Las pymes españolas siguen abiertas de par en par: el control de accesos se ha convertido en su agujero más caro

La mala noticia para las pymes españolas no es que haya más ciberataques. Esa fase ya la superamos hace tiempo. La mala noticia de verdad es otra: muchos ataques siguen funcionando por una razón absurdamente simple, casi ofensiva por lo previsible. El acceso a sistemas críticos continúa gestionándose con contraseñas débiles, privilegios excesivos, cuentas huérfanas y proveedores externos con la puerta medio abierta.

La alerta lanzada por SonicWall apunta en esa dirección: robo de credenciales, phishing y ransomware siguen marcando la agenda de las pequeñas y medianas empresas. Nada revolucionario en el diagnóstico. Lo relevante está en la consecuencia operativa. Si el vector dominante es la identidad, entonces el problema ya no se resuelve comprando otra caja con luces azules ni añadiendo una herramienta más al catálogo. Se resuelve cerrando el grifo del acceso. Y ahí muchas pymes todavía están jugando en modo artesanal.

Eso tiene impacto económico inmediato, pero también empieza a tener un ángulo regulatorio y contractual mucho más serio de lo que algunos consejos de administración creen. Aunque una pyme no sea un banco ni una operadora esencial, puede quedar atrapada por exigencias de clientes, aseguradoras, cadenas de suministro o marcos como NIS2 y GDPR. No por glamour regulatorio, sino porque una cuenta comprometida hoy es el atajo más barato hacia una brecha de datos, una parada operativa o un cifrado masivo mañana.

Aquí está el quid: el control de accesos ha dejado de ser una cuestión técnica de administradores de sistemas. Se ha convertido en una disciplina de continuidad de negocio, responsabilidad directiva y, en muchos casos, supervivencia comercial.

El ataque más eficaz sigue siendo el más viejo: entrar con credenciales válidas

La industria lleva años hablando de malware sofisticado, inteligencia artificial ofensiva y actores patrocinados por Estados. Todo eso existe, sí. Pero en el día a día de la pyme española el atacante no necesita tanto despliegue. Le basta con una credencial reutilizada, una VPN sin MFA, un buzón de correo comprometido o una cuenta de administración local que nadie revisa desde 2021.

El patrón es conocido. Primero llega el phishing, casi siempre con un pretexto vulgar pero eficaz: una factura, una notificación logística, un enlace de Microsoft 365, un documento compartido. Si cae una cuenta, el atacante gana presencia. Si esa cuenta carece de autenticación multifactor, mejor todavía. Desde ahí escala privilegios, busca acceso a correo, ERP, compartidos de red, herramientas RMM, copias de seguridad y, si tiene suerte, conexiones con proveedores o clientes. El ransomware entra al final; la identidad comprometida entra al principio.

No es casualidad que tanto la guía del Centro Criptológico Nacional como el Instituto Nacional de Ciberseguridad lleven años insistiendo en controles básicos de identidad. Tampoco es casualidad que la Agencia de la Unión Europea para la Ciberseguridad, ENISA, incluya sistemáticamente el phishing, el compromiso de credenciales y el ransomware entre los riesgos más persistentes en sus informes de amenazas. La sofisticación del atacante ha aumentado, desde luego. La higiene defensiva media de muchas pymes no siempre ha acompañado.

Si uno mira cómo se producen muchos incidentes graves, aparece una ironía incómoda: la brecha no se abre por una vulnerabilidad exótica con nombre cinematográfico, sino por una cuenta que seguía activa tras la salida de un empleado, por un acceso remoto de un integrador sin segmentación o por un usuario que tenía permisos de más “por si acaso”. Es el tipo de desorden que no sale en los folletos comerciales, pero sí en los informes forenses.

Qué significa realmente “fallo en el control de accesos” y por qué las pymes lo subestiman

La expresión suena técnica, pero el problema es muy terrenal. Fallar en el control de accesos significa, en la práctica, no saber con precisión quién entra, a qué entra, con qué privilegios entra, desde dónde entra y durante cuánto tiempo conserva ese acceso.

En una pyme esto suele traducirse en cinco fallos recurrentes.

El primero es la ausencia de MFA en servicios críticos, sobre todo correo, VPN, escritorio remoto, paneles cloud y herramientas administrativas. A estas alturas, seguir sin MFA en correo corporativo no es una decisión valiente; es una invitación.

El segundo es la inflación de privilegios. Usuarios con permisos locales de administrador, cuentas compartidas entre varios empleados, perfiles de ERP con más funciones de las necesarias y accesos permanentes para tareas esporádicas. El principio de mínimo privilegio no se incumple por maldad, sino por prisa. El resultado es el mismo.

El tercero es la mala gestión del ciclo de vida de las identidades. Altas improvisadas, cambios de rol no reflejados y bajas incompletas. Si un exempleado mantiene acceso al correo, al CRM o a una VPN durante semanas, el problema ya no es de TI: es de gobernanza interna.

El cuarto es el acceso de terceros. Proveedores de mantenimiento, desarrolladores, consultoras, soporte de software vertical, integradores industriales. Muchas pymes dependen de ellos para operar y, precisamente por eso, les conceden accesos amplios, persistentes y poco supervisados. Ese vínculo es a menudo la mayor zona gris del perímetro.

El quinto es la falta de trazabilidad. Hay empresas que creen tener controlado el acceso porque “solo entra quien necesita entrar”, pero no conservan registros útiles, no correlacionan eventos, no revisan anomalías y no podrían reconstruir quién hizo qué durante un incidente. Sin logs consistentes, el control es más bien una cuestión de fe.

Todo esto se agrava en entornos híbridos. La pyme que mezcla Microsoft 365, un ERP heredado, accesos por RDP, NAS local, herramientas SaaS y un proveedor externo para mantenimiento tiene una superficie de identidad muy superior a la que imagina. Y la gestiona, en demasiados casos, con procedimientos propios de hace diez años.

La pyme no vive fuera de la regulación, aunque a veces actúe como si sí

Conviene bajar una idea a tierra. Muchas pequeñas empresas oyen hablar de DORA, NIS2 o el Reglamento de IA como si fuesen tormentas reservadas para bancos, grandes tecnológicas o infraestructuras críticas. Error parcial. Puede que la obligación directa no les alcance en todos los casos, pero la presión regulatoria les llegará por arrastre contractual, sectorial o de cadena de suministro.

Empecemos por lo obvio. Si un fallo de acceso deriva en una brecha de datos personales, el GDPR entra de lleno. El artículo 32 exige medidas técnicas y organizativas apropiadas al riesgo, incluyendo la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. No cita MFA por nombre, claro, pero a estas alturas resulta difícil defender ante una autoridad que proteger correo corporativo o acceso remoto sin doble factor era una medida “apropiada” cuando el riesgo de credential theft es tan conocido.

Y si hay violación de seguridad de datos personales, el artículo 33 del GDPR obliga a notificar a la autoridad de control competente sin dilación indebida y, de ser posible, en un plazo máximo de 72 horas desde que se tuvo constancia de ella. El artículo 34 añade la obligación de comunicar a los interesados cuando la brecha entrañe un alto riesgo para sus derechos y libertades. Una cuenta comprometida no es solo un incidente técnico; puede activar un reloj legal bastante desagradable.

Ahora miremos NIS2. La Directiva (UE) 2022/2555 endurece el régimen de ciberseguridad para entidades esenciales e importantes y amplía de forma notable el perímetro respecto a NIS1. Su artículo 21 exige medidas técnicas, operativas y organizativas apropiadas y proporcionadas para gestionar los riesgos que amenacen la seguridad de redes y sistemas de información. Entre esas medidas aparecen, entre otras, políticas de análisis de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro y el uso de soluciones de autenticación multifactor o autenticación continua, comunicaciones seguras y sistemas seguros de comunicación de emergencia cuando proceda.

La fecha clave aquí era el 17 de octubre de 2024, plazo para la transposición nacional de NIS2. La trasposición no ha sido uniforme ni particularmente elegante en todos los Estados miembros, pero el mensaje regulatorio es meridianamente claro: la autenticación fuerte y la gestión de accesos han dejado de ser un “nice to have”. Si tu pyme presta servicios a una entidad dentro del ámbito NIS2, ese cliente te va a pedir controles. No porque sea caprichoso, sino porque el artículo 21 mete la cadena de suministro dentro del problema.

DORA ofrece otra pista útil, aunque se aplique directamente al sector financiero. El Reglamento (UE) 2022/2554 es un manual de madurez operativa para entidades financieras, y en materia de terceros y accesos el mensaje es cristalino. Los artículos 28 a 30 exigen una gestión rigurosa del riesgo de terceros proveedores de servicios TIC, con requisitos contractuales, supervisión y estrategia de salida. Traducido al castellano de oficina: el banco o aseguradora que contrata a una pyme tecnológica o de servicios gestionados ya no puede permitirse la alegre opacidad de “ya lo lleva el proveedor”. Si tu empresa toca sistemas, datos o procesos críticos de una entidad financiera, prepárate para cuestionarios, evidencias, anexos de seguridad y revisiones de acceso bastante menos decorativas que antes.

Eso significa que incluso una pyme aparentemente alejada del radar regulatorio puede perder negocio por no demostrar controles básicos de identidad. El mercado está haciendo de transmisor de la norma. A veces con más eficacia que la propia Administración.

El verdadero riesgo no es la contraseña débil. Es la combinación de identidad, privilegio y terceros

Una contraseña débil puede dar entrada. Lo que convierte esa entrada en un desastre es otra cosa: privilegios excesivos, ausencia de segmentación y dependencia de terceros con acceso amplio.

Ese trinomio merece atención porque explica por qué incidentes relativamente simples se convierten en crisis de continuidad. Si un atacante entra en el buzón de un empleado sin privilegios y la empresa tiene MFA, revisión de reglas de reenvío, alertas de inicio de sesión anómalo y segmentación razonable, el daño puede quedar contenido. Si entra en la cuenta del proveedor que administra backups, EDR, directorio o firewall, la historia cambia. Cambia mucho.

Durante los últimos años, los grupos de ransomware han explotado precisamente esa lógica. No necesitan cifrar un portátil aislado. Buscan la cuenta que les permita moverse lateralmente, desactivar defensas, tocar copias de seguridad y maximizar presión. La relación entre Identity and Access Management y ransomware ya no es indirecta: es central.

Las pymes suelen infravalorar el riesgo de los terceros por dos razones. La primera es operativa: dependen de ellos para funciones que no pueden cubrir internamente. La segunda es psicológica: asumen que el proveedor especializado “ya sabrá lo que hace”. A veces sí. A veces no tanto. Y aunque lo sepa, el problema puede seguir siendo tuyo si el acceso no está bien acotado contractualmente, técnicamente y en registro.

Aquí conviene mirar el detalle práctico. Un acceso de tercero razonable debería ser nominativo, con MFA, limitado a sistemas concretos, restringido por horario o necesidad, revisable periódicamente y registrado. En demasiadas pymes ese acceso sigue siendo una VPN compartida, una cuenta genérica o un TeamViewer heredado de la noche de los tiempos. Luego llega el incidente y todo el mundo descubre que nadie puede explicar quién se conectó realmente.

Por qué comprar más herramientas no arregla un modelo de acceso roto

Hay una tentación muy extendida en el mercado pyme: responder a un problema de control con una compra. Otro firewall, otro antimalware, otra consola, otro “módulo de seguridad avanzada”. El vendedor sonríe. El auditor quizá asiente. El atacante, mientras tanto, sigue usando credenciales válidas.

Eso no significa que la tecnología no importe. Importa mucho. Significa que la secuencia importa más. Si la empresa no tiene inventario claro de identidades, clasificación de cuentas privilegiadas, MFA desplegado en todos los puntos críticos, proceso de alta-baja-cambio y revisión periódica de accesos, añadir herramientas solo acumula complejidad alrededor del problema original.

La identidad mal gobernada tiene una capacidad notable para humillar inversiones caras. Puedes desplegar EDR de primer nivel y seguir expuesto si un administrador usa la misma contraseña en varios entornos o si un proveedor entra por una cuenta genérica sin doble factor. Puedes contratar monitorización 24/7 y aun así enterarte tarde si no recoges logs de autenticación relevantes o no sabes qué cuentas son realmente sensibles.

Lo incómodo es que muchos controles eficaces no son glamourosos. Requieren disciplina, inventario, revisión y algo que a menudo escasea: decir no. No a privilegios indefinidos. No a cuentas compartidas. No a accesos persistentes “por comodidad”. No a la incorporación urgente de un tercero sin condiciones mínimas. No vende tanto como una plataforma con inteligencia artificial, pero evita más disgustos.

Qué deberían revisar hoy mismo las pymes españolas si no quieren descubrir el problema en plena crisis

La prioridad no es hacer un programa mastodóntico de transformación de identidad. La prioridad es identificar dónde está el riesgo material. Si una pyme quiere reducir exposición real en semanas, no en una presentación de PowerPoint, debería empezar por cuatro frentes muy concretos.

1. Correo, VPN y acceso remoto: MFA sin excepciones absurdas

Si Microsoft 365, Google Workspace, VPN, RDP o cualquier pasarela de acceso remoto siguen sin MFA obligatorio, ese es el primer agujero. No el segundo. El primero. Y conviene revisar no solo que exista MFA, sino qué tipo de MFA se usa. Los códigos por SMS son mejores que nada, pero presentan debilidades conocidas. La preferencia práctica suele ir hacia aplicaciones autenticadoras, claves FIDO2 o mecanismos resistentes al phishing cuando el presupuesto y el entorno lo permiten.

La pregunta útil para un gerente no es “¿tenemos MFA?”. La pregunta útil es “¿en qué accesos críticos todavía no está forzado, quién tiene excepciones y por qué siguen existiendo?”. Ahí empiezan a aparecer sorpresas.

2. Cuentas privilegiadas: menos, mejor definidas y vigiladas

Una pyme no necesita quince administradores globales para sobrevivir. Necesita muy pocos, muy justificados y muy controlados. Toda cuenta con privilegios elevados debería estar inventariada, ser nominativa, usar MFA robusto, limitarse a su función y generar trazabilidad suficiente. Las cuentas de administrador para tareas diarias son una mala práctica clásica; mezclar navegación, correo y privilegio elevado en la misma identidad es regalar superficie de ataque.

Si no existe una revisión trimestral de privilegios, el problema no es de madurez avanzada. Es de higiene básica.

3. Terceros con acceso: contrato, alcance y caducidad

El proveedor que mantiene un ERP, un sistema industrial, una plataforma cloud o un entorno de backup necesita reglas. Quién accede, con qué cuenta, para qué sistemas, con qué ventana temporal y con qué registro. Si el acceso es continuo, debe haber una razón operativa clara. Si no la hay, debe ser just-in-time o activarse solo cuando proceda. DORA ha convertido esta lógica en obligación dura para el sector financiero. Fuera de él, sigue siendo puro sentido común de supervivencia.

También conviene revisar el contrato. No con jerga jurídica vacía, sino con cláusulas concretas sobre autenticación, gestión de incidentes, plazos de notificación, subcontratación, registro de actividad y revocación de acceso al terminar la relación.

4. Bajas y cambios de rol: donde se pierde el control sin que nadie haga ruido

Muchas organizaciones dedican más atención al alta de un usuario que a su salida. Error clásico. El proceso de offboarding debería revocar de forma inmediata accesos a correo, VPN, SaaS, aplicaciones internas, dispositivos y sistemas de autenticación. Lo mismo con los cambios de función. El comercial que pasa a operaciones no debería conservar permisos heredados “por si acaso”. Ese “por si acaso” es uno de los motores favoritos del privilegio excesivo.

Si Recursos Humanos, TI y responsables de área no tienen un flujo coordinado y verificable para estos movimientos, la empresa acumula deuda de acceso sin darse cuenta.

Donde la noticia se vuelve incómoda: el control de accesos ya es una cuestión de dirección, no solo de TI

Hay un punto en el que la conversación deja de ser técnica. Cuando una empresa sabe que el robo de credenciales, el phishing y el ransomware son amenazas dominantes y aun así mantiene accesos críticos sin MFA, privilegios sin revisar y terceros mal controlados, la exposición deja de ser accidental. Se convierte en una decisión de gestión, aunque nadie la formule así en el comité de dirección.

NIS2, de hecho, endurece el papel de la alta dirección. El artículo 20 exige que los órganos de dirección aprueben las medidas de gestión de riesgos de ciberseguridad y supervisen su aplicación, y prevé formación para esos órganos. El regulador europeo viene a decir algo bastante sensato: si la dirección firma presupuestos, aprueba dependencias tecnológicas y tolera prácticas inseguras, no puede fingir sorpresa cuando llegan las consecuencias.

La pyme española suele tener una estructura más comprimida que una gran corporación. Eso tiene una ventaja: se pueden tomar decisiones rápidas. También tiene un riesgo: la ciberseguridad se mezcla con prioridades comerciales inmediatas y casi siempre pierde. Se pospone el proyecto de MFA porque “molesta a los usuarios”. Se tolera la cuenta compartida del proveedor porque “si no, no entran rápido”. Se mantienen privilegios amplios porque “somos pocos y hay que ser ágiles”. Todo razonable a corto plazo. Todo carísimo cuando un incidente paraliza facturación, producción o atención al cliente.

Y aquí aparece una ironía regulatoria deliciosa. Muchas empresas llevan años temiendo grandes sanciones administrativas, pero lo que antes les golpeará probablemente sea algo más prosaico: la pérdida de un cliente grande, la subida de la prima del ciberseguro, una exclusión de cobertura o una due diligence fallida en contratación. A veces el mercado castiga antes que el supervisor.

El ángulo del seguro cibernético: si no controlas identidades, quizá no te cubran como crees

Este punto merece más atención de la que recibe. Las aseguradoras de ciber riesgo llevan tiempo endureciendo cuestionarios y condiciones, precisamente porque determinados controles tienen correlación clara con la severidad del siniestro. MFA en accesos remotos y correo, segmentación, backups inmutables, gestión de privilegios y EDR ya no son casillas decorativas.

No todas las pólizas son iguales, y conviene no generalizar más de la cuenta. Pero el mercado asegurador ha evolucionado en una dirección evidente: menos tolerancia a controles básicos ausentes y más escrutinio sobre lo que el asegurado declaró al contratar. Si una pyme afirma tener MFA desplegado y luego, tras un incidente, se descubre que la VPN del proveedor o el tenant de correo tenía excepciones generalizadas, la conversación con la aseguradora puede volverse bastante menos amistosa.

Esto no convierte al seguro en un sustituto del control de accesos. Más bien al contrario. Lo convierte en otro incentivo para ordenarlo. Porque la pregunta ya no es solo si te atacarán, sino si podrás demostrar que hiciste lo mínimo razonable para dificultarlo.

Qué le están exigiendo ya los clientes grandes a sus proveedores pequeños

Uno de los cambios más relevantes de los últimos dos años no viene solo de la ley, sino de procurement. Grandes compañías, entidades financieras, operadores esenciales, grupos industriales y proveedores cloud están endureciendo la evaluación de terceros. Y cuando bajan al detalle, el control de accesos aparece siempre.

La pyme que quiera seguir vendiendo a organizaciones reguladas debe acostumbrarse a preguntas mucho más concretas que antes: si hay MFA en correo y acceso remoto, si se revisan privilegios, si se registran accesos privilegiados, si se segregan entornos, si se controla la subcontratación, si hay plazos definidos de notificación de incidentes, si existe un proceso documentado de revocación de accesos y si se realizan revisiones periódicas de cuentas inactivas.

Antes bastaba con una política de seguridad bien maquetada y un discurso convincente. Cada vez menos. El cliente quiere evidencias operativas. Pantallazos, extractos de configuración, procedimientos firmados, resultados de revisión, registros. No porque se haya vuelto paranoico, sino porque su propio regulador o auditor le está apretando.

Esto crea una asimetría curiosa. La pyme que ordena bien sus controles de identidad no solo reduce riesgo técnico; también gana una ventaja comercial tangible. En sectores saturados, poder responder con seriedad a un cuestionario de terceros ya es un factor competitivo. La ciberseguridad básica, bien hecha, empieza a vender.

Lo que no debería hacer una pyme ahora mismo

Conviene decirlo con claridad, porque el mercado está lleno de atajos tentadores.

No debería limitarse a una campaña aislada de concienciación sobre phishing y dar el tema por resuelto. La formación ayuda, pero no compensa una arquitectura de acceso floja.

No debería mantener cuentas genéricas de administración porque “siempre se ha hecho así”. Si hay un incidente, esas cuentas son un regalo para el atacante y una pesadilla para forense, auditor y abogado.

No debería confiar en que el proveedor externo cubre automáticamente todos los requisitos. Si el acceso existe, la responsabilidad de controlarlo es compartida como mínimo, y en ciertos escenarios contractuales o de tratamiento de datos puede recaer directamente en la empresa cliente.

No debería esperar a una certificación formal para ordenar lo obvio. ISO 27001 puede aportar estructura, sí, pero ninguna norma salva a quien sigue dejando cuentas privilegiadas sin revisar o acceso remoto sin MFA.

Y no debería caer en la trampa de creer que, por ser pequeña, interesa menos al atacante. De hecho, muchas campañas masivas prefieren víctimas con defensas más flojas y procesos menos maduros. El tamaño no da invisibilidad. Da, a veces, vulnerabilidad adicional.

Mi lectura: la noticia no va de herramientas, va de disciplina empresarial

La pieza de SonicWall acierta al señalar que las pymes están replanteando su estrategia frente al robo de credenciales, el phishing y el ransomware. Pero el valor real del debate no está en la etiqueta “estrategia”. Está en si ese replanteamiento toca la parte incómoda del problema: identidades, privilegios, terceros y trazabilidad.

Porque aquí ya no hay misterio. Sabemos bastante bien qué controles reducen de verdad la superficie de ataque más explotada. Sabemos que MFA en accesos críticos corta una porción relevante del riesgo de compromiso por credenciales. Sabemos que el mínimo privilegio limita impacto. Sabemos que el offboarding deficiente crea puertas traseras involuntarias. Sabemos que el acceso de terceros sin control es una bomba con temporizador discreta pero muy eficaz.

Lo que falta, muchas veces, no es conocimiento técnico. Es disciplina de ejecución. Y también una pequeña dosis de honestidad organizativa. Si tu empresa no puede responder con precisión cuántas cuentas privilegiadas tiene, qué proveedores acceden a sistemas críticos, cuánto tarda en revocar accesos cuando alguien se marcha y qué puntos de entrada siguen sin MFA, entonces no tiene un problema potencial. Tiene un problema actual, solo que todavía no ha explotado.

La parte menos glamurosa de la ciberseguridad vuelve a ser la más decisiva. No suena épica. No queda espectacular en la memoria anual. Pero es exactamente donde se ganan o se pierden muchos incidentes.

Qué vigilar a partir de ahora

En los próximos meses veremos tres tendencias que deberían interesar a cualquier pyme española con dependencia tecnológica seria.

La primera es la consolidación del control de identidad como requisito comercial de facto. No hará falta una ley dirigida específicamente a cada pyme para que ese estándar se imponga; bastará con que lo exijan clientes, aseguradoras y socios de canal.

La segunda es el endurecimiento del escrutinio sobre terceros. DORA ya ha subido mucho el listón en servicios financieros y NIS2 empuja en la misma dirección para sectores esenciales e importantes. Esa presión descenderá por la cadena de suministro. Quien toque sistemas ajenos tendrá que demostrar más.

La tercera es técnica, pero con efecto muy práctico: el atacante seguirá prefiriendo credenciales válidas cuando pueda conseguirlas. Son baratas, escalan bien y permiten mezclarse con actividad legítima. Mientras ese siga siendo el camino más rentable, el control de accesos seguirá siendo el punto de fallo más caro para quien lo gestione mal.

La pregunta, por tanto, no es si la pyme española necesita una estrategia de ciberseguridad más madura. La necesita, claro. La pregunta útil es otra: si mañana un atacante obtuviera una credencial interna, cuántas barreras reales encontraría antes de tocar correo, datos, copias de seguridad o sistemas clave. Si la respuesta es “pocas”, ya sabes dónde empezar. Y no, no hace falta un buzzword nuevo para verlo.