Cada año, los ciberdelincuentes encuentran nuevas formas de robar dinero y datos de las empresas. Infiltrarse en una red empresarial, extraer datos confidenciales y venderlos en la web oscura se ha convertido en una fuente de ingresos fiable.

Sin embargo, en 2025, las filtraciones de datos que afectaron a las pequeñas y medianas empresas (PYMES) pusieron en tela de juicio nuestra percepción de los tipos exactos de empresas a las que se dirigen los ciberdelincuentes.

Este artículo describirá las lecciones aprendidas de las principales filtraciones de datos en 2025, así como las formas más eficaces para que las pymes se protejan el próximo año.

Examinando las filtraciones de datos de 2025

Antes de 2025, las grandes empresas eran objetivos populares para los piratas informáticos debido a sus grandes reservas de recursos. Se suponía que las empresas más pequeñas simplemente no eran tan vulnerables a los ciberataques porque atacarlas tenía menos valor.

Sin embargo, una nueva investigación de seguridad del Observatorio de brechas de datos muestra que eso está cambiando: las pequeñas y medianas empresas (pymes) ahora tienen más probabilidades de convertirse en un objetivo. Este cambio de táctica se debe a que las grandes empresas invierten en su ciberseguridad y también se niegan a pagar los rescates. Es menos probable que los ciberdelincuentes extraigan algo de valor atacando a estas empresas, por lo que están recurriendo a atacar a las empresas más pequeñas.

Si bien el pago puede ser menor cuando atacan a las pymes, al aumentar el volumen de los ataques, los ciberdelincuentes pueden compensar el déficit. Las empresas más pequeñas tienen menos recursos para proteger sus redes y, por lo tanto, se han convertido en objetivos más fiables. Cuatro de cada cinco pequeñas empresas han sufrido una violación de datos reciente.

Al examinar algunas de estas violaciones de datos y las empresas a las que afectaron, surge un patrón y se pueden identificar las fallas. Estas son las tres principales filtraciones de datos de las pequeñas y medianas empresas ocurridas en 2025:

  • Tracelo — Más de 1,4 millones de registros robados de esta empresa estadounidense de geolocalización móvil aparecieron en la web oscura tras un ataque de un hacker conocido como Satanic. Los nombres, las direcciones, los números de teléfono, las direcciones de correo electrónico y las contraseñas de los clientes se pusieron a la venta.
  • Teléfono Mondo — Esta empresa de telecomunicaciones alemana fue infiltrada por piratas informáticos y le robaron y publicaron en Internet más de 10,5 millones de registros. Los nombres de los clientes, las fechas de nacimiento, las direcciones, los números de teléfono, las direcciones de correo electrónico, los nombres de usuario, las contraseñas y los números IBAN pasaron a la oscuridad.
  • Villa Skillo — El equipo de 60 personas detrás de esta plataforma de tecnología educativa india no pudo proteger los extensos datos de los clientes recopilados por la plataforma, y se filtraron más de 33 millones de registros en la web oscura. Todos los nombres, direcciones, números de teléfono y direcciones de correo electrónico de los clientes se han detectado en Internet.

¿Qué podemos aprender?

Al analizar estas infracciones en particular y tener en cuenta el panorama más amplio de las violaciones de datos, podemos identificar las tendencias que dieron forma a 2025:

  • Las pymes fueron el objetivo número uno de los piratas informáticos en 2025 y representaron el 70,5% de las filtraciones de datos identificadas en el Observatorio de brechas de datos . Esto significa que las empresas de entre 1 y 249 empleados fueron las más vulnerables a las brechas de ciberseguridad a lo largo del año.
  • Las empresas minoristas, tecnológicas y de medios y entretenimiento fueron las más atacadas.
  • Los nombres y la información de contacto son los registros que aparecen con más frecuencia en la web oscura, lo que aumenta el riesgo de ataques de suplantación de identidad dirigidos a los trabajadores. En 9 de cada 10 filtraciones de datos aparecieron nombres y correos electrónicos.

Teniendo en cuenta estas tendencias, es probable que los piratas informáticos sigan atacando a las pymes en el nuevo año. Si su organización entra en esta categoría, el riesgo de que se produzca una violación de datos podría ser mayor.

Sin embargo, no es inevitable. Si tiene en cuenta los datos confidenciales de su empresa, cómo se almacenan y qué utiliza para protegerlos, puede proteger su organización.

Cómo evitar las filtraciones de datos en 2026

Evitar una violación de datos no tiene por qué ser costoso o complicado, siempre y cuando su empresa adopte el enfoque correcto y encuentre las herramientas adecuadas.

Emplee la autenticación de dos factores

Si todo lo que necesita para acceder a una de sus herramientas empresariales es un nombre de usuario y una contraseña, es mucho más fácil entrar en su red. La autenticación de dos factores (2FA) dificulta el acceso de personas no autorizadas.

Al introducir un método de autenticación secundario, como un código OTP, una clave de seguridad o un inicio de sesión biométrico, la autenticación y la autorización requieren menos tiempo para su sistema, además de aumentar la barrera de entrada.

Control de acceso seguro a su red

El principio del mínimo privilegio es un método que se utiliza para decidir quién tiene acceso a qué herramientas y datos empresariales. Establece que cualquier miembro del equipo debe tener acceso estrictamente a la información necesaria para desempeñar su función y nada más. Este enfoque del control de acceso protege a su organización al reducir la cantidad de puntos de entrada a la red.

Cuando se haya otorgado acceso a los miembros del equipo estrictamente necesarios, ese acceso debe protegerse con una buena higiene de las contraseñas. Esto incluye crear contraseñas seguras, no reutilizar contraseñas para varias cuentas y garantizar que tu empresa reciba una notificación si alguno de tus datos aparece en la web oscura. Las políticas de contraseñas sólidas y aplicables ayudan a mantener una buena higiene de las contraseñas, y puedes asegurarte de que la web oscura se escanea periódicamente en busca de datos empresariales con una herramienta o un servicio como un administrador de contraseñas.

Almacene datos confidenciales de forma segura

Las contraseñas y direcciones de correo electrónico filtradas aumentan el riesgo de que sus empleados sean blanco de ataques de suplantación de identidad o de que sus cuentas se vean comprometidas. Incluso una sola cuenta comprometida puede provocar una violación de datos.

Cree un repositorio único y seguro para cada credencial empresarial adoptando un administrador seguro de contraseñas empresariales . Con un administrador de contraseñas, todos los miembros del equipo pueden generar de forma segura contraseñas seguras que cumplan con la política de contraseñas de su empresa, rellenarlas automáticamente en los sitios web y aplicaciones que visita con frecuencia y compartir las credenciales de forma segura cuando sea necesario. De este modo, se protegen todos estos puntos de entrada fundamentales a la red empresarial.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.