Podrías creer, por los titulares sobre grandes organizaciones que quedaron en la mira de ciberataques, que esas víctimas explican la mayor parte de las filtraciones de datos. Pero no es así. Según un análisis publicado hace poco, elaborado con datos del Proton Data Breach Observatory sobre las brechas registradas a lo largo de 2025, las pequeñas y medianas empresas, con entre 1 y 249 empleados, concentraron un impactante 63% de todos los casos detectados.
En total, ese grupo acumuló 352 millones de registros filtrados. En contraste, las compañías con más de 1.000 empleados apenas representaron el 14% de las brechas, mientras que las organizaciones con entre 250 y 999 empleados quedaron cerca del 9% del total. Todo indica que las pequeñas empresas figuran entre los principales blancos del cibercrimen.
Entonces, vale la pregunta: como pyme, ¿todavía creés que estás a salvo de un ciberataque?
El sector de las pequeñas empresas recibe golpes duros y frecuentes, según el análisis de brechas de Proton
Los 352 millones de registros vulnerados a lo largo de un año entero no generan el mismo impacto que los titulares sobre 16.000 millones de contraseñas filtradas. Aun así, la cifra menor sigue siendo enorme, tanto en términos absolutos como dentro de la seguridad de las pequeñas empresas. Sobre todo porque muchas brechas no se denuncian o, más grave todavía, pasan inadvertidas.
Los ciberdelincuentes sí detectan los datos expuestos en esos ataques, vale aclararlo. El Proton Data Breach Observatory, lanzado en octubre de 2025, aprovecha esa realidad y analiza "conjuntos de datos que aparecen donde los ciberdelincuentes realmente comercian información robada".
En otras palabras, rastrea las brechas en la web oscura y después sigue su recorrido hasta los espacios donde los ciberdelincuentes hacen circular la información robada. Eso permite mostrar las tendencias reales de las filtraciones de datos y del comercio de información comprometida que, de otro modo, quedarían al menos en parte fuera de la vista pública.
Eamonn Maguire, jefe de abuso y seguridad de cuentas en Proton, el desarrollador suizo de apps de privacidad en internet más conocido por su alternativa a Gmail, publicó un informe el 13 de marzo en el que destacó la primera gran actualización del año del Data Breach Observatory. "2026 ya registró al menos 59 brechas que expusieron 97,7 millones de registros", advirtió Maguire. "Y desde 2025, descubrimos cientos de millones de registros a la venta por entre US$ 10 y US$ 100 en la web oscura", , completó. El total acumulado de brechas analizadas desde comienzos de 2025 hasta hoy llegó a 512, con unos 902.625.544 registros filtrados.
Vale la pena mirar el tema con más detalle. En las brechas clasificadas como críticas, es decir, aquellas en las que quedaron expuestas contraseñas, identificadores personales, datos financieros y otra información sensible, las pequeñas y medianas empresas volvieron a quedar al frente, con el 61% del total.
"Las organizaciones más pequeñas también sufren de forma desproporcionada las brechas de gran escala que involucran más de 100.000 registros filtrados", señaló el informe. Allí también quedó en evidencia que las pymes explicaron el 60% de esos episodios, mientras que las pequeñas empresas, por sí solas, concentraron el 42%.
"Es muy importante advertir a las pymes sobre estos riesgos, ya que muchas veces no cuentan con los recursos de las grandes empresas para resistir una brecha", dijo Maguire. Entre las medidas recomendadas para las pequeñas empresas figuran entender cómo operan los atacantes, por ejemplo a través del phishing.
Por eso, reforzar las prácticas básicas de seguridad puede ayudar a reducir la exposición a este tipo de amenazas. "Las organizaciones deben asegurarse de activar la autenticación de dos factores en todas las cuentas, exigir políticas de contraseñas seguras y darles a los empleados las herramientas y la capacitación necesarias para proteger sus credenciales", concluyó Maguire.
*Este artículo fue publicado originalmente por Forbes.com