En materia de ciberseguridad, las pequeñas empresas, al tener menos recursos y protecciones, son la pesca más fácil para los ciberdelincuentes.
Imagina que llegas un lunes por la mañana a tu negocio. Tienes una pequeña empresa de 20 empleados, quizás una ferretería, una oficina de contabilidad o un taller de diseño. Enciendes la computadora y, en lugar de ver tu escritorio, te encuentras con una pantalla roja que dice: “Todos tus archivos han sido cifrados. Para recuperarlos, deposita 20,000 pesos en esta cartera de Bitcoin. Tienes 48 horas.”
Llamas a tu “experto en sistemas” (que es el sobrino que le sabe a las computadoras), pero él no puede hacer nada. Intentas acceder a tus copias de seguridad en la nube, pero descubres que también fueron borradas. No puedes facturar, no puedes ver tus cotizaciones, no puedes acceder a tu base de clientes. El negocio está, literalmente, paralizado.
Bienvenido al mundo de la ciberseguridad en México para las pequeñas empresas.
La magnitud del problema
| Concepto | Cifra | Periodo |
| Ataques de ransomware en México | 40 MILLONES | 2025 |
| Ataques de ransomware en México | 23 MILLONES | Solo lo que va de 2026 |
| Organizaciones financieras afectadas por ransomware | 12.8% | 2025 |
| Ataques con troyanos bancarios (global) | 1,338,357 | 2025 |
Fuente: Manuel García (Profesionales en Computación) y Kaspersky
Si eres dueño de una pequeña empresa o trabajas en una, este artículo es tu manual de supervivencia. Vamos a explicar por qué te pueden atacar, cómo lo hacen, a quién recurrir y, lo más importante, cómo puedes protegerte sin necesidad de ser un genio de la computación.
Lección 1: “Es que yo soy pequeño, ¿a mí quién me va a atacar?”
Este es el error número uno y el más mortal. La mentalidad de “por mi tamaño no me van a ver” es la que deja a las pequeñas empresas en la cuerda floja.
Manuel García, consultor experto en ciberseguridad de Profesionales en Computación, lo explica con una analogía muy clara:
“Es muy simple: ¿tienes dinero para pagar y tienes información sensitiva? Si sí, eres un blanco. (…) No se crean que van dimensionando y diciendo ‘voy a atacar a tal banco’. Lo mandan masivo a ver a quién pega, y entre menos protecciones tengas en el camino, pues ese es al que le va a pegar.”
La verdad incómoda: Los ciberdelincuentes no son francotiradores de élite. Son pescadores que lanzan redes enormes. Atrapan al pez que menos resiste. Y las pequeñas empresas, al tener menos recursos y protecciones, son la pesca más fácil. Como si fueran ladrones de casas, no van a intentar robar en la que tiene rejas, alarmas y policía; van a la que no tiene nada.
Stefan Leipold, hacker ético y especialista en ciberseguridad, añade una capa más a esta realidad: la falta de educación y la falsa sensación de seguridad.
“Mi experiencia en muchas compañías, no solamente en México, es que mucha gente no tiene la educación o comprende cómo funciona la seguridad. Muchos dicen, ‘oh, nosotros tenemos a alguien que trabaja con IT’, pero una persona que crea una infraestructura no piensa igual que un hacker que busca vulnerabilidades.”
Lección 2: El Negocio de la Ciberdelincuencia (Sí, es una Empresa)
Olvídate de la imagen del genio solitario en un sótano oscuro. Hoy, el crimen cibernético es una industria profesional. Existe algo llamado Ransomware as a Service (Ransomware como Servicio) .
¿Qué significa esto? Que cualquiera puede “contratar” a un grupo de cibercriminales para atacar un negocio, como quien contrata una empresa de limpieza. García lo describe de forma impactante:
“Es contratar al crimen organizado literalmente. No debes tener experiencia, es como contratar al crimen y no saber manejar una pistola; no necesitas saberlo hacer, nada más contrata a alguien que te lo haga.”
El problema en México es aún más grave. García añade:
“En México nos encontramos que atacan tres o cuatro grupos a alguien; contrata de tres o cuatro grupos al mismo tiempo, atacan una empresa y cuando intentamos recuperar la información, incluso si pagaron, la información ya está destrozada.”
Es decir, tu empresa puede ser víctima de varios ataques simultáneos, lo que hace la recuperación casi imposible.
Lección 3: El ABC de las Amenazas (Lo que te puede pasar)
No todo es “la pantalla roja”. Las amenazas son variadas y todas duelen. Vamos a ver las más comunes que enfrenta una pequeña empresa mexicana:
1. Ransomware (El Secuestro)
Como en el caso del inicio. Entran a tu sistema, encriptan todos tus archivos y te piden un rescate para liberarlos. El impacto es inmediato: dejas de operar.
Leipold advierte que el ransomware ha evolucionado gracias a la inteligencia artificial:
“Hoy la AI tiene un agente artificial que cambia a diario el código para tomar las cosas. Y no solamente encripta tu información, también busca todas las conexiones y envío de correos electrónicos, tus fuentes de dinero y datos de tu reputación en la línea.”
2. Exfiltración de Datos (El Robo)
Muchas veces va de la mano con el ransomware. No solo te encriptan la info, sino que se la roban. Aquí entra un peligro extra: la Ley General de Protección de Datos en Posesión de Terceros. Si te roban los datos de tus clientes (nombres, direcciones, tarjetas), el gobierno te puede multar a ti.
“Es la que va amarrada a la ley. O sea, esa es la más importante.” advierte Manuel García
3. Ingeniería Social (El Engaño)
Es cuando te manipulan para que les des acceso. El ejemplo más clásico es el correo falso que parece de tu banco o de un proveedor pidiéndote que “actualices tus datos”.
Leipold lo ejemplifica con una técnica de hacking muy sencilla pero efectiva:
“En todos mis eventos yo pregunto a una persona en la audiencia qué tan segura es su contraseña de correo electrónico; mucha gente usa el nombre de sus niños y sus fechas de nacimiento, de su mascota, etcétera. Tras una pequeña serie de preguntas puedes llegar a identificar ese tipo de datos y descifrar sus contraseñas.”
Beatriz Valdés, especialista en ciberseguridad con más de 15 años de experiencia, añade que hoy las campañas de engaño son mucho más sofisticadas:
“Ya las campañas están muy bien armadas, también los ciberdelincuentes hacen una inversión muchas veces más importante de manera ofensiva que las mismas empresas de manera de protección y eso hace que estas campañas aun cuando tú revises muchísimas veces los links de manera humana no puedas ver realmente lo que te está llegando al correo electrónico.”
4. Ataques a la Cadena de Suministro
Hoy, todas las empresas están conectadas. Si tú eres proveedor de una empresa grande, te conviertes en la puerta de entrada para atacarla a ella.
El 80% de los ataques de ransomware comienzan con una fase previa de exfiltración de datos (robo de información). Fuente: Manuel García
Lección 4: El Nuevo Jugador en la Cancha: La Inteligencia Artificial (IA)
La IA no es cosa del futuro, es el presente, y está siendo usada tanto por los “buenos” como por los “malos”. Los expertos de Kaspersky predicen que en 2026 veremos malware con IA capaz de adaptarse por sí solo, cambiando su comportamiento para no ser detectado.
Leipold lo confirma desde su experiencia como hacker:
Pero el riesgo no es solo técnico, también es humano y cotidiano. Beatriz Valdés alerta sobre el mal uso de las herramientas de IA en el día a día de la oficina:
“Hoy estamos viviendo algo bien interesante también con inteligencia artificial. Y no nada más de manera para crear contenido, sino también para crear campañas ofensivas en términos de ciberseguridad.”
García complementa con un ejemplo que le puede pasar a cualquiera:
“Nosotros metemos inteligencias artificiales en muchos de nuestros procesos laborales: que me haga una presentación (…) ¿Qué de tu información estás poniendo ahí? (…) tienes una conversación (…) y pones el que hace el resumen con inteligencia artificial. Entonces esa información que tenías en tu ERP que era confidencial (…) ya la pusiste en una minuta.”
El peligro: Sin querer, los empleados pueden estar filtrando información confidencial de la empresa al usar asistentes de IA públicos para resumir juntas, redactar correos o crear contenido.
Stefan Leipold añade una advertencia sobre el uso de herramientas “gratuitas”:
“Hace dos meses y medio, Gemini de Google se actualizó. Y todos los usuarios abrieron Google y dijeron, ah, OK, bye. Pero, no se enteraron o no saben que Google toma todos los contenidos de tu correo electrónico y tu información personal, financiera y otra a la que le permites el acceso para usar Google Cloud sin leer los detalles.”
Lección 5: El Mito del Cifrado en WhatsApp y las Apps “Seguras”
Uno de los temas más delicados que aborda Leipold es la falsa sensación de seguridad que tenemos con aplicaciones de mensajería como WhatsApp.
“En WhatsApp envías un mensaje y dice ‘este mensaje tiene encriptación’, ¿no? Eso no es del todo cierto. Ocurre que si tengo una conversación con un abogado y después envío la conversación vía WhatsApp a mi cliente, al poco tiempo tengo un mensaje de WhatsApp que dice, ‘Se bloqueó tu cuenta por 24 horas por violar las políticas’. Eso a pesar de que, supuestamente, el contenido del mensaje estaba encriptado”
La conclusión de Stefan es contundente:
“WhatsApp escucha y lee todos los mensajes. Todo lo que se envía vía WhatsApp no tiene encriptación, es visible para la gente que tiene conocimiento, herramientas y el interés de saber lo que compartes.”
Esto no significa que debas dejar de usar WhatsApp, pero sí entender que no es un canal seguro para información sensible de tu empresa.
Lección 6: La Policía Cibernética, tu Aliada (No solo para denunciar)
Ante un problema, es fundamental saber a quién recurrir. En México, existe la Policía Cibernética, una unidad especializada en prevenir, atender e investigar delitos cometidos a través de medios digitales.
Beatriz Valdés enfatiza la importancia de estar preparados para eventos masivos que pueden disparar los ataques, como el Mundial de 2026:
“Va a ser uno de los mundiales este año más importantes de toda la historia por la cantidad de asistentes que va a haber en diferentes países y con ello ya se están preparando varias campañas de phishing, varios fraudes y sobre todo ya con herramientas de inteligencia artificial para robo de información, robo también de dinero, fraudes, etcétera.”
¿Cuándo y por qué contactarlos?
- Para Denunciar: Si eres víctima de un fraude electrónico, extorsión, robo de identidad o cualquier otro delito digital, debes denunciar.
- Para Asesoría y Prevención: No esperes a ser víctima. Puedes contactarlos para recibir orientación.
El Manual de Supervivencia: ¿Qué hago? (La Parte Práctica)
Aquí no se trata de gastar una fortuna ni de volverse un experto. Se trata de ser inteligente y estratégico.
1. Prioriza según tu operación
Beatriz Valdés ofrece una fórmula muy práctica para saber cuánto invertir en ciberseguridad:
“Siempre nos preguntan ‘¿cuánto tengo que invertir en ciberseguridad?’ Es ingeniería inversa. ¿Qué pasaría si tú dejas de operar un día de reyes? ¿Cuánto dejarías de vender? Ese es el monto que tú estarías dispuesto a invertir.”
Y pone un ejemplo muy gráfico:
“He trabajado con clientes que venden pan, tienen muchísimas sucursales. Les decía: imagínate que se te cae tu sistema de punto de venta el día de Reyes que vendes roscas, ¿qué vas a hacer? Es la temporada más importante para ti.”
2. Diseña una infraestructura híbrida
Beatriz recomienda no poner todos los huevos en la misma canasta:
“Lo mejor en infraestructura es que haya una infraestructura híbrida donde no todo lo tengas en la nube y no todo lo tengas hosteado de forma local y que no tengas todo también con un solo proveedor, porque ahí está el eslabón más débil.”
Leipold complementa con un consejo sobre segmentación de redes:
“Tú necesitas una red para las cámaras, uno para la oficina, uno para los clientes. Eso es lo que más funciona. Tecnología.”
3. Capacitación con KPIs (No solo una charla al año)
Beatriz es muy clara en esto:
“Capacitación y no nada más una vez al año y que haya una charla de ciberseguridad, sino que realmente se vuelva incluso uno de los KPIs, por ejemplo del área de contabilidad: si estás en tu sistema de facturación y detectas algo que no te hace clic, simplemente no lo abres.”
4. No todo es tecnología: el factor humano
Stefan Leipold insiste en que la seguridad empieza por las personas:
“Tú puedes considerar tener el mejor sistema de infraestructura, pero tus empleados toman un café en Starbucks, desde ahí se conectan y dicen, ‘esta es mi computadora’ y mi contraseña es ‘miperro123’ dejando expuesta la red y la información de tu empresa.”
5. Negocios pequeños, soluciones a su medida
Beatriz Valdés aclara que no se trata de aplicar las mismas recetas de las grandes empresas:
“Los presupuestos de una empresa grande a una pequeña empresa no son los mismos. Por eso los especialistas decimos: vamos a priorizar para ti y tu operación.”
Checklist “El Botiquín de Primeros Auxilios Digitales”
Marca las casillas que ya cumplas. Si te faltan 3 o más, estás en riesgo.
| # | Acción | ¿Lo cumplo? |
| 1 | Respaldo 3-2-1: Tengo 3 copias de mi información, en 2 medios diferentes, 1 fuera de la oficina | ☐ |
| 2 | Respaldo vs. sincronización: Mis respaldos NO son solo sincronizaciones en la nube | ☐ |
| 3 | Infraestructura híbrida: No tengo todo con un solo proveedor ni en un solo lugar | ☐ |
| 4 | Segmentación de redes: WiFi de empleados, clientes y cámaras están separados | ☐ |
| 5 | Autenticación de dos factores: Activada en correo, banca y redes sociales | ☐ |
| 6 | Antivirus de nueva generación: Vigila comportamientos, no solo firmas conocidas | ☐ |
| 7 | Firewall actualizado: Con licencia vigente | ☐ |
| 8 | Política de IA: Mis empleados saben qué información NO deben subir a ChatGPT | ☐ |
| 9 | Contacto de emergencia: Tengo a la mano el número de la Policía Cibernética (088) | ☐ |
| 10 | KPIs de seguridad: El personal tiene objetivos medibles en ciberseguridad | ☐ |
| 11 | Proveedor especializado: Mi servicio de seguridad es de una empresa de ciberseguridad, no solo de un carrier de internet | ☐ |
| 12 | Concientización del personal: Mis empleados saben identificar un correo de phishing | ☐ |
¿Cómo vas?
- 12/12: Eres un ejemplo para seguir.
- 9-11: Vas bien, pero refuerza lo que falta.
- 5-8: Zona de peligro. Actúa ya.
- 0-4: Lamentamos informarte que eres el objetivo perfecto.
La Estrategia Ganadora: El Servicio Administrado y los SLAs
Este es el consejo de oro. Es casi imposible y carísimo para una pequeña empresa tener un equipo de especialistas internos.
Manuel García lo explica así:
“Nosotros ofrecemos el servicio administrado. (…) Yo te lo gestiono, yo te pongo ese especialista. (…) Es una manera más fácil y costeable para las empresas.”
Beatriz Valdés añade un elemento crucial: los Acuerdos de Nivel de Servicio (SLA) .
“Hoy día existen seguros de ciberseguridad donde los SLA son mucho más agresivos. Debe haber una estrategia entre el proveedor de servicio y la empresa, donde lleguen a un punto medio de decir: mi operación.”
Stefan Leipold recomienda no solo fijarse en el precio, sino en las certificaciones y la experiencia del proveedor:
“Mi recomendación es no solamente trabajar con gente que diga ‘yo sé de ciberseguridad’. Busca las certificaciones. Yo tengo un máster y más o menos 80 certificaciones con Cisco, con Microsoft. ¿Cuál es la experiencia que tiene la persona que te atiende?”
El factor humano y financiero
| Concepto | Cifra |
| Profesionales de TI estresados en el trabajo | 84% |
| El estrés afecta negativamente su desempeño | +50% |
| Déficit global de especialistas en seguridad | 66% (solo se cubre 1 de cada 3) |
| Salario mensual de un especialista en México | $36,000+ |
Fuente: David Bennett (Object First) y Manuel García
El Futuro es ahora y duele si no te preparas
La ciberseguridad ya no es un tema de la “gente de sistemas”. Es un tema de negocio. Es tan estratégico como las finanzas o las ventas.
Beatriz Valdés lo resume con una reflexión poderosa:
“Un empresa es una empresa y el activo más importante de cualquier empresa no importa cuál, si es grande, chica o mediana, es la información. Es el activo más importante.”
Stefan Leipold añade una visión de futuro para México:
“Yo pienso que la solución es educar en ciberseguridad desde las escuelas. O vía acceso a cursos para compañías o instituciones de gobierno. Los jóvenes saben todo de Instagram y Facebook, pero no saben nada de seguridad.”
Alejandro Romero, CEO de Cyberpeace, complementa:
“La resiliencia digital es hoy tan importante como la prevención. En un entorno donde los ciberataques son inevitables, la capacidad de anticiparse, responder y recuperarse será el verdadero diferenciador competitivo.”
Las 3 preguntas que todo dueño de una pequeña empresa en México debe hacerse HOY:
- ¿Mi información está respaldada de verdad (no solo sincronizada)?
- ¿Qué pasaría si no pudiera operar por una semana?
- ¿Tengo un aliado (un servicio administrado, SLAs claros y el contacto de la Policía Cibernética) que me ayude a navegar este mundo, o estoy solo contra la marea?
Recuerda el caso del principio. Esa empresa no es un caso aislado, es una advertencia. La ciberseguridad no es un lujo, es un seguro de vida para tu negocio. Y como todo seguro, esperas no tener que usarlo, pero cuando el accidente llega, te salva la vida.
