El mito de "a mí no me van a atacar"
Existe una creencia extendida entre los dueños de PyMEs argentinas: "Los hackers van por los bancos y las multinacionales, no por mi empresa de 15 empleados". Es comprensible. Pero es peligrosamente falso.
Los datos pintan un cuadro muy diferente. Según el informe anual de Verizon (Data Breach Investigations Report), el 46% de las brechas de seguridad afectan a empresas con menos de 1.000 empleados. El reporte de Accenture sobre ciberseguridad en pequeñas empresas va más lejos: el 43% de los ciberataques apuntan directamente a PyMEs, y solo el 14% está preparado para defenderse. El ransomware, en particular, representa el 38% de las amenazas en LATAM.
de los ataques globales apuntan a PyMEs
del ransomware impacta en empresas <500 empleados
mercado de ciberseguridad LATAM, +5.2% CAGR
La lógica del atacante es simple: las PyMEs tienen datos valiosos (clientes, cuentas bancarias, información fiscal) pero carecen de las defensas de una corporación. Atacar 100 PyMEs es más rentable que atacar un banco con un equipo de seguridad de 50 personas.
Argentina: en el podio que nadie quiere
Argentina ocupa consistentemente el top 3 de países más atacados en América Latina, junto con Brasil y México. Pero hay un matiz importante: proporcionalmente a su tamaño económico, Argentina recibe más ataques per cápita que sus vecinos más grandes.
Los reportes del CERT.ar (Centro Nacional de Respuesta a Incidentes Informáticos) muestran un crecimiento sostenido en reportes de incidentes. Entre 2023 y 2025, los incidentes reportados crecieron un 40%, con un pico notable en ataques de phishing y ransomware dirigidos al sector PyME.
Las razones son estructurales:
- Alta digitalización forzada post-pandemia sin la inversión correspondiente en seguridad. Muchas PyMEs migraron a la nube, implementaron teletrabajo y adoptaron herramientas digitales entre 2020 y 2022 sin pensar en protección.
- Cultura del "ya fue": la urgencia de facturar le gana a la prevención. La seguridad se ve como un gasto, no como una inversión.
- Brecha de talento: Argentina tiene excelentes profesionales de ciberseguridad, pero la mayoría trabaja para empresas extranjeras o corporaciones. Las PyMEs no pueden competir por ese talento.
- Marco legal laxo: la Ley 25.326 de Protección de Datos Personales tiene más de 25 años y su enforcement es limitado. Esto reduce los incentivos para invertir en seguridad.
Los tres vectores de ataque más comunes
1. Phishing: el caballo de Troya del siglo XXI
El phishing sigue siendo el vector de ataque número uno a nivel global, y en Argentina no es la excepción. Un email que simula ser de ARCA (ex AFIP), de Mercado Libre o del banco es suficiente para que un empleado haga clic en un enlace malicioso.
Las campañas de phishing se han sofisticado enormemente. Ya no son correos con errores de ortografía desde Nigeria. Hoy usan dominios similares (como "arca-gob.ar" en lugar de "arca.gob.ar"), logos oficiales perfectos y un sentido de urgencia ("Su CUIT será bloqueado en 24 horas") que genera acción impulsiva.
En el contexto argentino, los temas más explotados son: vencimientos de ARCA, facturas de servicios, actualizaciones de datos bancarios y notificaciones judiciales falsas. Durante los períodos de vencimiento de IVA y Ganancias, los ataques de phishing se multiplican.
2. Credential stuffing: tus contraseñas ya están en la calle
Hay miles de millones de credenciales (usuario + contraseña) filtradas en bases de datos que circulan en la dark web. Los atacantes usan herramientas automatizadas para probar esas combinaciones en múltiples servicios. Si usás la misma contraseña para el homebanking y para el sistema de gestión de tu empresa, estás regalando acceso.
Un estudio de Microsoft estimó que el 99.9% de las cuentas comprometidas no tenían autenticación de dos factores (MFA) habilitada. Es el dato más importante de este artículo.
3. Supply chain: te atacan por tu proveedor
No hace falta atacarte directamente. Si tu proveedor de software de gestión, tu servicio de email o tu plataforma de facturación electrónica es comprometida, vos caés con ella. Los ataques de cadena de suministro crecieron un 300% entre 2021 y 2025 a nivel global.
Para una PyME argentina que depende de un software de gestión instalado en un servidor local sin actualizaciones desde 2022, esto es especialmente relevante. El software legacy sin parches es una puerta abierta.
Cuánto cuesta un incidente de seguridad para una PyME
El costo promedio de una brecha de datos para una PyME oscila entre USD 120.000 y USD 250.000 según IBM (Cost of a Data Breach Report). Pero ese número esconde costos que no aparecen en ninguna factura.
Anatomía del costo de un incidente
| Componente | Costo estimado | Impacto temporal |
|---|---|---|
| Remediación técnica | USD 15.000 - 50.000 | 1-4 semanas |
| Downtime operativo | USD 20.000 - 100.000 | 3-14 días |
| Pérdida de clientes | USD 30.000 - 80.000 | 3-12 meses |
| Multas y costos legales | USD 5.000 - 30.000 | 6-18 meses |
| Daño reputacional | Incalculable | 1-3 años |
El downtime es particularmente devastador. Una PyME que no puede facturar durante una semana porque su sistema fue cifrado por ransomware puede perder no solo esos ingresos, sino a los clientes que durante esa semana buscaron alternativas. El 60% de las PyMEs que sufren un ciberataque serio cierran dentro de los 6 meses posteriores, según la National Cyber Security Alliance de EE.UU.
10 pasos concretos sin presupuesto (o casi)
No necesitás un CISO con sueldo de Silicon Valley ni un presupuesto de ciberseguridad de seis cifras. Estos 10 pasos cubren el 90% de los vectores de ataque más comunes y la mayoría son gratuitos. Si preferís un formato paso a paso para implementarlos, descargá nuestro checklist de ciberseguridad para PyMEs.
1. Activá MFA en todo. Ahora.
La autenticación multifactor (MFA) es la medida de seguridad con mejor relación costo-beneficio que existe. Google Authenticator, Microsoft Authenticator o Authy son gratuitos. Activalo en email, homebanking, redes sociales, panel de ARCA, servicios de facturación y todo lo que permita hacerlo. Si una sola medida tuvieras que implementar, es esta.
2. Usá un gestor de contraseñas
Bitwarden tiene un plan gratuito excelente. KeePass es open source. La regla es simple: cada servicio, una contraseña única de al menos 16 caracteres generada aleatoriamente. Nunca más "empresa2026" para todo.
3. Backup 3-2-1
Tres copias de tus datos, en dos medios diferentes, una fuera del sitio. La copia en la nube no cuenta si solo tenés esa. Un disco externo que guardás en tu casa cada viernes es un backup offsite válido y gratuito. Probá restaurar el backup al menos una vez por trimestre.
4. Actualizá todo, siempre
El 60% de las brechas explotan vulnerabilidades con parche disponible. Activá las actualizaciones automáticas de Windows, macOS, Android y iOS. Actualizá el firmware del router. Actualizá el software de gestión. Si tu proveedor de software no publica actualizaciones hace más de un año, es una alarma.
5. Capacitá a tu equipo (15 minutos al mes)
El 95% de los incidentes tienen un componente humano. No necesitás un programa de capacitación formal. Una charla de 15 minutos al mes mostrando ejemplos reales de phishing, enseñando a verificar remitentes de email y a no conectar pendrives desconocidos, reduce drásticamente el riesgo.
6. Segmentá la red WiFi
Tu router probablemente permite crear una red de invitados. Usala para dispositivos personales y visitantes. La red principal, solo para dispositivos de trabajo. Esto evita que un celular personal comprometido acceda a la red corporativa.
7. Controlá los accesos
No todos necesitan acceso a todo. El principio de menor privilegio es gratuito y poderoso. El pasante no necesita acceso a la base de datos de clientes. El vendedor no necesita acceso al sistema contable. Revisá los permisos cada tres meses.
8. Cifrá los discos
BitLocker (Windows Pro) y FileVault (macOS) son gratuitos y ya vienen con el sistema operativo. Si te roban una notebook, sin cifrado el ladrón tiene acceso completo a toda la información. Con cifrado, tiene un pisapapeles caro.
9. Tené un plan de respuesta
No necesita ser un documento de 50 páginas. Una hoja con: a quién llamar, qué desconectar, dónde están los backups y cómo comunicar a los clientes es suficiente. Imprimila y pegala al lado del servidor. En un incidente, no vas a poder buscar el PDF en la computadora cifrada.
10. Monitoreá lo básico
Habilitá los logs de acceso en tus servicios críticos. Revisá semanalmente los accesos al email corporativo, al sistema de gestión y al homebanking. Si ves accesos a las 3 AM desde una IP de otro país, tenés un problema.
Cuándo sí invertir: managed security, SIEM y escaneo de vulnerabilidades
Los 10 pasos anteriores son el piso. A medida que tu empresa crece (o maneja datos sensibles como información médica, legal o financiera), necesitás un nivel más.
"La ciberseguridad no es un producto que comprás una vez. Es un proceso continuo que evoluciona con las amenazas."
Managed Security Services (MSS): un proveedor externo monitorea tu infraestructura 24/7, detecta amenazas y responde a incidentes. Es la opción más práctica para PyMEs que no pueden contratar un equipo interno. Los costos van desde USD 500/mes para una empresa de 20 puestos.
SIEM (Security Information and Event Management): centraliza los logs de todos tus sistemas y detecta patrones anómalos. Las opciones cloud como plataformas de gestión unificada de seguridad permiten tener visibilidad completa sin infraestructura propia. Herramientas como las que ofrecen los proveedores especializados en seguridad automatizada pueden implementar escaneo continuo de vulnerabilidades, detección de amenazas en tiempo real y compliance automatizado, reduciendo la necesidad de expertise interno.
Vulnerability scanning: un escaneo periódico de tu infraestructura (sitio web, servidor de email, VPN) identifica las puertas abiertas antes que los atacantes. Hay herramientas que automatizan esto completamente, corriendo escaneos diarios y priorizando las vulnerabilidades por riesgo real.
El marco legal: qué dice la ley argentina
La Ley 25.326 de Protección de Datos Personales y su reglamentación imponen obligaciones a quienes tratan datos personales, incluyendo medidas de seguridad adecuadas. La Agencia de Acceso a la Información Pública (AAIP) es la autoridad de aplicación.
Si tu empresa maneja datos de clientes (y toda empresa lo hace), estás obligado a registrar la base de datos ante la AAIP y a implementar medidas de seguridad "adecuadas". El problema es que la ley no define con precisión qué es "adecuado", dejando un grey area que solo se resuelve cuando ya es tarde, frente a un juez.
El proyecto de reforma de la Ley de Protección de Datos Personales que se discute en el Congreso busca alinear la normativa con el GDPR europeo, lo que implicaría obligaciones de notificación de brechas (dentro de las 72 horas), evaluaciones de impacto y multas significativamente más altas. Prepararse ahora es anticiparse a lo inevitable.
Conclusión: la seguridad es una decisión de negocio
La ciberseguridad no es un tema de IT. Es una decisión de negocio, como elegir un seguro o un contador. La pregunta no es si te van a atacar, sino cuándo, y si vas a estar preparado cuando pase.
Con los 10 pasos de este artículo cubrís la base. Con una inversión razonable en monitoreo y escaneo automatizado, reducís el riesgo a niveles manejables. Lo que no podés permitirte es no hacer nada.
Porque el 50% de los ataques te apuntan a vos. Y el hacker que te va a atacar no sabe ni le importa cuántos empleados tenés.