La digitalización de las empresas ha traído consigo innumerables oportunidades de crecimiento, pero también un riesgo latente: la amenaza cibernética. España, que en 2024 volvió a figurar entre los países europeos más golpeados por este tipo de delitos, afronta un coste económico de unos 30.000 millones de euros anuales derivados de los ciberataques, según los últimos datos de la Secretaría de Estado de Presupuestos y Gastos.
Lejos de tratarse de casos aislados o ataques puntuales, el mapa de la ciberseguridad española se pinta cada vez más en tonos rojos. La última radiografía del sector la ofrece la insurtech Stoïk, especializada en seguros cibernéticos para pymes, que alerta del incremento de la siniestralidad en su Informe de Siniestros Cibernéticos 2024.
Una amenaza creciente para la pyme
Las pymes, que suponen más del 95% del tejido empresarial español, se han convertido en uno de los principales objetivos de los ciberdelincuentes. Según Stoïk, la frecuencia de siniestros cibernéticos declarados por sus asegurados creció un 12% respecto a 2023, aunque la cifra sigue siendo contenida (4,34%) si se compara con el alza del 20% en incidentes gestionados a nivel nacional, según el INCIBE.
El robo de credenciales a través de ataques de phishing o fraudes bancarios lidera la lista de incidentes más habituales, mientras que el ransomware, aunque menos frecuente, sigue destacando por su alto impacto, con capacidad para paralizar la operativa de las empresas y generar daños económicos millonarios.
El «talón de Aquiles» de la pyme: los correos y la banca online
Entre las tipologías de ataques más comunes destaca el compromiso de cuentas de correo electrónico (30% de los casos), seguido por el fraude por transferencia bancaria (23%) y el compromiso de activos internos (18,4%). La falta de autenticación multifactor y la escasa cultura de ciberseguridad en muchas organizaciones facilitan que los delincuentes vulneren los sistemas con mayor facilidad.
“El phishing sigue siendo la puerta de entrada favorita de los atacantes”, explica Jules Veyrat, CEO y cofundador de Stoïk. “Un clic en un enlace malicioso o la descarga de un archivo infectado pueden comprometer toda la red de la empresa”.
El ransomware, aunque supone un 12,4% de los siniestros, es especialmente temido. Sin ir más lejos, las pérdidas asociadas a este tipo de ataques pueden suponer hasta el 8% de los ingresos anuales de una empresa, de acuerdo con datos de Fastly.
Ciberataques en España durante 2024: el año de los ataques silenciosos pero masivos
A nivel internacional, 2024 dejó casos que pusieron en jaque la seguridad digital de grandes empresas y organismos públicos. Uno de los episodios más sonados en España fue el ataque a la Comisión Nacional de los Mercados y la Competencia (CNMC), donde se expusieron más de 2.000 millones de registros de usuarios de telefonía móvil. También el Instituto Nacional de Investigación y Tecnología Agraria y Alimentaria (INIA) sufrió un secuestro de sus sistemas a manos del grupo RansomHub, que mantuvo al centro operativo del CSIC paralizado durante casi tres meses.
En el plano global, los Juegos Olímpicos de París 2024 sirvieron como campo de pruebas para campañas masivas de phishing que pusieron en evidencia la vulnerabilidad de miles de usuarios. Stoïk realizó simulaciones entre sus clientes, detectando que hasta un 33% de los usuarios que abrieron estos correos falsos cayeron en la trampa y compartieron datos personales.
“Los ataques no siempre buscan visibilidad o notoriedad”, comenta Veyrat. “A menudo, el daño más profundo es el que no se ve: el secuestro de datos, la paralización de sistemas críticos o el fraude financiero encubierto”.
El reto: anticiparse antes de que sea tarde
Aunque las cifras son alarmantes, el informe de Stoïk pone de manifiesto la importancia de la prevención y la ciberseguridad activa. El 74% de los incidentes de ransomware registrados por la compañía en 2024 fueron resueltos en menos de una semana, reduciendo así el impacto económico y reputacional para las organizaciones.
Sin embargo, los expertos advierten que la sofisticación de los ataques seguirá aumentando en los próximos años, y que sectores como el sanitario, la industria y los servicios públicos seguirán siendo los más expuestos debido a la criticidad de su información.
“España no solo es un objetivo por su volumen de pymes, sino por la falta de inversión en ciberseguridad que muchas pequeñas empresas aún presentan”, señala Veyrat. De ahí que, más allá de contratar un seguro, sea crucial invertir en formación, protección de la infraestructura y planes de contingencia.
Ciberseguridad: una prioridad de país
Los expertos coinciden: la seguridad digital ya no es solo una cuestión técnica, es una cuestión estratégica y económica de primer orden. Mientras organismos públicos y grandes corporaciones refuerzan sus blindajes, las pymes y startups se convierten en la “puerta trasera” por la que muchos cibercriminales logran colarse en el tejido empresarial.
“La ciberseguridad no puede ser un complemento, debe ser una pieza central de la estrategia de cualquier empresa. Un ataque no solo compromete datos, puede detener la actividad, dañar la reputación e incluso poner en jaque la viabilidad de un negocio”, concluye Veyrat.
España, convertida en uno de los campos de batalla digitales más activos de Europa, encara un 2025 donde la colaboración entre administraciones, empresas y aseguradoras será clave para frenar la escalada de amenazas en un mundo cada vez más interconectado.
