean y constituyen un punto de entrada frecuente.
VLAN invitados: Wi-Fi visitantes con acceso Internet únicamente, jamás hacia los recursos internos.
VLAN admin / management: interfaces de gestión de switches, firewalls, hipervisores accesibles únicamente vía bastión.

Firewall interno: un pfSense (open source, gratuito) o Fortigate 40F / 60F (3.000 a 5.000 € material + mantenimiento) es suficiente para la mayoría de pymes. Para ir más lejos: microsegmentación Zero Trust (Illumio, Akamai Guardicore, Zscaler ZPA) que define políticas a nivel de aplicación, más difícil de implementar pero incomparable en reducción de superficie de ataque.

Reglas básicas inviolables

RDP no se expone nunca directamente a Internet. Si el acceso remoto es necesario, es VPN + MFA + restricción IP origen, o ZTNA.
Los admins no utilizan jamás sus cuentas admin para navegar por la web o abrir correos. Cuentas admin dedicadas, puestos de gestión aislados (PAW — Privileged Access Workstation).
Bastión / jump host para toda la administración de servidores, con grabación de sesión.
Inventario al día de los activos expuestos a Internet (Shodan, censys; herramientas internas).

Para el escenario específico de ataque sobre NAS y cabinas de almacenamiento, ver nuestra guía dedicada Ransomware NAS Synology / QNAP.

Formación antiphishing: la capa humana

Ninguna tecnología reemplaza a un equipo formado. El phishing sigue siendo el vector de entrada n.º 1 (60% de los incidentes pyme, informe CESIN 2024 y equivalentes españoles). El humano es a la vez el objetivo preferido de los atacantes y la primera línea de defensa.

Programa de concienciación eficaz

Onboarding obligatorio: todo nuevo trabajador sigue formación de concienciación INCIBE (gratuita) dentro de los primeros 30 días.
Campañas de phishing simulado trimestrales: KnowBe4, Mantra, Cymulate, Riot, GoPhish (open source). Escenarios variados y adaptados al negocio (falso correo DHL, falso director financiero, falso RRHH, falso reset M365).
Debriefing pedagógico tras cada campaña: jamás punitivo, jamás nominativo en público. Explicación del señuelo, señales de alerta, cómo reportar.
Champions de seguridad en cada servicio: 1 o 2 personas formadas en mayor profundidad, relevo operativo de las alertas.
Botón "Reportar phishing" en el cliente de correo (Outlook add-in PhishER o equivalente), para facilitar el reporte.

Indicadores de pilotaje

Indicador	Objetivo 12 meses	Fuente
Tasa de clic en phishing simulado	< 5%	Plataforma de simulación
Tasa de introducción credenciales en señuelo	< 1%	Plataforma de simulación
Tasa de reporte	> 30%	Plataforma + helpdesk
Tiempo medio de reporte	< 15 min tras recepción	Plataforma
Tasa de completitud onboarding seguridad	100% a 30 días	LMS interno

En la práctica, estos indicadores progresan rápido: paso del 30% de clics a menos del 5% en doce meses es la trayectoria estándar observada por los operadores de campañas (KnowBe4 Phishing Industry Benchmarking Report 2024).

Plan de continuidad (PCN / PRA): preparar la recuperación

El PCN (Plan de Continuidad de Negocio) y el PRA (Plan de Recuperación ante Desastres) definen cómo la empresa sobrevive a un incidente mayor. Para un ransomware en SI crítico, es la diferencia entre un día de parada y una quiebra a seis meses.

Componentes mínimos

Inventario de procesos críticos: facturación, nóminas, producción, pedidos cliente. Clasificar por criticidad (RTO corto / RPO corto / RTO largo).
RTO (Recovery Time Objective): duración máxima de interrupción aceptable por proceso. Típicamente 4 a 24 horas para los procesos críticos en pyme.
RPO (Recovery Point Objective): pérdida de datos máxima aceptable. Típicamente 1 hora a 24 horas según el negocio.
Runbook de incidente escrito: pasos paso a paso, quién hace qué, en qué orden, con qué herramientas. Impreso en varios ejemplares (el runbook almacenado en el SI cifrado no sirve para nada).
Equipo de crisis designado: directivo (decisor), CIO / CISO (técnico), DPO (RGPD), jurista, comunicador (interno y externo). Números de teléfono personales anotados.
Entorno de restauración aislado: máquinas, red y almacenamiento que permitan relanzar los servicios sin riesgo de reinfección.

Pruebas: sin prueba, no hay plan

Un PRA no probado es un documento ficticio. Las pruebas mínimas:

Restauración puntual mensual: tomar un archivo al azar, restaurarlo desde la copia de seguridad más reciente, medir el tiempo. Documentar.
Restauración de servidor trimestral: restaurar un servidor completo en entorno aislado, verificar integridad aplicativa.
Prueba de célula de crisis anual: ejercicio tabletop (mesa redonda) y luego simulación a escala real al menos una vez.

INCIBE y el CCN-CERT publican escenarios de tabletop gratuitos adaptados a pymes españolas.

Ciberseguro: cobertura financiera del riesgo residual

El ciberseguro transfiere el riesgo financiero residual. No reemplaza las medidas técnicas, y no cubre las consecuencias de la ausencia de medidas básicas.

Mercado español 2025-2026

Aseguradora	Especificidad	Objetivo	Prima orientativa pyme
Hiscox	Referencia histórica, mediación	Pymes 10-500 empleados	2.500-8.000 €/año
AXA Cyber Secure	Gran red, integración RC profesional	Pymes todos sectores	2.000-7.000 €/año
Generali Protección Cyber	Pack pyme	Pymes 1-50 empleados	1.500-4.500 €/año
Allianz Cyber	Multinacional, grandes volúmenes	Pymes / mediana empresa	3.000-10.000 €/año
MAPFRE Ciberriesgos	Mercado español, red comercial extensa	Pymes españolas	2.000-7.000 €/año
Stoïk	Scale-up europea, auditoría gratuita en suscripción	Pymes 1-250 empleados	1.500-6.000 €/año

Garantías estándar

Gastos de investigación y forense: intervención DFIR (S21sec, Mandiant, Entelgy InnoTec, Kroll).
Gastos de restauración: reconstitución del SI, restauración de datos, compra de material de reemplazo.
Pérdida de explotación: compensación del margen perdido durante la interrupción.
Responsabilidad civil ciber: indemnización de terceros (clientes, socios) en caso de fuga o impacto.
Gastos de notificación RGPD: cartas, hotline, agencia de comunicación de crisis.
Rescate: opcional, éticamente debatido, sometido a condiciones estrictas (verificación no-OFAC, autorización autoridades).

Requisitos previos exigidos en 2026

Las aseguradoras han endurecido las condiciones desde 2022 frente a la explosión de siniestros. Rechazos o exclusiones frecuentes si la organización no dispone de:

MFA activa en todos los accesos remotos y mensajerías, verificada por cuestionario y a veces por auditoría externa.
EDR desplegado sobre el 100% de los puestos y servidores.
Copias de seguridad fuera de línea o inmutables probadas.
Procedimiento de gestión de parches documentado.
Formación antiphishing anual.

Sin estos requisitos previos: prima incrementada 30 al 100%, o rechazo puro y simple. Con ellos: prima conforme, y sobre todo indemnización posible.

Cumplimiento regulatorio España / UE 2026

RGPD: notificación AEPD 72 horas

En caso de violación de datos personales susceptible de generar un riesgo para las personas afectadas, la empresa debe notificar a la AEPD en las 72 horas siguientes al conocimiento (Art. 33 RGPD). Si el riesgo es elevado, notificación también a las personas afectadas (Art. 34).

El formulario AEPD prevé: naturaleza de la violación, categorías y número aproximado de personas afectadas, consecuencias probables, medidas tomadas o previstas. Un procedimiento pre-redactado debe existir en el runbook de incidente — improvisar un dossier de notificación AEPD en el pánico post-incidente es una mala idea.

NIS2: transposición española 2025

La directiva NIS2 ha sido transpuesta en España vía la ley de transposición publicada en 2025, articulándose con el Esquema Nacional de Seguridad (ENS) ya existente. Ampliación del perímetro: Entidades Esenciales (EE) y Entidades Importantes (EI) cubren ahora energía, transportes, salud, banca, agua, infraestructura digital, administración pública, espacio, postal, residuos, alimentación, química, manufactura crítica, proveedores digitales (cloud, datacenters, SOC, MSSP).

Obligaciones reforzadas: medidas de ciberseguridad documentadas, gestión de incidentes y notificación 24h/72h al INCIBE-CERT o al CCN-CERT según naturaleza, gestión de la cadena de suministro, formación, plan de continuidad. Sanciones de hasta 10 millones de euros o el 2% del volumen de negocio mundial para las EE, 7 millones o el 1,4% para las EI.

ENS (Esquema Nacional de Seguridad)

El ENS, actualizado en 2022 (Real Decreto 311/2022), es de aplicación obligatoria para el sector público y para los proveedores que trabajan con la administración. Establece tres niveles (básico, medio, alto) y constituye una referencia incluso para el sector privado.

DORA: sector financiero

El reglamento DORA (Digital Operational Resilience Act) es aplicable desde el 17 de enero de 2025 para los actores financieros europeos (bancos, aseguradoras, fondos, fintech, prestadores de servicios TIC críticos). Exigencias específicas: gestión de riesgos TIC, pruebas de resiliencia operativa, gestión de proveedores TIC críticos, intercambio de información.

Respuesta a incidentes: preparar antes de la crisis

La mejor stack defensiva fallará tarde o temprano. La capacidad de respuesta diferencia una crisis gestionada de una crisis sufrida.

Contactos a pre-establecer

INCIBE-CERT y CCN-CERT según la naturaleza de la organización. INCIBE para pymes y ciudadanos, CCN-CERT para sector público.
Proveedor DFIR: firmar un contrato o MOU con un despacho especializado (S21sec, Entelgy InnoTec, Sothis, BDO Cybersecurity, Mandiant). Plazo de intervención contractualizado < 4 horas.
Abogado especializado ciber: referenciar un despacho capaz de acompañar notificación AEPD, comunicación, denuncia.
Comunicador de crisis: agencia o freelance capaz de producir en pocas horas los comunicados clientes, empleados, prensa.
Aseguradora ciber: referente designado, procedimiento de declaración, número de guardia.

Comunicación pre-redactada

Tres comunicados tipo a preparar previamente:

Comunicado clientes: tonalidad factual, transparencia sobre los datos potencialmente impactados, medidas tomadas.
Comunicado empleados: consignas operativas (suspensión de mensajería, paso a herramientas backup), tranquilización.
Comunicado prensa: si el incidente se hace público, declaración corta, punto de contacto único.

Herramientas gratuitas INCIBE / CCN / CISA

Varios recursos gratuitos, poco conocidos pero de excelente calidad:

INCIBE Protege tu Empresa: portal con autodiagnóstico, guías, plantillas, kits sectoriales.
INCIBE-CERT 017: línea telefónica gratuita de ciberseguridad, accesible para pymes y ciudadanos.
CCN-STIC: guías técnicas del Centro Criptológico Nacional, referencia en el sector público.
CISA Stop Ransomware (stopransomware.gov): guías anglosajonas consolidadas, fichas técnicas por cepa, alertas en tiempo real.
No More Ransom: descifradores gratuitos para más de 200 cepas, iniciativa conjunta Europol / Kaspersky / McAfee / Trend Micro.

Para una intervención concreta y paso a paso en caso de ataque en curso, ver nuestra guía Recuperar archivos después de un ransomware y Descifrar ransomware sin pagar. Para la recuperación vía shadow copies de Windows, ver Shadow Copies Windows: recuperación de archivos. Para comparar los antivirus antiransomware, ver Mejor antivirus antiransomware 2026.

Hoja de ruta 90 días para una pyme

Para una pyme que parte de cero, una trayectoria pragmática a tres meses:

Fase	Período	Acciones clave
Mes 1 — Auditoría y urgencias	D0-D30	Autodiagnóstico INCIBE, MFA activada en todas partes, EDR desplegado en el 100% de puestos, copia de seguridad inmutable operativa
Mes 2 — Endurecimiento	D30-D60	Segmentación de red, supresión RDP expuesto, formación antiphishing inicial, primera prueba de restauración
Mes 3 — Resiliencia	D60-D90	PCN / PRA documentado, ejercicio de célula de crisis, contratación de ciberseguro, runbook de incidente finalizado

Esta trayectoria es viable con un presupuesto anual de ciberseguridad del orden del 3 al 5% del presupuesto IT para una pyme estándar (típicamente 15.000 a 80.000 € según tamaño), prestación externa incluida. Es la inversión mínima para superar un expediente de seguro, firmar con un gran cliente, y sobrevivir estadísticamente al próximo ataque.

Conclusión

La protección ransomware en pymes en 2026 ya no es una cuestión de herramientas milagrosas, sino de higiene industrial: copias de seguridad inmutables 3-2-1-1-0, EDR moderno, MFA universal, segmentación de red, formación continua, plan de continuidad probado, seguro adaptado. Ninguno de estos elementos es nuevo, ninguno requiere presupuestos de gran cuenta. Lo que cambia la trayectoria de una pyme es la constancia de la ejecución: mantener el nivel, probar regularmente, actualizar la postura frente a una amenaza que evoluciona.

Si parte de cero, comience por un diagnóstico gratuito para cartografiar sus lagunas, luego ataque la hoja de ruta 90 días. La probabilidad de ataque en los próximos 18 meses para una pyme española no protegida supera el 40% en 2026 (informes INCIBE y europeos 2024). La probabilidad de supervivencia de una pyme protegida en el respeto del estándar descrito aquí supera el 95%. La diferencia se construye en unos meses.

Recursos

INCIBE Protege tu Empresa — Recursos gratuitos pymes
INCIBE-CERT 017 — Línea gratuita ciberseguridad
CCN-CERT — Guías y alertas
CISA Stop Ransomware
No More Ransom
AEPD — Notificar brecha de seguridad
Nuestra guía de recuperación post-ransomware