Los dueños de un negocio podrán ser multados por una fuga de datos, aunque el error sea de un empleado

Los dueños de un negocio podrán ser multados por una fuga de datos, aunque el error sea de un empleado

La Directiva NIS2 impone a las pymes sanciones que pueden alcanzar los diez millones de euros si sufren un ciberataque debido a una negligencia. Los directivos podrán ser considerados culpables a título personal, aunque el fallo lo haya cometido un empleado.

 Los responsables de las pymes podrán ser multados, aunque la brecha de seguridad sea culpa de sus empleados.

La nueva normativa de ciberseguridad europea, conocida como Directiva NIS2, impone exigencias estrictas a todos los negocios, grandes y pequeños, que operan en ciertos sectores y, por primera vez, hace responsables a los directivos de forma personal, en caso de incumplimiento; aunque el origen del ataque informático esté originado por un fallo de sus trabajadores.

La trasposición de esta Directiva en España, a través del anteproyecto de ley de Coordinación y Gobernanza de la Ciberseguridad, contempla sanciones que pueden alcanzar los diez millones de euros o el 2% del volumen de facturación del negocio. Con lo cual, para muchas pymes, la normativa implica ajustes inmediatos para evitar sanciones y garantizar su continuidad.

Una estafa de suplantación de Google roba a los autónomos y a las pymes sus cuentas de correo

El impacto es especialmente relevante para aquellos pequeños y medianos negocios que operan en sectores como energía, transporte, salud, telecomunicaciones, agua y banca, ya que deberán reforzar su infraestructura digital para cumplir con los nuevos requisitos. “El problema es que muchas compañías siguen dependiendo de herramientas aisladas y procesos manuales, que no son nada sencillos ni prácticos”, explicó a este diario Sancho Lerena, CEO de Pandora FMS. Para el responsable en España de esta multinacional de software de monitorización de sistemas informáticos, la normativa no sólo obliga a las empresas a adoptar medidas técnicas, sino que “los directivos deberán supervisarlas y responder en caso de fallos”.

Sanciones para los negocios que sufran un ciberataque por no protegerse adecuadamente

La Directiva europea establece que las empresas afectadas deben contar con medidas de ciberseguridad avanzadas, incluyendo la monitorización de riesgos, planes de contingencia y notificación de incidentes. Sin embargo, según datos de la Agencia Europea de Ciberseguridad, solamente un tercio (el 27%) de los negocios en Europa cumple actualmente con estos requisitos, lo que revela un alto riesgo de sanciones.

En España, la situación no es mucho mejor, ya que la falta de personal especializado y, a menudo, una inversión insuficiente, dificultan la adaptación. Para las pymes, el reto es aún mayor. Muchas no cuentan con equipos internos de ciberseguridad y dependen de proveedores externos para cumplir con la normativa.

“Muchas pymes recurren a contratar seguridad gestionada a terceros, como un servicio externo. Esto puede funcionar a nivel normativo, pero no asegura una protección real”, advirtió Sancho Lerena. La Directiva obliga a las empresas a contar con planes de acción frente a incidentes, por lo que delegar la ciberseguridad sin supervisión interna puede no ser suficiente para evitar sanciones.

Uno de los aspectos más controvertidos de la NIS2 es que las multas pueden recaer directamente sobre los CEO y administradores de la pyme, incluso si no son los propietarios del negocio y se trata de simples empleados.

La multa puede recaer sobre el CEO o administrador, incluso si no es el propietario del negocio.

En caso de incumplimiento, la autoridad de control podrá inhabilitar temporalmente a los directivos e incluso suspender la actividad de la empresa hasta que se subsanen las deficiencias. “Los criterios sancionadores se centran en la negligencia, no en el mero hecho de sufrir un ataque”, aclaró el CEO de Pandora FM. “Por lo que las multas se evitarán con un plan de respuesta, gestión de incidencias y formación interna”.

Las pymes pueden ser sancionadas como proveedoras de grandes firmas

Otro punto crítico es que las pymes pueden ser sancionadas, aunque no sean el objetivo directo de la regulación. Muchos pequeños y medianos negocios forman parte de la cadena de suministro de grandes compañías reguladas; lo que los obliga a cumplir con la normativa para poder seguir operando.

De hecho, en sectores como el transporte o la salud, muchas pymes dependen de contratos con grandes empresas que ya han empezado a exigir certificaciones de seguridad como condición para continuar la relación comercial.

“Estamos ante un momento clave para el ecosistema empresarial. Las pymes no sólo deben protegerse de ciberataques, sino cumplir con normativas cada vez más exigentes, lo que añade una carga significativa a sus operaciones diarias”, advirtió Víctor Ronco, CEO de Zerod. Para muchas startups y pymes, esto supone un coste elevado en términos de tiempo y recursos, que se suma a la falta de personal especializado en ciberseguridad.

El Instituto Nacional de Ciberseguridad (INCIBE) reportó más de 120.000 incidentes de ciberseguridad en España en 2024, lo que representa un aumento del 20% respecto al año anterior. Esta situación refuerza la necesidad de adoptar medidas preventivas cuanto antes, pero también supone un reto adicional para negocios con presupuestos ajustados. La implementación de sistemas de ciberseguridad requiere una inversión inicial que no todas las pymes pueden afrontar de inmediato.

Los empleados deberán vigilar el cumplimiento de las nuevas exigencias

Para mitigar el impacto económico, algunos expertos recomiendan soluciones de seguridad escalables y adaptadas a las necesidades de cada negocio. La automatización de procesos y la integración de herramientas de detección de amenazas pueden ayudar a reducir costes y mejorar la protección sin necesidad de grandes equipos internos. No obstante, esto no exime a los negocios de la obligación de contratar personal capacitado, que supervise estas soluciones.

Aunque los autónomos son los que sufren más hurtos, la ciberseguridad sólo es prioritaria para el 35%

En el contexto actual, no cumplir con los requisitos de la Directiva NIS2, además de conllevar sanciones económicas, puede poner en riesgo la viabilidad del negocio. Las pymes que no implementen medidas adecuadas se exponen a pérdida de contratos, daño reputacional y, en el peor de los casos, ciberataques que paralicen su actividad. Según Lerena, “mucho más grave que la multa puede ser la propia continuidad del negocio. El verdadero riesgo es no poder operar tras un incidente grave”.

La normativa también impone plazos estrictos para la notificación de incidentes de seguridad, lo que obliga a las pymes a establecer protocolos internos para identificar y reportar ataques en un tiempo determinado. No cumplir con estos plazos puede derivar en sanciones adicionales, lo que agrava la presión sobre los pequeños y medianos negocios y su capacidad de reacción ante amenazas digitales.

Los móviles de los autónomos se están convirtiendo en el principal objetivo de los ciberataques en 2025

El panorama del cibercrimen está evolucionando. En 2024, el número de usuarios afectados por amenazas financieras móviles creció un 102% a nivel mundial en comparación con 2023, mientras disminuyeron los ataques tradicionales de malware financiero tradicional dirigidos a PC.

Según el informe ‘Kaspersky Security Bulletin: crimeware y ciberamenazas financieras en 2025’, se prevé que esta tendencia continúe en 2025, afectando a usuarios y empresas. Todo indica que los smartphones serán el principal blanco del cibercrimen financiero.

Otros hallazgos indican que la inteligencia artificial ha facilitado la manipulación de imágenes y videos, permitiendo fraudes bancarios y evasión de autenticación biométrica. Troyanos bancarios atacaron sistemas de pago instantáneo, interceptando transferencias y robando fondos.

También se ha detectado un incremento del 21,5% en los ataques de ransomware, un tipo de malware que bloquea el acceso a los datos o dispositivos y exige un rescate para liberarlos. A este riesgo se suman las nuevas formas de suplantación de voz mediante inteligencia artificial y los malwares ocultos en aplicaciones descargadas desde tiendas oficiales, amenazas cada vez más sofisticadas que dificultan su detección.

Según el experto en ciberseguridad Josep Albors “Pymes y autónomos corren los mismos riesgos que los usuarios domésticos ya que estas campañas también van dirigidas a ellos y pueden convertirse también en víctimas potenciales al usar asuntos lo suficientemente llamativos como cebo”.

Los expertos advierten que el móvil seguirá siendo el principal objetivo de los ciberataques contra los autónomos

Según los datos publicados por Kaspersky, la tendencia de ciberataques móviles seguirá en alza en 2025. El resultado de esta predicción es que los smartphones reemplazarán a los PC como principal objetivo del cibercrimen financiero.

Además, las apps falsas de pago instantáneo suponen una menaza creciente para los trabajadores por cuenta propia y dueños de negocios. Estas simulan transacciones reales, engañando a vendedores, pequeñas empresas y compradores.

Tal y como explicó a este diario Josep Albors, “los ciberataques a dispositivos móviles más comunes suelen ser aquellos que usan enlaces que redirigen a webs fraudulentas de phishing para robar datos personales como los de las tarjetas de crédito. Estos enlaces pueden enviarse a través de mensajes SMS suplantando a empresas u organismos oficiales o mostrarse como publicaciones o anuncios en redes sociales”.

Kaspersky, por su parte señaló que, según los datos analizados, los ciberdelincuentes continúan intentando distribuir malware a través de tiendas oficiales de aplicaciones. De hecho, en el tercer trimestre de 2024, se detectó en Google Play la presencia del troyano xHelper oculto dentro de la aplicación Open Browser, lo que evidencia que estas plataformas siguen siendo un canal utilizado para propagar amenazas, incluso bajo las políticas de seguridad de los propios marketplaces.

Según el experto en ciberseguridad consultado, “seguimos viendo como las aplicaciones fraudulentas siguen suponiendo un problema muy serio y, aunque la mayoría de ellas se descargan desde sitios no oficiales, tampoco podemos descartar que algunas apps maliciosas se cuelen en mercados oficiales como Google Play”.

Si atendemos a la peligrosidad, podemos agruparlos en dos categorías:

Ataques que causan un daño económico directo

Según explicó a este diario Josepo Albors, aquí “se englobarían amenazas como los troyanos bancarios y webs de phishing destinadas a robar datos relacionados con tarjetas de crédito”.

Amenazas dirigidas al robo de información

Por otro lado, existen amenazas digitales centradas exclusivamente en el robo de información, que “pueden ir desde el acceso a la agenda de contactos hasta ataques mucho más complejos”, aclaró Albors. Algunos de estos programas maliciosos están diseñados para extraer todos los datos almacenados en el dispositivo, incluyendo contraseñas, archivos sensibles o conversaciones privadas.

Además, ciertos tipos de spyware son “capaces de activar de forma remota micrófonos y cámaras”, permitiendo a los atacantes espiar conversaciones o capturar imágenes sin conocimiento del usuario. Estas técnicas convierten al dispositivo en una herramienta de vigilancia “para obtener información confidencial”, comprometiendo seriamente la privacidad.

Medidas para reducir el riesgo de ciberataques

Los autónomos y pequeños negocios deben ser conscientes de que las amenazas cibernéticas pueden dirigirse a ellos en cualquier momento, por lo que es fundamental tomar una serie de precauciones básicas pero efectivas. Según Josep Albors, experto en ciberseguridad, estos serían los puntos críticos a tener en cuenta:

1. Actualización continua de dispositivos

• Es fundamental mantener los dispositivos actualizados mediante la instalación de los parches de seguridad publicados por los fabricantes.

2. Descarga responsable de aplicaciones

• Las aplicaciones deben descargarse exclusivamente desde tiendas oficiales, como Google Play o App Store. Según el experto, “es importante evitar fuentes desconocidas o enlaces no verificados”.

3. Precaución ante comunicaciones no solicitadas

• Josep Albors recomienda “no interactuar con enlaces sospechosos” ni proporcionar datos personales o confidenciales a través de correos, mensajes o formularios cuya procedencia no esté verificada.

4. Prevención frente a llamadas fraudulentas

• Es importante también “desconfiar de llamadas inesperadas, incluso si parecen proceder de familiares o conocidos, especialmente cuando solicitan datos sensibles, ya que la voz puede ser suplantada mediante técnicas de inteligencia artificial”, aclaró el experto en ciberseguridad.
• En los datos extraídos por Karspersky, se observa que en 2024 se dispararon los fraudes basados en deepfakes de voz, especialmente el vishing, una versión del phishing por llamada telefónica. Entre los casos más alarmantes destacan los «falsos secuestros», donde los delincuentes imitan la voz de familiares para extorsionar.
• El acceso a modelos de generación de voz de código abierto ha facilitado enormemente estas estafas, permitiendo que cualquier ciberdelincuente, sin grandes conocimientos técnicos, pueda suplantar identidades

5. Uso de soluciones de ciberseguridad

• En dispositivos Android, resulta recomendable contar con soluciones de seguridad específicas capaces de bloquear amenazas, detectar intentos de fraude y proteger la información financiera.

Una estafa de suplantación de Google roba a los autónomos y a las pymes sus cuentas de correo

Google ha protagonizado un nuevo episodio de estafa que ha puesto en alerta a los expertos en seguridad. No tanto por el modus operandi, ya conocido con anterioridad, sino por las técnicas empleadas.

En la reciente campaña de ataques que ha sido detectada, los delincuentes han usado inteligencia artificial para suplantar la identidad del servicio técnico del gigante de internet de forma plausible. Su objetivo: engañar a las posibles víctimas y tener acceso a sus credenciales, un efecto especialmente crítico para autónomos y pequeños negocios, en especial para aquellos que manejan datos sensibles de clientes.

El 54% de las pymes españolas ha sufrido un ciberataque y muchas no lo saben, explica el Incibe

No en vano, según explicaba Fernando Ramos, CEO de BeOneSec, en el marco del VI Foro de Emprendedores y Autónomos –organizado el pasado martes por la Federación Nacional de Asociaciones de Trabajadores Autónomos (ATA)–, esta clase de fraude está tipificado como uno de los más efectivos contra los negocios. Aprovechando el nombre no sólo de Google, sino también de Microsoft o Apple. De hecho, el Centro de Denuncias de Delitos en Internet cifraba en casi 1.000 millones de dólares las pérdidas totales generadas por este método de cibercrimen para consumidores y negocios sólo el pasado año.

Los delincuentes utilizan voces generadas con IA para hacerse pasar por técnicos de Google

En particular, como informaba el portal Forbes hace unos días, un consultor de seguridad de la propia Microsoft fue el primero en dar aviso sobre un caso de suplantación del soporte de Google, del que él mismo fue objetivo. Según se detalla, el intento de engaño comenzó con el envío de varias notificaciones para aprobar la recuperación de una cuenta.

En principio, estas notificaciones podrían formar parte de los protocolos de seguridad legítimos, ya que el buscador utiliza este tipo de alertas para confirmar intentos de recuperación de cuenta o detectar actividad sospechosa. Pero el método habitual consiste en enviar mensajes a través de la aplicación o por correo electrónico.

El caso es que, tras la llegada de esos mensajes, la víctima recibió una llamada telefónica. Mitrovic buscó el número de procedencia y descubrió que, en efecto, aparecía en páginas legítimas del soporte de Google para negocios. Ahora bien, no se trata de un número de atención como tal, sino de uno vinculado a Google Assistant. Pero del que se informa que, en efecto, pueden proceder llamadas tanto de un sistema automatizado como de un operador.

Así, el consultor comenzó a conversar con el supuesto técnico, que realizó varias preguntas acerca de su situación –por ejemplo, indagando si estaba viajando o si había iniciado sesión desde localizaciones inusuales– para generar una falsa sensación de urgencia y confianza. Durante la llamada, la voz del técnico aseguró que se había detectado actividad sospechosa en su cuenta de Gmail, alertando de que un atacante había tenido acceso a la misma.

No obstante, según explicó el consultor de Microsoft, la sofisticación del ataque radicaba en que la conversación no era con una persona real, sino con un sistema de IA “sumamente realista”, según él: capaz de generar voces que incluso lograron imitar el acento y el tono de un técnico profesional. Este uso de la inteligencia artificial, que permite ajustar y personalizar la interacción en tiempo real, resultó en una estafa casi perfecta, diseñada para engañar incluso a usuarios con experiencia.

Frente a este fraude, los expertos aconsejan terminar sin más la llamada

Ante la sospecha de encontrarse frente a un intento de estafa de este tipo, lo primero es mantener la calma y actuar sin prisas. La mejor opción es, sin duda, colgar el teléfono. Aunque si se tienen dudas sobre la legitimidad del mensaje, existen una serie de pasos que conviene seguir.