PYMEs · Mejores prácticas

5 errores de ciberseguridad que cometen las PYMEs en México

21 de mayo, 2026 · 7 min de lectura

El 60% de las pequeñas y medianas empresas que sufren un ataque cibernético grave cierran en los seis meses siguientes, según estimaciones de la industria. En México, la situación es especialmente crítica porque la mayoría de las PYMEs operan bajo la creencia de que son demasiado pequeñas para ser un objetivo. Esa creencia es, en sí misma, el primer error.

Los atacantes no discriminan por tamaño: discriminan por vulnerabilidad. Y las PYMEs suelen tener las vulnerabilidades más fáciles de explotar. Estos son los cinco errores que encontramos con mayor frecuencia en nuestras evaluaciones.

Los 5 errores más frecuentes

Confiar únicamente en el antivirus

El antivirus es una herramienta necesaria pero insuficiente. Detecta malware conocido basándose en firmas, pero no puede detener ataques sin archivos (fileless malware), explotación de vulnerabilidades de día cero o movimientos laterales dentro de tu red una vez que un atacante ya entró.

El error concreto: instalar un antivirus en los equipos de escritorio y asumir que la seguridad está resuelta. Mientras tanto, el servidor de correo no está parcheado, el firewall tiene la configuración de fábrica de hace cuatro años y el acceso remoto del proveedor de TI no tiene segundo factor de autenticación.

Consecuencia Un atacante que entra por el servidor de correo o por el acceso remoto pasa meses dentro de tu red sin que el antivirus lo detecte, porque nunca instaló malware en los endpoints.

Corrección Complementa el antivirus con autenticación multifactor en todos los accesos remotos, gestión de parches en servidores y una revisión periódica de tu firewall. Un pentest de infraestructura identifica exactamente qué está expuesto.

Contraseñas débiles, reutilizadas o compartidas

Este es el error más antiguo y sigue siendo el más explotado. En una evaluación típica de PYME mexicana encontramos contraseñas como "Empresa2024!", la misma contraseña en el correo corporativo y el sistema contable, o credenciales del tipo "admin/admin" en equipos de red que nunca se cambiaron desde la instalación.

El problema se agrava con las contraseñas compartidas entre empleados: cuando un colaborador deja la empresa, las credenciales compartidas no se cambian de inmediato, o peor, quedan en un archivo de Excel en la carpeta compartida.

Consecuencia El 81% de las brechas de datos relacionadas con hackeo involucran contraseñas robadas o débiles, según datos de Verizon DBIR. Una credencial filtrada en una plataforma externa puede comprometer todos tus sistemas si usas la misma contraseña.

Corrección Implementa un gestor de contraseñas corporativo (Bitwarden Teams, 1Password Business), activa autenticación multifactor en todos los sistemas críticos y establece un proceso formal de baja de empleados que incluya revocación de accesos.

Software desactualizado y parches pendientes

Las actualizaciones de software son molestas. Interrumpen el trabajo, a veces rompen compatibilidades y el equipo de TI siempre tiene algo más urgente que atender. El resultado: servidores con versiones de Windows Server de hace tres ciclos de soporte, sistemas CMS sin actualizar desde que los instaló el proveedor, y plugins de WordPress con vulnerabilidades conocidas y publicadas desde hace meses.

Los atacantes automatizados escanean internet constantemente en busca de estas versiones vulnerables. No necesitan buscarte: si tu sistema tiene la versión equivocada expuesta al exterior, los scanners los encuentran solos en cuestión de horas.

Consecuencia La mayoría de los ataques exitosos a PYMEs explotan vulnerabilidades conocidas con parche disponible. EternalBlue, la vulnerabilidad detrás de WannaCry, tenía parche disponible 60 días antes de que el ransomware causara daños globales de miles de millones de dólares.

Corrección Establece un calendario mensual de aplicación de parches. Prioriza sistemas expuestos al internet (servidores web, VPNs, correo). Si no tienes personal interno para esto, un proveedor de gestión de parches administrada puede automatizarlo.

Respaldos inexistentes o nunca verificados

Muchas empresas creen que tienen respaldo de información porque tienen una unidad USB conectada al servidor o un disco duro externo en el cajón. El problema es que nadie verifica si ese respaldo funciona, si está actualizado o si el ransomware también lo cifró porque estaba conectado a la misma red.

La regla 3-2-1 de respaldo dice: 3 copias de los datos, en 2 tipos de medios diferentes, con 1 copia fuera del sitio (offsite). La mayoría de las PYMEs que visitamos no cumple ninguno de estos tres criterios.

Consecuencia Sin un respaldo verificado y aislado, un ataque de ransomware puede dejarte con dos opciones: pagar el rescate o perder toda la información de tu empresa. Ambas son devastadoras para una PYME.

Corrección Implementa respaldos automáticos diarios con al menos una copia en la nube (fuera de tu red local) y otra en un dispositivo que se conecte solo durante el proceso de respaldo. Realiza una restauración de prueba completa al menos cada tres meses para verificar que el respaldo realmente funciona.

Empleados sin capacitación en seguridad

El vector de ataque más exitoso contra PYMEs mexicanas no es técnico: es humano. El phishing — correos fraudulentos que engañan a los empleados para que entreguen credenciales o descarguen malware — es el punto de entrada en la mayoría de los incidentes documentados. Y funciona porque los empleados no están entrenados para reconocerlo.

En nuestras simulaciones de phishing contra empresas medianas en México, entre el 25% y el 40% de los empleados hace clic en el enlace malicioso durante la primera prueba. Ese porcentaje es tu exposición real al factor humano.

Consecuencia Un solo clic de un empleado en un correo de phishing bien elaborado puede dar acceso a toda la red corporativa. Los ataques BEC (Business Email Compromise) que desvían pagos a cuentas fraudulentas comienzan exactamente así.

Corrección Implementa sesiones de capacitación en seguridad al menos dos veces al año, con simulaciones de phishing para medir el nivel real de riesgo. El entrenamiento debe incluir casos reales localizados en el contexto mexicano: no los mismos ejemplos genéricos en inglés que nadie relaciona con su trabajo.

¿Por qué los atacantes apuntan a las PYMEs?

La respuesta es sencilla: las PYMEs representan la combinación perfecta de valor y accesibilidad. Tienen información valiosa — datos de clientes, credenciales bancarias, contratos, propiedad intelectual — pero sin los controles de seguridad de una empresa grande. Para un atacante, son el equivalente a una tienda con cerradura de juguete y caja registradora llena.

Además, muchas PYMEs son parte de la cadena de suministro de empresas más grandes. Comprometer a un proveedor pequeño puede ser la puerta de entrada a un cliente corporativo con mucho mayor valor — un patrón llamado ataque de cadena de suministro que está en aumento constante en México.

¿Cometes alguno de estos errores? Lo más probable es que sí — no porque seas descuidado, sino porque la mayoría de las PYMEs no tienen los recursos internos para mantener una postura de seguridad robusta sin apoyo externo. Un pentest identifica exactamente cuáles de estos errores están presentes en tu empresa y cuáles representan el mayor riesgo.

Preguntas frecuentes

¿Cuánto cuesta implementar estas correcciones?

Depende del punto de partida. Un gestor de contraseñas corporativo cuesta entre $50 y $150 USD al mes para un equipo de 10-20 personas. La autenticación multifactor a través de Microsoft 365 o Google Workspace suele estar incluida en la suscripción que ya pagan. La capacitación en phishing puede contratarse por proyectos desde $3,000 MXN por sesión. La relación costo-beneficio es muy favorable comparada con el costo promedio de un incidente.

¿Por dónde empiezo si mi empresa nunca ha hecho nada de esto?

Prioriza en este orden: 1) autenticación multifactor en correo y accesos remotos, 2) gestión de contraseñas, 3) respaldos verificados fuera de línea. Estas tres medidas eliminan los vectores de ataque más comunes contra PYMEs mexicanas. Un diagnóstico gratuito puede ayudarte a entender cuál es tu estado actual y dónde hay mayor urgencia.

¿Un pentest sirve para encontrar todos estos errores?

Un pentest de infraestructura identifica contraseñas débiles, software desactualizado y configuraciones incorrectas. Un pentest de ingeniería social evalúa directamente la vulnerabilidad de tus empleados. Para los respaldos, un servicio de auditoría de seguridad incluye una revisión de los procedimientos y su efectividad real.

¿Quieres saber cuáles de estos errores tiene tu empresa?

Hacemos un diagnóstico inicial gratuito para identificar los riesgos más urgentes. Sin tecnicismos, con recomendaciones accionables desde el primer día.

Solicitar diagnóstico gratuito →