En 2024, una de cada cinco empresas neerlandesas aprendió por las malas lo que realmente significa “incidente cibernético”. En las grandes corporaciones, fueron tres de cada diez. El primer golpe: pérdidas financieras. Luego vinieron las filtraciones de datos. Y, finalmente, el parón operativo que convierte una sala de juntas en una sala de guerra.

La encuesta realizada por ABN AMRO y MWM2 fue clara: casi todas las organizaciones ya han sido atacadas al menos una vez. ¿La ironía? Siguen confiadas. De hecho, las pymes parecen especialmente seguras de sus propias defensas, una confianza cimentada en antivirus, cortafuegos y la creencia de que “a nosotros no nos pasará”.

Pero aquí está el problema: la prevención sin detección es como cerrar con llave la puerta principal dejando las ventanas abiertas. ¿Y la planificación de recuperación? Para muchos, es una idea de último momento. Ahí es donde las pérdidas financieras se multiplican y la reputación se evapora en una noche.

La capa geopolítica de la que nadie quiere hablar

El dominio digital ya no es solo un terreno de juego para adolescentes hackers y bandas de ransomware. Ahora es un escenario de conflicto geopolítico. Actores estatales, sí, esos que aparecen en las noticias, colaboran discretamente con ciberdelincuentes para atacar cadenas de suministro, infraestructuras críticas y sistemas sanitarios.

¿Su misión? Desestabilizar, debilitar y distraer.

¿Su método? Colarse por el eslabón más débil.

Y, aun así, solo el nueve por ciento de las empresas considera a los actores estatales una amenaza seria. Esto es el equivalente en gobernanza a estar bajo la lluvia sin darse cuenta de que uno está empapado.

El reloj legislativo avanza

Europa ya ha decidido que la ciberresiliencia no es opcional. La Directiva NIS2 y la Ley de Resiliencia Cibernética no son experimentos políticos, sino normas vinculantes que integran la gestión de riesgos, la notificación de incidentes y la seguridad en la cadena de suministro en el ADN legal de los sectores esenciales.

Pero la concienciación es alarmantemente baja.

• Dos tercios de las grandes empresas han oído hablar de NIS2.
• Menos de la mitad de las pymes lo conocen.

Aunque su empresa sea demasiado pequeña para estar directamente bajo el alcance de estas normas, es posible que sus clientes y proveedores sí lo estén. Eso significa que las preguntas de cumplimiento llegarán a su mesa, le guste o no. Y cuando llegue el tercer trimestre, llegará también la aplicación de la ley.

Por qué las pymes son el nuevo objetivo principal

Las grandes corporaciones han reforzado sus fortalezas digitales. El resultado: los atacantes están girando hacia las pymes, donde las defensas son más débiles y el radio de impacto aún puede alcanzar profundamente la cadena de suministro.

Una brecha en una pyme puede propagarse a proveedores, socios e incluso sectores enteros. Por eso la ciberresiliencia ya no es un problema privado, sino una responsabilidad de red.

La conclusión en gobernanza

La ciberseguridad ya no es un proyecto técnico del departamento de TI. Es una obligación de gobernanza, un requisito de cumplimiento y una cuestión estratégica de supervivencia. Las empresas que la traten como tal no solo resistirán los incidentes inevitables, sino que serán actores de confianza en un mercado que valora cada vez más la fiabilidad por encima de la rapidez.

Si todavía piensa que la ciberresiliencia es un gasto, ya ha perdido la primera jugada. En 2025, es su licencia para operar.