Las medianas empresas en México, incluso fuera del sector financiero, son objetivos atractivos para ciberataques, especialmente cuando forman parte de cadenas de suministro de grandes corporativos.
Si diriges una empresa mediana en México (de 50 a 250 empleados), probablemente has pensado: “No soy un banco, ¿a mí quién me va a querer hackear?”. Pues bien, los expertos tienen una mala noticia: ya no es necesario ser el objetivo principal para terminar siendo la víctima.
Te explicamos por qué tu negocio está en la mira, cómo dejar de ser un blanco fácil y por dónde empezar a protegerse sin necesidad de un doctorado en informática ni un presupuesto de corporación multinacional.
Mito N°1: “Como soy mediana, voy en el vagón de cola de la tecnología”
Falso. Que tenga entre 50 y 250 empleados no significa que tu oficina parezca un museo de tecnología. De hecho, la clasificación tradicional por número de empleados ya no sirve para medir la madurez digital.
“La clasificación económica divide a las empresas en cuatro grupos… Ahí ubicamos a la mediana empresa. Sin embargo, en la práctica del mercado tecnológico muchas veces también se segmenta por ticket promedio de compra.” explicó Erick De la Cruz, Subdirector de negocios en Select.
Traducción: No es lo mismo una empresa mediana que vende tacos (con todo respeto) que una mediana que fabrica autopartes. Lo que realmente importa no es el tamaño de la nómina, sino el entorno en el que opera.
Lo que sí importa: Regulación y Ecosistema (Los Verdaderos Amos del Juego)
Imagina dos empresas, ambas con 150 empleados. La Empresa A es un retail que maneja tarjetas de crédito. La Empresa B es una fábrica de muebles. La Empresa A está obligada por ley a proteger los datos financieros; la Empresa B, no.
“Las compañías medianas que pertenecen a sectores regulados —como banca, finanzas y retail— muestran niveles de inversión y madurez significativamente mayores.”
— Ricardo Zermeño, Director General de Select.
Pero incluso la fábrica de muebles puede volverse un “tanque” en seguridad si su cliente principal es una gran cadena comercial o una armadora automotriz. Para poder venderle a los grandes, los grandes les exigen estar blindados.
“Es un error equiparar Pyme con rezago. Hay micro, pequeñas y medianas empresas muy avanzadas tecnológicamente, especialmente cuando forman parte de ecosistemas exigentes.”
— Ricardo Zermeño.
No lo pierdas de vista: Si trabajas para un gigante o manejas datos sensibles, tu empresa ya está en las grandes ligas de la seguridad, aunque tu facturación no sea la de un gigante.
El Dato Duro: La prioridad es altísima, pero el bolsillo aprieta
Desde 2017, la consultora Select ha preguntado a los jefes de tecnología (CIOs) cuáles son sus prioridades. La ciberseguridad siempre gana, con un nivel de urgencia de 9.7 sobre 10.
Pero aquí viene el “pero”. De todo el pastel del presupuesto de tecnología:
- 23% se va a innovación.
- De ese 23%, solo 12% se asigna a ciberseguridad.
Ojo: No es que no quieran, es que compiten con otros proyectos. Sin embargo, la brecha entre sectores es abismal. Mientras un banco puede invertir hasta el 10% de sus ingresos en tecnología, la mayoría de las Top 1500 empresas en México invierte menos del 1%.
El nuevo campo de batalla: Adiós al perímetro, hola a los dispositivos
Antes, la seguridad era como un castillo con foso: un firewall gigante y listo. Hoy, con la nube y el trabajo remoto, el castillo se derrumbó.
“El concepto tradicional de seguridad perimetral ya no es suficiente. La movilidad y el trabajo remoto trasladaron la protección hacia los dispositivos.”
— Erick De la Cruz.
Ahora la estrategia se llama Zero Trust (Confianza Cero). No se fía de nadie, ni de la computadora de la casa del director financiero. Todo se monitorea.
Las amenazas: Los “Virus” de antes vs. Los “Secuestros” de ahora
Ya no es solo el virus que ralentizaba la compu. Las amenazas de hoy son un negocio millonario.
- Ransomware: Secuestro de información. Te roban tus archivos y te piden rescate en criptomonedas para devolvértelos.
- Phishing con IA: Correos que parecen de tu jefe, con un tono de urgencia, creados con Inteligencia Artificial. Son casi imposibles de distinguir.
- Infostealers: Programas que se cuelan para robar información estratégica (contraseñas, datos de clientes) y luego venderla o usarla para ataques más grandes.
Y aquí el eslabón más débil… ¡Adivina!
“el eslabón más débil sigue siendo el usuario.”
— Ejecutivos de Select.
El riesgo silencioso: “No saber que ya te violaron”
Este es el punto más importante y aterrador. Puedes tener el mejor antivirus y el firewall más caro, pero:
“Muchas organizaciones tienen herramientas de seguridad, pero no saben si en este momento un ciberdelincuente ya logró evadirlas”, plantea Cristian Torres, Experto en Ciberseguridad en Lumu Technologies.
Torres identifica los tres riesgos mortales:
- La Ceguera: No tener un mecanismo para saber si ya estás comprometido.
- El Desorden: Tener herramientas que no se hablan entre sí (como una alarma que no llama a la policía).
- La Pereza Operativa: Creer que con comprar la tecnología, el problema se resuelve solo. La seguridad se hace todos los días.
La “puerta lateral”: ¿Por qué los hackers te buscan a TI?
Esto te interesa. Los hackers ya no siempre van directo al Banco Grande. Van contra tu compañía, porque eres el proveedor del Banco Grande.
“Los atacantes entendieron que comprometer a un proveedor es más sencillo que atacar directamente al gigante.” explica Cristian Torres.
Tu empresa es la puerta de servicio del edificio. Si la dejas abierta, entran a robar a la suite principal.
[DIAGRAMA] El Nuevo Paradigma del Ataque
¿Por dónde empezar si no tengo dinero de sobra?
(La Guía Práctica)
Ni Cristian Torres, ni Velda Gámez (Tecnológico de Monterrey), ni José Valdez (Universidades Anáhuac) piden que se gaste una fortuna. Piden orden y estrategia.
Aquí están las 6 Acciones Prioritarias que cualquier mediana empresa puede implementar:
- Separa la vida personal de la empresarial: Parece obvio, pero no lo es.
“Hay que separar lo personal de lo empresarial, igual que separas el dinero de la bolsa del dinero del negocio”.
— Velda Gámez, Investigadora del Tec de Monterrey.
- Acción: Prohíbe el uso de USBs personales y limita el “tráeme tu propio dispositivo” sin controles.
- Visibilidad de Red: Contrata un servicio que te permita ver qué está pasando en tu red. Si ves movimientos raros (como que tu servidor en México habla con una IP en un país extraño a las 3 a.m.), algo anda mal.
- Respaldos (Backups) Fuera de Línea: No basta con tener una copia en el mismo servidor. Si entra un ransomware, la encripta. Ten copias de seguridad desconectadas de la red.
- Doble Factor de Autenticación (2FA): Así te roben la contraseña, el hacker necesitará un segundo código que solo llega a tu teléfono. Es como ponerle dos candados a la puerta.
- Capacitación básica: Enséñale a tu gente a no abrir enlaces sospechosos y a verificar las solicitudes urgentes de dinero por correo (incluso si “parecen” del director general).
- Priorizar, no blindarlo todo.
“No todo puede asegurarse al mismo tiempo. Se requiere de un análisis de riesgos que permita identificar qué activos son críticos”.
— José Valdez, CIO de la Red de Universidades Anáhuac.
[FICHA DE HERRAMIENTA] El Kit de Supervivencia Básico
No necesita un tanque, necesita un chaleco antibalas y un botiquín.
| Herramienta / Concepto | ¿Para qué sirve? | Versión “Para Dummies” |
| Firewall / UTM | Filtra el tráfico de internet. | El portero del edificio que revisa quién entra y sale. |
| EDR (Protección en Endpoints) | Protege laptops, celulares y servidores. | El guardia de seguridad que va con cada empleado a todos lados. |
| Autenticación Multifactor | Verifica la identidad del usuario. | El perro guardián que solo te obedece a ti y a tu voz. |
| Monitoreo Continuo (MSSP) | Un equipo de expertos que vigila tu red 24/7. | El cuarto de monitoreo con cámaras, donde te avisan si ven algo raro. |
| Gestión de Riesgos | Proceso para decidir qué proteger primero. | El mapa del tesoro: sabes dónde están las joyas y pones ahí más vigilancia. |
Lo que viene: El Futuro (La Nube es tu amiga)
La buena noticia es que la tecnología cara ya está al alcance de todos gracias a la nube y los esquemas de renta.
“La nube, en particular, ofrece a las medianas empresas acceso a niveles de sofisticación que antes estaban reservados para grandes corporativos.”
— Analistas de Select.
Veremos más:
- Modelos Zero Trust: Desconfiar de todo y verificar siempre.
- Seguridad en la nube integrada: Que venga incluida en su paquete de Office 365 o Google Workspace.
- IA como aliada: Para detectar patrones de ataque antes de que ocurran.
La última línea: Cumplimiento NO es Seguridad
Que pagues tu factura de antivirus o que tengas un “checklist” que te pidió tu cliente, no significa que estés seguro.
“Cumplir con un checklist regulatorio no garantiza resiliencia ante ataques.”
— Velda Gámez.
Ya de salida
La ciberseguridad en la mediana empresa mexicana dejó de ser un lujo o un tema de “genios de la computación”. Es un seguro de vida empresarial.
“La transformación digital sin resiliencia es un acelerador del riesgo.”
— José Valdez.
Asumir que “a mí no me va a pasar” es, hoy por hoy, el riesgo más costoso. Empieza por lo básico: separa tus finanzas digitales personales de las de la empresa, realiza copias de seguridad, pon doble llave a tus accesos y, sobre todo, asume que el riesgo existe. La pregunta ya no es “¿me atacarán?”. La pregunta es: “¿Qué tan rápido puedo volver a operar si me atacan?”.
