Si gestionas una empresa de entre 30 y 200 empleados, probablemente tienes antivirus, quizás una VPN, y alguien que «se encarga de lo informático» cuando algo falla. Y probablemente crees que eso es suficiente.
No lo es.
En 2025, el INCIBE gestionó 122.223 incidentes de seguridad en España — un 26% más que el año anterior. La tendencia en 2026 sigue al alza.
Detrás de esos números no hay solo grandes corporaciones. Hay empresas como la tuya: con equipo, con clientes, con datos que proteger, y con la falsa sensación de que los ataques les pasan a otros.
Estos son los cinco vectores de ataque más frecuentes en pymes españolas ahora mismo — y qué significa cada uno en términos concretos para tu negocio.
1. Phishing: el correo que parece legítimo
El phishing sigue siendo la puerta de entrada más común a los sistemas de una empresa. Un empleado recibe un correo aparentemente legítimo — de un proveedor habitual, de un banco, incluso del propio director o gerente — y hace clic en un enlace o descarga un archivo adjunto.
Lo que ha cambiado en 2026 es la sofisticación. La inteligencia artificial permite generar correos más persuasivos y con mensajes impecables con los que cualquier persona, sin importar su cargo o experiencia, puede caer.
2. Ransomware: paralización total en horas
El ransomware es el tipo de ataque con mayor impacto económico por incidente. Un código malicioso cifra todos los archivos de tu empresa — facturas, contratos, bases de datos de clientes, correos — y exige un rescate para devolverte el acceso.
El coste medio de un ataque de ransomware para una empresa mediana española oscila entre 80.000 y 150.000 euros, incluyendo días de paralización, recuperación de datos, coste reputacional y posibles sanciones regulatorias. El impacto real: paralización total de operaciones, pérdida de datos y multas RGPD si hay fuga de datos personales.
3. Contraseñas comprometidas
¿Cuántos empleados de tu empresa usan la misma contraseña para el correo corporativo y para otras plataformas? La respuesta, estadísticamente, es: muchos. Cuando una plataforma de terceros sufre una brecha, esas credenciales quedan expuestas y los atacantes las prueban sistemáticamente en servicios corporativos.
Sin autenticación de doble factor (MFA), cualquier contraseña filtrada es una llave maestra capaz de otorgar acceso no autorizado a correo, documentos, sistemas de facturación o ERP.
4. Software desactualizado
Cada actualización de software corrige vulnerabilidades conocidas. Cada sistema sin actualizar es una vulnerabilidad documentada que cualquier atacante puede explotar. En entornos donde no hay nadie gestionando el parche de sistemas de forma sistemática, los equipos acumulan semanas o meses de actualizaciones pendientes.
Windows, Office, el software de gestión, el antivirus, el router de la oficina. Todos necesitan actualización periódica y verificada. Sin ese mantenimiento activo, los atacantes pueden identificar tus puntos débiles para acceder a tu red o instalar malware.
5. Ingeniería social: el ataque que no necesita código
No todos los ataques son técnicos. La ingeniería social consiste en manipular a personas para obtener información o accesos sin necesidad de hackear ningún sistema. Una llamada telefónica simulando ser soporte técnico, un mensaje de WhatsApp haciéndose pasar por el gerente, o un empleado de recepción que facilita acceso a alguien que «parece» ser de mantenimiento.
En 2026, la IA permite clonar voces con pocos segundos de audio. El fraude por llamada simulando al CEO o a un directivo es una amenaza real y creciente para empresas de cualquier tamaño. Se han visto casos de transferencias fraudulentas, acceso físico no autorizado y filtración de información confidencial.
¿Qué tienen en común estos cinco vectores?
Ninguno requiere que tu empresa sea un objetivo valioso. Todos explotan lo mismo: la ausencia de alguien que mantenga los sistemas activos, actualizados y vigilados.
La buena noticia es que todos son prevenibles. Formación del equipo, gestión de contraseñas, actualizaciones sistemáticas, copias de seguridad verificadas, monitorización continua. No es magia, es mantenimiento. La mala noticia es que nada de esto funciona si se hace una vez y se olvida. Necesita continuidad.
En Expacom llevamos más de una década siendo el departamento IT que las pymes en Tres Cantos y Madrid no tienen internamente. Si quieres saber qué tienes cubierto y qué no, podemos hacer una revisión inicial sin compromiso.
ciberseguridad pymes
ciberataques España
ransomware empresas
phishing pymes
seguridad informática Madrid
protección datos empresas
INCIBE incidentes
Zero Trust: qué significa para tu empresa y por dónde empezar
El modelo de seguridad "nunca confiar, verificar siempre" ya no es solo para grandes corporaciones. Aquí tienes el enfoque incremental que funciona en pymes.
Cuando en 2014 Google eliminó las VPN internas y empezó a verificar cada acceso como si viniera de fuera de la empresa, pocos pensaron que ese modelo llegaría a las pymes. Zero Trust —»nunca confiar, verificar siempre»— ha dejado de ser un concepto de laboratorio para convertirse en el estándar mínimo que reguladores, aseguradoras y directivos de IT exigen a cualquier organización que quiera reducir su exposición al riesgo. La pregunta ya no es si adoptarlo, sino cómo hacerlo sin paralizar el negocio.
Qué es Zero Trust y qué ha cambiado en los últimos años
Zero Trust parte de una premisa sencilla: ningún usuario, dispositivo o aplicación merece acceso por defecto, independientemente de si está dentro o fuera de la red corporativa. Cada solicitud de acceso se evalúa en tiempo real considerando la identidad del usuario, el estado del dispositivo y el contexto de la petición. Solo si todo cuadra se concede el acceso — y solo el estrictamente necesario.
Lo que ha cambiado no es el principio, sino su nivel de exigencia. Hace cinco años, Zero Trust era aspiracional. Hoy, prácticas que entonces se consideraban avanzadas —autenticación multifactor resistente a phishing, monitorización continua, revocación automática de sesiones sospechosas— son el punto de partida. Gartner estima que para este año el 60 % de las empresas utilizará algún tipo de microsegmentación en sus iniciativas Zero Trust, algo impensable hace apenas tres años.
Dato clave
Según Gartner, el 60 % de las empresas aplicará microsegmentación de red en el marco de Zero Trust antes de que acabe 2026. Los cortafuegos perimetrales tradicionales no pueden seguir el ritmo de la infraestructura dinámica actual.
Por qué una pyme no puede ignorarlo
El argumento más común contra Zero Trust en las pymes es la complejidad. Es un argumento comprensible, pero parte de una premisa equivocada: que Zero Trust es un proyecto que se acomete de golpe. No lo es.
El riesgo de no actuar, en cambio, sí es inmediato. Las brechas de seguridad más frecuentes en empresas de menos de 250 empleados siguen el mismo patrón: credenciales comprometidas que nadie detectó a tiempo, un dispositivo sin gestión que se conectó a recursos críticos, o un proveedor externo con acceso demasiado amplio. Zero Trust ataca directamente esos tres vectores.
Además, el marco regulatorio europeo está convergiendo en esa dirección. La Directiva NIS2, ya en vigor, obliga a sectores esenciales a implementar medidas de ciberseguridad proporcionales al riesgo. Aunque no menciona «Zero Trust» explícitamente, los controles que exige —gestión estricta de identidades, registro de accesos, segmentación de activos— son exactamente los pilares del modelo. Cumplir NIS2 bien equivale, en la práctica, a dar los primeros pasos de Zero Trust.
«Uno de los mayores fallos es querer hacerlo todo de golpe.»
— John Kindervag, creador del concepto Zero Trust
El punto de partida práctico: identidad y acceso condicional
Si tu empresa trabaja con Microsoft 365, ya tienes el motor central de Zero Trust disponible sin coste adicional: las políticas de Acceso Condicional de Microsoft Entra ID. Estas políticas permiten definir condiciones dinámicas para cada acceso — por ejemplo, requerir MFA cuando el usuario se conecta desde una ubicación inusual, bloquear dispositivos no gestionados o restringir el acceso a aplicaciones críticas fuera del horario laboral.
Tres controles con los que empezar esta semana
MFA para todos los usuarios. No solo para administradores. El 80 % de las brechas relacionadas con credenciales se habrían evitado con autenticación multifactor activa.
Inventario de dispositivos. Si no sabes qué dispositivos acceden a tus sistemas, no puedes controlar el riesgo. Herramientas como Microsoft Intune permiten gestionar y evaluar el estado de seguridad de cada equipo antes de concederle acceso.
Principio de mínimo privilegio. Revisa qué cuentas tienen permisos de administrador. La mayoría de las organizaciones descubren que el número es tres o cuatro veces mayor de lo necesario.
Microsegmentación y respuesta automática: el siguiente escalón
Una vez cubierta la capa de identidad, el siguiente paso es limitar el daño que puede causar un atacante que ya ha conseguido entrar. Aquí entra la microsegmentación: dividir la red en segmentos granulares de forma que un incidente en una parte no se propague al resto. En términos prácticos, significa que un ransomware que cifra los equipos del departamento de administración no puede saltar automáticamente a los servidores de producción.
Automatización: de horas a minutos
El otro componente que marca la diferencia en 2026 es la velocidad de respuesta. Las organizaciones que han madurado su modelo Zero Trust han integrado flujos automatizados que revocan sesiones sospechosas, aíslan dispositivos comprometidos o rotan credenciales en cuestión de minutos. Lo que antes requería intervención manual durante horas ahora ocurre en tiempo real. Para una pyme sin equipo de seguridad dedicado, esta automatización no es un lujo: es la única forma realista de responder a amenazas fuera del horario de oficina.
Adoptar Zero Trust no requiere un proyecto de transformación de dos años ni un presupuesto de gran empresa. Requiere un plan incremental: empezar por la identidad, añadir visibilidad sobre los dispositivos, segmentar gradualmente los sistemas más críticos y automatizar las respuestas más repetitivas. Cada paso reduce el riesgo de forma tangible. Si quieres saber en qué punto está tu organización y cuáles son las prioridades para tu caso concreto, en Expacom podemos ayudarte a trazar ese camino.
Zero Trust
ciberseguridad pymes
acceso condicional
Microsoft Entra ID
seguridad IT
microsegmentación
NIS2
Un ataque de ransomware a la cadena británica Marks & Spencer en 2025 dejó su canal de ventas online paralizado durante semanas y un impacto estimado de 300 millones de libras en resultados operativos. No fue un caso de datos robados en silencio: fue un negocio que dejó de funcionar. El ransomware en 2026 ya no es una amenaza de nicho reservada a grandes corporaciones. Las pymes españolas están en el punto de mira exactamente por las mismas razones que siempre han estado: menos recursos de seguridad, mayor dependencia de accesos remotos y, con frecuencia, sin un plan de respuesta si algo falla.
Qué ha cambiado en el ransomware: más grupos, más presión, menos pagos
El ecosistema criminal del ransomware se ha fragmentado. Según datos de Check Point Research, en el tercer trimestre de 2025 operaban simultáneamente 85 grupos de ransomware en todo el mundo — un máximo histórico. Cuando las grandes bandas caen o son desmanteladas por operaciones policiales, sus afiliados no desaparecen: se reorganizan en grupos más pequeños, más difíciles de rastrear y, a menudo, más dispuestos a atacar objetivos medianos como las pymes.
El volumen se mantiene alto: unos 535 ataques documentados al mes en 2025, un 25% más que el año anterior. Pero hay un dato que cambia el análisis: solo el 23% de las víctimas pagó el rescate en 2025, el porcentaje más bajo registrado. Las bandas han respondido adaptando su modelo. Si antes el objetivo era cifrar datos y cobrar el descifrado, ahora la prioridad es robar información antes de cifrar — o incluso en lugar de cifrar — para usar la amenaza de publicación como palanca de extorsión. En tres de cada cuatro ataques recientes se produjo exfiltración de datos antes del cifrado.
Dato clave
En el tercer trimestre de 2025, el grupo Akira fue responsable del 34% de los incidentes de ransomware analizados por Coveware, concentrando sus ataques en empresas medianas mediante campañas de alto volumen con credenciales VPN comprometidas y phishing. Es el perfil de víctima más cercano a una pyme española.
Las tres puertas de entrada que más se explotan
Entender cómo entran los atacantes es más útil que conocer sus nombres. Los vectores iniciales del ransomware en 2025 se repiten con llamativa consistencia, y los tres principales son perfectamente abordables con medidas que no requieren grandes presupuestos.
Credenciales comprometidas y accesos remotos expuestos
Más de la mitad de los incidentes analizados en 2025 comenzaron por aquí: una VPN mal configurada, un escritorio remoto (RDP) accesible desde internet sin autenticación multifactor, o credenciales filtradas que nadie había desactivado. Los atacantes no rompen la puerta: entran con la llave. Una vez dentro, se mueven lateralmente por la red, escalan privilegios y desactivan las copias de seguridad antes de lanzar el cifrado. El tiempo medio entre la intrusión inicial y el despliegue del ransomware puede ser de días o semanas.
La protección aquí no es compleja: MFA en todos los accesos remotos, revisión periódica de qué servicios están expuestos a internet y rotación de credenciales cuando un empleado abandona la empresa. Muchas intrusiones aprovechan accesos activos de usuarios que ya no están en la organización.
Phishing y ingeniería social
El correo electrónico sigue siendo el vector de entrada preferido. Los ataques actuales no son los mensajes genéricos en inglés mal escrito de hace diez años: imitan comunicaciones corporativas con precisión, aprovechan urgencias reales (vencimientos, trámites, alertas de sistemas) y en algunos casos usan IA generativa para personalizar el mensaje al destinatario concreto. En España, una campaña en 2024 suplantó a la Fábrica Nacional de Moneda y Timbre para distribuir malware a través de un supuesto certificado digital adjunto.
«Los atacantes no necesitan explotar una vulnerabilidad técnica si pueden convencer a alguien de que les abra la puerta.»
— Coveware, Ransomware Marketplace Report 2025
La concienciación del equipo es la primera línea de defensa, pero no puede ser la única. Configurar DMARC correctamente en tu dominio reduce de forma significativa la capacidad de terceros de suplantar tu dirección de correo, algo relevante tanto para proteger a tus empleados como a tus clientes.
Software sin parchear y configuraciones incorrectas
Los grupos de ransomware escanean internet de forma continua en busca de sistemas con vulnerabilidades conocidas. En 2025, Microsoft alertó de ataques activos contra servidores SharePoint on-premises que explotaban un fallo de día cero; grupos como Clop han construido toda su operativa alrededor de vulnerabilidades en software de transferencia de archivos empresarial, llegando a comprometer cientos de organizaciones en una sola campaña. Las configuraciones incorrectas en entornos cloud — buckets de almacenamiento abiertos, permisos excesivos — funcionan como vectores silenciosos que no requieren malware: simplemente alguien accede a lo que no debería estar accesible.
Lo que marca la diferencia cuando el ataque llega
Las organizaciones que han salido mejor paradas de un incidente de ransomware comparten algunas características. No son necesariamente las que tienen más presupuesto de seguridad: son las que tenían procesos mínimos funcionando antes del ataque.
Copias de seguridad aisladas y probadas. La palabra clave es aisladas: un backup conectado permanentemente a la red puede ser cifrado junto con el resto de los datos. Igual de importante es haberlo probado — saber que puedes restaurar no es lo mismo que haberlo hecho.
Segmentación de red. Si todos los equipos de la empresa comparten el mismo segmento de red, un ransomware puede propagarse lateralmente sin obstáculos. La segmentación limita el radio de daño.
Plan de respuesta documentado. No hace falta un plan de 50 páginas. Hace falta saber quién llama a quién, qué sistemas se aíslan primero y qué proveedor IT externo tiene acceso de emergencia. Ese documento, en papel si es necesario, vale más que cualquier herramienta si el ataque cifra también los sistemas donde está guardado.
MFA activado en todos los accesos críticos. Correo, VPN, herramientas de gestión, paneles de administración. El coste de activar MFA es mínimo comparado con el coste de un acceso no autorizado.
Gestión de parches con cadencia real. No basta con tener una política de actualización: hay que ejecutarla. Un parche disponible que no se aplica durante semanas es una ventana abierta.
El ransomware en 2026 es una amenaza madura, bien organizada y adaptada a las realidades del mercado. Las pymes españolas no son objetivos secundarios: son el objetivo preferido de grupos como Akira precisamente porque combinan datos de valor con defensas más débiles. La buena noticia es que las medidas que más reducen el riesgo no son las más costosas. Si quieres revisar el estado real de exposición de tu empresa — accesos remotos, política de backups, configuración de correo — es un buen momento para hacer esa revisión antes de que alguien más lo haga por ti.
ransomware pymes España
ciberseguridad empresas
protección ransomware 2026
doble extorsión
seguridad IT pymes
backup empresas
phishing corporativo
Imagina que un proveedor recibe un correo supuestamente enviado desde tu cuenta corporativa, pidiéndole que cambie el número de cuenta para el próximo pago. El mensaje parece legítimo: el dominio es el tuyo, el nombre del remitente coincide y el tono es el habitual.
El problema es que tú no lo enviaste. Y lo peor: probablemente no te enteres hasta que detectes que el pago no llegó y tengas que reclamarlo.
Esto no es un escenario hipotético: es exactamente lo que facilita la ausencia de DMARC en el dominio de una empresa. Y, según datos de informes oficiales, en las pymes la proporción de dominios sin DMARC es significativamente mayor.
Qué es DMARC y por qué existe
DMARC (Domain-based Message Authentication, Reporting and Conformance) es un protocolo de seguridad que controla quién está autorizado a enviar correo desde tu dominio. No es un filtro antispam ni un antivirus: es una política que le dice al servidor receptor qué hacer cuando recibe un email que dice ser de tu empresa pero no puede verificarlo.
Para entender cómo funciona, hay que conocer dos mecanismos previos sobre los que se apoya:
SPF define qué servidores están autorizados a enviar correo en nombre de tu dominio. Si el correo llega desde una IP no autorizada, falla SPF.
DKIM añade una firma digital a cada correo saliente. El servidor receptor verifica esa firma para confirmar que el mensaje no fue alterado y que realmente proviene de tu dominio.
DMARC actúa como árbitro: recoge los resultados de SPF y DKIM, verifica que el dominio autenticado coincida con el que aparece en el campo «De» del correo, y aplica la política que hayas definido. Si el correo no supera la verificación, DMARC decide qué ocurre con él.
Cómo funciona en la práctica
Un correo llega al servidor de tu cliente diciendo ser de tuempresa.com. El servidor consulta tu registro DMARC en el DNS. Si no pasa la verificación y tienes política de rechazo activa, el correo se descarta antes de llegar a la bandeja de entrada. Tu cliente nunca lo ve.
Las tres políticas DMARC: de la observación al bloqueo
DMARC no es un interruptor de encendido y apagado. Funciona en tres niveles que se activan progresivamente:
p=none (monitorización): No filtra nada. Solo registra qué correos pasan o fallan la verificación y envía informes al administrador. Es el punto de partida recomendado para no interrumpir envíos legítimos mientras se audita la configuración.
p=quarantine (cuarentena): Los correos que no superan la verificación van a la carpeta de spam del destinatario. Reducción de exposición sin bloqueo total.
p=reject (rechazo): Los correos no verificados se descartan directamente. Es la configuración objetivo: máxima protección, cero tolerancia al spoofing.
«Sin DMARC, los servidores de correo no tienen instrucciones sobre qué hacer con los mensajes que suplantan tu dominio. Los entregan.»
— Lógica del protocolo DMARC, RFC 7489
Qué ocurre cuando no está configurado
En octubre de 2024, una campaña de phishing suplantó a la Fábrica Nacional de Moneda y Timbre enviando correos desde su dominio con malware adjunto. En diciembre del mismo año, ciberdelincuentes llegaron a suplantar al propio INCIBE — el Instituto Nacional de Ciberseguridad — para extorsionar a usuarios. En ambos casos, la ausencia o mala configuración de DMARC facilitó que los correos fraudulentos llegaran a sus destinatarios.
Para una pyme, las consecuencias son las mismas aunque la escala sea diferente. Un dominio sin DMARC expone a la empresa a tres riesgos concretos:
Fraude financiero: correos falsos solicitando transferencias o cambios de datos bancarios a proveedores o clientes.
Daño reputacional: si tu dominio se usa para enviar spam o phishing, los grandes proveedores de correo pueden marcar tu dominio como sospechoso — afectando también a tus envíos legítimos.
Pérdida de confianza: clientes que reciben correos fraudulentos «de tu empresa» y caen en el engaño difícilmente distinguirán entre el ataque y tu marca.
Cómo activar DMARC en tu dominio
La implementación técnica es responsabilidad del equipo IT o del proveedor que gestiona tu DNS. Pero como responsable de la empresa o del área de IT, conviene entender el proceso para validar que se está haciendo correctamente.
El proceso estándar tiene cuatro fases:
Verificar que SPF y DKIM están activos antes de configurar DMARC. Si alguno de los dos falla, DMARC no puede funcionar correctamente.
Publicar un registro DMARC en el DNS con política p=none e incluir una dirección para recibir los informes agregados (etiqueta rua=).
Analizar los informes durante 2-4 semanas. Los informes muestran qué servidores envían correo en nombre de tu dominio — legítimos e ilegítimos. Esta fase es crítica para no bloquear por error envíos válidos como newsletters o plataformas de soporte.
Escalar a p=quarantine y después a p=reject una vez confirmado que todos los emisores legítimos están correctamente autorizados.
Verificación rápida
Puedes comprobar si tu dominio tiene DMARC activo en menos de un minuto con herramientas gratuitas como MXToolbox o el comprobador de DMARC de Google. Busca «DMARC checker» e introduce tu dominio. Si no aparece ningún registro, tienes trabajo pendiente.
DMARC no es la única medida de seguridad necesaria en el correo corporativo, pero sí es una de las más rápidas de activar y con mejor retorno: reduce de forma drástica la suplantación del dominio. En otras palabras, cierra una puerta que muchas empresas tienen abierta sin saberlo —y que los atacantes conocen perfectamente.
Si quieres revisar el estado de tu dominio o necesitas ayuda para implementar DMARC correctamente, el equipo de Expacom puede hacer una auditoría inicial sin compromiso.
Ver todos →
Cloud
Azure vs AWS: cuál es la mejor opción para una pyme española
Comparamos costes, soporte en español, cumplimiento GDPR y facilidad de adopción para empresas de menos de 250 empleados.
8 min · 9 mar 2026
Seguridad
OpenClaw, el agente de IA que pone a prueba tu marco de ciberseguridad empresarial
El fenómeno que en semanas acumuló 300.000 seguidores en GitHub llega a España. ¿Está tu empresa preparada para gestionar una IA que actúa sola?
5 min · 23 mar 2026
Microsoft 365
Copilot para Microsoft 365: primeras impresiones tras 6 meses de uso real
Qué funciona, qué no, y en qué tareas del día a día hemos visto más ahorro de tiempo con clientes reales.
7 min · 16 mar 2026
Seguridad
Microsoft 365
·
6 min de lectura
Acceso Condicional en Microsoft Entra ID: qué es y por qué activarlo
Una contraseña robada ya no debería ser suficiente para entrar en los sistemas de tu empresa. El Acceso Condicional evalúa cada intento de acceso en tiempo real y decide si lo permite, lo bloquea o exige una verificación adicional.
SM
Sergio Montero
4 de enero de 2026 · Actualizado 14 mar
Imagina que la puerta de tu oficina se abre con una llave a la que un día alguien fuera de tu organización hace una copia. Con una cerradura normal, esa persona entra sin problema. Pero si la puerta fuera inteligente — si comprobara quién la usa, desde dónde, a qué hora y si algo no encaja — esa copia no serviría de nada.
Eso es, en esencia, lo que hace el Acceso Condicional de Microsoft. Cada vez que alguien intenta entrar en el correo, en Teams, en los documentos compartidos o en cualquier aplicación de tu empresa, este sistema evalúa si todo cuadra antes de abrir la puerta. Y si algo parece sospechoso, pide una verificación extra o directamente bloquea el acceso.
¿Cómo funciona en la práctica?
No hace falta ser informático para entender la lógica. El Acceso Condicional funciona con reglas de sentido común, traducidas a tecnología:
Si alguien se conecta desde un país donde tu empresa no tiene actividad, se bloquea el acceso. Así de simple.
Si un empleado entra desde su móvil personal en vez del ordenador de la empresa, se le pide que confirme su identidad con un segundo paso (un código, una notificación en el móvil, la huella dactilar).
Si el sistema detecta que una contraseña ha sido filtrada en internet, corta el acceso automáticamente, sin esperar a que nadie se dé cuenta.
El resultado es que tus empleados trabajan con normalidad, pero quien intente colarse se encuentra con una barrera que no puede sortear.
Dato clave
Según Microsoft, las empresas que activan la verificación en dos pasos junto con estas políticas eliminan el 99 % del riesgo de que alguien entre con credenciales robadas.
¿Por qué debería importarte, aunque no seas informático?
Porque los ataques ya no van dirigidos solo a grandes empresas. Van dirigidos a las que están menos preparadas. Y muchas pymes españolas usan Microsoft 365 a diario — correo, documentos, facturación — sin saber que tienen esta herramienta disponible y, en muchos casos, sin activar.
Los riesgos más habituales son más cotidianos de lo que parece. Un correo que imita a un proveedor y pide un cambio de cuenta bancaria. Un empleado que pincha en un enlace que parece legítimo y entrega su contraseña sin saberlo. Un ordenador infectado que intenta acceder a los archivos compartidos de toda la empresa.
El Acceso Condicional no evita que llegue ese correo falso. Pero sí evita que el daño vaya a más. Si alguien roba una contraseña, se encontrará con una segunda barrera. Si un equipo está comprometido, el sistema le cierra la puerta a los recursos en la nube. Si una sesión se comporta de forma sospechosa, se revoca en el acto.
«Ya no basta con tener una buena contraseña. La seguridad tiene que comprobar cada acceso como si fuera el primero.»
— Principio Zero Trust, base de la seguridad moderna
¿Qué ha cambiado últimamente?
Microsoft ha dado varios pasos importantes en los últimos meses que afectan a todas las empresas que usan sus servicios, tengan o no equipo técnico dedicado.
El más relevante: Microsoft ya activa ciertas protecciones por defecto. Hasta hace poco, cada empresa tenía que configurar sus propias reglas. Ahora, si el sistema detecta un inicio de sesión sospechoso — porque viene de una ubicación inusual o porque las credenciales aparecen en una filtración conocida — exige verificación adicional automáticamente, aunque la empresa no lo haya configurado expresamente. Es como si tu seguro de hogar viniera con alarma incluida de serie.
Además, a partir de finales de marzo de 2026, se elimina un hueco técnico que permitía a ciertas aplicaciones menos comunes saltarse los controles. A partir de ahora, todo pasa por el mismo filtro. Sin excepciones.
También se ha añadido una especie de «papelera de reciclaje» para las reglas de seguridad: si alguien borra una política por error, se puede recuperar en los 30 días siguientes. Un detalle pequeño que evita problemas grandes.
Dato clave
Con solo tres reglas bien configuradas — verificación en dos pasos para todos, bloqueo de sistemas de acceso antiguos y comprobación del dispositivo — se frena la inmensa mayoría de ataques a cuentas de empresa.
¿Por dónde empezar?
No hace falta cambiarlo todo de golpe. Pero hay cosas que no deberían esperar:
Comprobar que todos los usuarios de tu empresa tienen activada la verificación en dos pasos. Si hay cuentas que solo usan contraseña, son la puerta de entrada más fácil para un atacante.
Revisar si vuestro entorno de Microsoft 365 tiene políticas de Acceso Condicional activas. Muchas empresas lo tienen disponible y no lo saben.
Asegurarse de que existe una cuenta de emergencia preparada para situaciones críticas, como un bloqueo generalizado.
Antes de activar reglas nuevas, probarlas en modo «solo observación» para ver a quién afectarían sin causar interrupciones.
El Acceso Condicional no es un producto adicional que haya que comprar. Viene incluido en las licencias de Microsoft 365 que muchas pymes ya tienen contratadas. La diferencia está en activarlo, configurarlo bien y mantenerlo actualizado.
En Expacom nos encargamos de que estas protecciones funcionen en tu empresa sin que tengas que convertirte en experto en ciberseguridad. Si no tienes claro si tu entorno está protegido o quieres saber qué opciones tienes disponibles, podemos revisarlo juntos.
acceso condicional
seguridad Microsoft 365
protección empresas
ciberseguridad pymes España
verificación en dos pasos
Microsoft Entra ID
Zero Trust empresas
Continúa leyendo
Más artículos de Expacom
Ver todos →
Cloud
Azure vs AWS: cuál es la mejor opción para una pyme española
Comparamos costes, soporte en español, cumplimiento GDPR y facilidad de adopción para empresas de menos de 250 empleados.
Seguridad
Zero Trust: el modelo de seguridad que toda empresa debería aplicar
El enfoque ‘nunca confíes, siempre verifica’ ha pasado de ser una recomendación a convertirse en un estándar del sector.
Microsoft 365
Copilot para Microsoft 365: primeras impresiones tras 6 meses de uso real
Qué funciona, qué no, y en qué tareas del día a día hemos visto más ahorro de tiempo con clientes reales.
Ciberseguridad
Gestión IT
·
6 min de lectura
Qué es el phishing y por qué es la puerta de entrada más común a los ciberataques
El phishing no es solo un correo con errores. En 2026 es personalizado, multicanal y casi imposible de detectar a simple vista. Esto es lo que necesitas saber.
Si en los últimos meses has recibido un correo del banco pidiéndote verificar tu cuenta, una notificación de Hacienda con un enlace para consultar una gestión pendiente o un mensaje de un proveedor solicitando un cambio de datos bancarios, has estado cerca de un ataque de phishing. Puede que lo detectaras, puede que no. En 2026, la diferencia entre un correo legítimo y uno fraudulento ya no está en las faltas de ortografía ni en el diseño chapucero: está en detalles técnicos que la mayoría de las personas no saben dónde buscar. España ocupa el cuarto lugar mundial por detecciones de adjuntos maliciosos en correo, con un 8% del total global según datos de Kaspersky. Para las pymes españolas, que concentran más del 70% de los objetivos de los ciberataques, entender qué es el phishing y cómo funciona hoy no es opcional.
Qué es exactamente el phishing
El phishing es una técnica de engaño mediante la cual un atacante se hace pasar por una entidad de confianza —un banco, Hacienda, Microsoft, un proveedor, incluso un compañero de trabajo— para conseguir que la víctima realice una acción: hacer clic en un enlace, introducir sus credenciales en una web falsa, descargar un archivo malicioso o autorizar una transferencia.
El nombre viene del inglés fishing —pescar— porque la mecánica es exactamente esa: lanzar un anzuelo convincente y esperar a que alguien pique. La diferencia con la pesca real es que en el phishing el anzuelo se lanza a miles de destinatarios simultáneamente, y con que uno solo caiga, el ataque puede haber tenido éxito.
Lo que distingue al phishing de otros tipos de ataque es que no necesita explotar vulnerabilidades técnicas en los sistemas. No busca un fallo en el software ni en el servidor. Busca un fallo humano: la prisa, la confianza, la falta de atención en un momento de distracción. Por eso es tan efectivo y por eso ningún sistema de seguridad técnico puede bloquearlo al cien por cien.
Dato clave
El Anti-Phishing Working Group registró 4,8 millones de ataques de phishing en 2024, un récord histórico. La tasa media de clic en enlaces fraudulentos ronda el 3,4%: de cada 1.000 correos enviados, unos 34 destinatarios acaban haciendo clic. En una empresa de 50 empleados, eso significa que estadísticamente uno o dos caerán en cada campaña que llegue a sus bandejas de entrada.
Cómo funciona un ataque de phishing en la práctica
Un ataque de phishing típico sigue una secuencia sencilla. Primero, el atacante elige el anzuelo: una notificación bancaria, un aviso de entrega de paquete, una alerta de seguridad de Microsoft 365, una factura de un proveedor. Segundo, construye una comunicación que imita visualmente a la entidad legítima: mismo logo, mismos colores, mismo tono. Tercero, incluye un elemento de urgencia —»su cuenta será bloqueada en 24 horas», «confirme sus datos antes del viernes»— para que el destinatario actúe sin pensar. Cuarto, el enlace dirige a una web fraudulenta donde se capturan las credenciales, o el adjunto instala malware al abrirse.
En 2026, esta secuencia se ejecuta con una precisión nueva. Los modelos de lenguaje con inteligencia artificial permiten generar correos perfectamente redactados, sin errores, en el idioma y el tono exacto de la organización suplantada. Un estudio de la Universidad de Oxford constató que los correos de phishing generados con IA logran hasta un 60% más de clics que el phishing tradicional. El resultado es que las señales clásicas de alerta —ortografía deficiente, lenguaje incoherente, diseño tosco— han desaparecido de los ataques más sofisticados.
El phishing dirigido: cuando el anzuelo lleva tu nombre
Existe una variante más peligrosa que el phishing masivo: el spear phishing, o phishing dirigido. En lugar de enviar el mismo correo a miles de personas, el atacante investiga previamente a la víctima —su cargo, sus proyectos recientes, los nombres de sus compañeros, sus proveedores habituales— y construye un mensaje específicamente diseñado para ella. En 2026 se han documentado casos de phishing dirigido que suplantaban a directores financieros para conseguir que empleados autorizasen transferencias bancarias fraudulentas, usando referencias internas reales que solo podían conocerse investigando el perfil público de la empresa.
Las formas que adopta el phishing hoy
El correo electrónico sigue siendo el canal principal, pero los atacantes han diversificado para esquivar los filtros corporativos. En 2026 hay que tener en cuenta al menos tres variantes adicionales.
El smishing funciona exactamente igual que el phishing por correo, pero llega por SMS. Es especialmente efectivo porque los mensajes de texto generan una sensación de inmediatez mayor, los móviles tienen menos capas de protección que un ordenador corporativo, y el usuario suele leerlos fuera del contexto de trabajo donde estaría más alerta.
El vishing —phishing por voz— combina SMS o correo con una llamada telefónica. Una red criminal desarticulada recientemente en España enviaba 1.000 SMS de phishing por minuto y a continuación llamaba a las víctimas haciéndose pasar por su banco para obtener los códigos de verificación de segundo factor, llegando a defraudar casi 2 millones de euros. Con la clonación de voz mediante IA, hoy es posible falsificar la voz de un directivo con una muestra de audio pequeña, lo que convierte las llamadas en un vector de ataque que ya no puede validarse solo por reconocer la voz.
El QRishing usa códigos QR maliciosos incrustados en correos o mensajes. El problema técnico es que los filtros antiphishing analizan URLs en texto plano, no imágenes: un QR codificado en una imagen pasa desapercibido para la mayoría de las pasarelas de seguridad corporativa. El usuario lo escanea desde el móvil, fuera del entorno protegido de la empresa, y acaba en una web fraudulenta. El uso malicioso de QR creció un 400% entre 2023 y 2025 según Abnormal Security.
«El phishing explota principalmente errores humanos. Por eso la prevención es fundamentalmente una cuestión de higiene digital y de actitud alerta, no solo de tecnología.»
— Informe de Novedades del Phishing en España, 2026
Qué puede hacer tu empresa para reducir el riesgo
Ninguna medida elimina el riesgo al cien por cien, pero tres acciones concretas reducen drásticamente la superficie de ataque.
La primera es activar la autenticación multifactor (MFA) en todos los accesos corporativos. Si un empleado cae en un phishing y entrega su contraseña, el MFA impide que el atacante pueda usarla: necesita también el segundo factor, que no tiene. Según datos de Microsoft, el MFA frena el 99,22% de los intentos de compromiso de cuentas basados en credenciales robadas. Es la medida con mayor retorno por esfuerzo invertido.
La segunda es configurar correctamente el dominio de correo de la empresa con SPF, DKIM y DMARC. Estas tres siglas técnicas tienen un efecto práctico concreto: impiden que atacantes puedan enviar correos que parezcan provenir del dominio legítimo de tu empresa. Protege a tus clientes y proveedores de recibir phishing en tu nombre, y protege la reputación del dominio.
Verificar siempre el dominio real del remitente, no solo el nombre visible.
Pasar el cursor sobre cualquier enlace antes de hacer clic para ver la URL real.
Tratar los códigos QR recibidos por correo o mensaje como enlaces desconocidos.
No facilitar credenciales ni códigos OTP por teléfono, aunque la llamada parezca legítima.
Ante cualquier duda, contactar directamente con la entidad a través de su número oficial.
La tercera es la formación práctica del equipo. No un módulo de cumplimiento anual, sino simulacros periódicos con correos de phishing de prueba enviados internamente, seguidos de retroalimentación inmediata. Eso permite identificar qué perfiles son más vulnerables y actualizar el entrenamiento a las tácticas actuales. Una cultura de escepticismo sano ante cualquier comunicación inesperada —verificar antes de hacer clic, preguntar antes de autorizar— es más valiosa que cualquier herramienta técnica.
El phishing funciona porque es barato de lanzar, difícil de detectar y muy efectivo cuando encuentra a alguien sin preparación. La buena noticia es que las defensas básicas —MFA, DMARC, formación— son también las más accesibles. La brecha entre las pymes que sufren incidentes y las que los evitan rara vez está en la sofisticación de sus sistemas: está en si tienen o no los fundamentos en orden.
qué es el phishing
phishing empresas España
ciberseguridad pymes
smishing vishing QRishing
MFA autenticación multifactor
DMARC correo seguro
formación ciberseguridad empleados
Usamos cookies para asegurar que te damos la mejor experiencia en nuestra web. Si continúas usando este sitio, asumiremos que estás de acuerdo con ello.Aceptar
