Los ciberataques rebasan al área de sistemas de las pymes mexicanas

Los ciberataques rebasan la capacidad operativa de las áreas de sistemas de las pymes mexicanas. La presión combina ataques más frecuentes, más canales digitales, uso informal de inteligencia artificial, proveedores externos, cumplimiento regulatorio y una estructura empresarial donde la defensa suele descansar en equipos pequeños.

Un estudio global de WatchGuard a 842 profesionales de TI y ciberseguridad de organizaciones con entre dos y 2,499 empleados, realizado en abril de 2026 en 20 países, incluido México, encontró que casi 75% de las organizaciones sufrió al menos un incidente de ciberseguridad durante el último año. Las infecciones por malware o virus encabezaron la lista, con 33%; después aparecieron el phishing y el compromiso de correo empresarial, con 32%; y las brechas de datos o accesos no autorizados a información sensible, con 29 por ciento.

En una pyme, estos incidentes suelen caer primero en la mesa de una persona de sistemas, de un proveedor externo que atiende varias empresas o de un encargado administrativo con permisos amplios para resolver pagos, accesos, facturación y usuarios. La empresa queda expuesta cuando la respuesta depende de personas que también sostienen la operación diaria.

La diferencia entre operar tecnología y defender un negocio se volvió más visible. WatchGuard encontró que 55% de las organizaciones considera que sus equipos de TI están adecuadamente dotados. Al mismo tiempo, 67% requiere apoyo adicional para manejar mayores exigencias de cumplimiento y 54% necesita monitoreo y soporte continuo, las 24 horas.

Una empresa puede tener equipo suficiente para que funcionen sus computadoras, su correo, su red, su sistema de facturación y sus aplicaciones. Esa misma estructura puede quedar corta cuando debe investigar alertas, contener malware, revisar accesos, responder fuera del horario laboral, documentar riesgos y coordinar la recuperación después de un incidente.

En 2023, México registró 5.45 millones de unidades económicas del sector privado y empresas paraestatales. Las microempresas representaron 95.5% del total, emplearon 41.5% del personal ocupado y aportaron 17.1% de los ingresos. Las pequeñas fueron 3.7% de las unidades económicas, ocuparon 14.8% del personal y generaron 17.6% de los ingresos. Las medianas representaron 0.7%, con 14.4% del personal y 21.8% de los ingresos, de acuerdo con el Inegi. El Inegi reportó que 82.1% de las unidades económicas pequeñas utilizó internet para sus actividades en 2023. La proporción subió a 90.9% entre las medianas. También registró que 27.9% de las pequeñas y 33.4% de las medianas realizaron ventas por internet.

Demasiados frentes

México registró 58.1 billones de intentos de ciberataques durante 2025 y 30 billones de escaneos activos, de acuerdo con datos de FortiGuard Labs. El volumen colocó al país entre los tres mercados más afectados de América Latina, junto con Brasil y Colombia, dentro de una región que acumuló 843.3 billones de intentos en el año.

Los escaneos activos muestran una fase previa del ataque. Antes del robo de datos, del ransomware o de la toma de cuentas, los grupos criminales buscan servicios expuestos, accesos remotos, dominios, infraestructura DNS, interfaces de administración y vulnerabilidades. Para una pyme, esa búsqueda puede ocurrir sin señales visibles. El negocio sigue abierto, los pedidos entran, las facturas salen y los sistemas responden.

El ataque empieza muchas veces con una acción menor. Un correo falso que simula venir de un proveedor; una contraseña reutilizada; una computadora sin parchear; un archivo adjunto; un acceso remoto mal configurado; una cuenta de excolaborador que permanece activa o una alerta que llegó durante la madrugada y nadie revisó.

La inteligencia artificial añadió otro punto de entrada. Kaspersky detectó más de 92,000 ciberataques disfrazados de agentes y servicios populares de inteligencia artificial entre enero y mayo de 2026. Las falsas aplicaciones de ChatGPT representaron 49% de los ataques detectados, mientras Claude y Gemini concentraron 18% cada una.

La compañía también identificó más de 15,000 muestras de malware disfrazadas como software de inteligencia artificial agéntica, incluidas versiones falsas de herramientas como OpenClaw. Entre esas muestras había troyanos bancarios, spyware, exploits y descargadores capaces de instalar cargas maliciosas adicionales.

En mayo de 2026, el Equipo Global de Investigación y Análisis de Kaspersky identificó una campaña vinculada al grupo Silver Fox. Los atacantes distribuyeron aplicaciones falsas de Claude AI para Windows, macOS y Linux. Los instaladores desplegaban malware de forma silenciosa y permitían acceso prolongado a sistemas comprometidos e información sensible.

Menos licencias, más operación

El mercado de ciberseguridad también muestra un desfase. WatchGuard identificó a México como un mercado dominado por revendedores de valor agregado (VAR), con 49%, lo que apunta a una etapa más temprana para servicios administrados de seguridad. Francia aparece como un mercado impulsado por MSSPs, con 65%; Canadá se ubica más cerca de un modelo de consultoría, con 31%; y Estados Unidos mantiene una mezcla entre VARs, MSPs y proveedores de telecomunicaciones.

La reventa y la integración ayudan a adquirir licencias, equipos y plataformas; no obstante, la amenaza actual exige operación, monitoreo, detección, respuesta, respaldo, recuperación, gestión de identidades, reportes ejecutivos y tiempos comprometidos de atención.

WatchGuard encontró que las organizaciones buscan más apoyo de sus proveedores en respuesta impulsada por IA, con 44%; detección y respuesta administrada, con 36%; evaluación de riesgos y gestión de vulnerabilidades, con 35%; e identidad y seguridad de accesos, también con 35 por ciento. Además, 38% pide respuesta más rápida ante incidentes, 37% capacitación para empleados y 31% mejor comunicación y transparencia.

Tres de cada cuatro organizaciones esperan aumentar su inversión en ciberseguridad durante los próximos dos años. Las prioridades para pagar más se concentran en monitoreo 24/7 y respuesta rápida a incidentes, con 47%; detección y respuesta impulsada por IA, con 44%; y cacería proactiva de amenazas, con 37 por ciento.

En una pyme, cada peso destinado a seguridad compite con nómina, inventario, renta, crédito, logística, marketing y ventas. La reacción tardía suele ser más cara. Kaspersky reportó en 2025 que las pymes enfrentaron a nivel global un promedio de 16 incidentes de ciberseguridad en un año y destinaron cerca de 300,000 dólares a remediación, lo que representó 1.5 veces su presupuesto general de seguridad de TI.

rodrigo.riquelme@eleconomista.mx