Existe un mito persistente en las empresas medianas: "somos demasiado pequeños para que alguien nos ataque". Es exactamente al revés.
Los atacantes no eligen sus objetivos por tamaño — los eligen por la relación entre el valor que pueden extraer y la resistencia que van a encontrar. Y en ese cálculo, las empresas medianas salen perdiendo casi siempre.
Por qué las empresas medianas son el objetivo ideal
Una empresa mediana en Chile tiene, en general, tres características que la hacen atractiva para un atacante:
Datos valiosos. Facturan decenas o cientos de millones de pesos, manejan información de clientes, tienen acceso a cuentas bancarias, datos de proveedores, contratos y propiedad intelectual. El botín es real.
Presupuesto de seguridad limitado. Las grandes corporaciones tienen equipos dedicados de ciberseguridad, tecnología de detección avanzada y protocolos formales. Las empresas medianas, en general, no. El área de tecnología suele ser una o dos personas resolviendo todo, y la seguridad compite con el resto de las prioridades del negocio.
Empleados sin capacitación en seguridad. No por negligencia, sino porque nadie lo ha priorizado. El resultado es que los vectores de ataque más básicos — un email de phishing, una contraseña débil, un archivo descargado sin verificar — funcionan con una tasa de éxito alta.
Esa combinación es exactamente lo que busca un atacante profesional.
Lo que dicen los números
Chile tiene un déficit estimado de 28.000 profesionales de tecnología de la información, lo que significa que la mayoría de las empresas medianas opera con equipos técnicos subdimensionados para el nivel de amenaza actual.
A nivel global, el 80% de las brechas de seguridad involucra credenciales comprometidas: usuarios y contraseñas que fueron robados, filtrados o adivinados. No son ataques sofisticados que explotan vulnerabilidades desconocidas — son ataques que funcionan porque alguien usó la misma contraseña en tres servicios distintos.
Y el dato que más debería preocupar a cualquier gerente: el 90% de los incidentes de ciberseguridad tiene un componente de error humano. Tecnología sola no resuelve el problema si las personas que la usan no están capacitadas.
Los ataques más comunes contra empresas medianas
Ransomware. El atacante cifra todos los archivos de la empresa y exige un rescate para recuperarlos. Es el ataque con mayor impacto operacional: puede paralizar completamente una empresa durante días o semanas. En Chile, los casos han aumentado de manera consistente en los últimos tres años.
Phishing. Un email que parece legítimo — del banco, del SII, de un proveedor conocido — lleva a un empleado a entregar sus credenciales o a descargar un archivo malicioso. Es el punto de entrada más frecuente porque no requiere vulnerar ningún sistema técnico: solo requiere que una persona cometa un error en un momento de distracción.
Robo de credenciales. A veces no hay un ataque directo: las credenciales de un empleado fueron filtradas en una brecha de un servicio externo (una red social, un proveedor, una plataforma de e-commerce) y el atacante las prueba en los sistemas corporativos. Si la persona usa la misma contraseña en varios servicios, el acceso está abierto.
Lo que tienen en común estos tres ataques es que son prevenibles con controles básicos. No requieren tecnología cara. Requieren procesos y hábitos que la mayoría de las empresas medianas simplemente no tiene implementados.
El costo real de un incidente
Las empresas que no han sufrido un incidente tienden a subestimar su costo. Las que sí lo han sufrido no vuelven a cometer ese error.
Pérdida de datos. Si no hay respaldos funcionales, la información puede perderse de manera permanente. Contratos, registros de clientes, historial de operaciones.
Paralización operacional. Un ataque de ransomware puede dejar a una empresa sin capacidad de operar durante días. Cada día sin operación es ingreso que no entra y costos que siguen corriendo.
Multas regulatorias. Con la Ley 21.663 vigente, las organizaciones obligadas que no cumplan con los estándares de seguridad enfrentan multas desde 5.000 UTM — más de $320 millones de pesos. Si el incidente reveló que no tenías los controles mínimos, la multa se suma al daño del ataque.
Daño reputacional. Cuando los clientes se enteran de que sus datos fueron comprometidos, la confianza se erosiona. Recuperarla toma tiempo y recursos que ninguna empresa mediana tiene de sobra.
Costo de recuperación. Contratar especialistas externos para respuesta a incidentes, restaurar sistemas, realizar análisis forenses y reconstruir la infraestructura comprometida tiene un costo que generalmente supera con creces lo que habría costado prevenir el incidente.
5 acciones que puedes tomar hoy
No se necesita un presupuesto millonario para reducir significativamente la exposición al riesgo. Estas cinco acciones son implementables por cualquier empresa mediana y cubren los vectores de ataque más frecuentes.
1. Activa el doble factor de autenticación en el correo corporativo. Es el cambio con mayor impacto en menor tiempo. Si el correo tiene 2FA, un atacante que consiga tu contraseña sigue sin poder acceder. Google Workspace y Microsoft 365 lo incluyen sin costo adicional.
2. Haz una prueba de restauración de respaldos. No asumas que tus respaldos funcionan — verifica que puedes restaurar los archivos críticos. Si nunca lo has probado, hoy es el momento.
3. Cambia las contraseñas por defecto en todos los sistemas. Routers, cámaras de seguridad, paneles de administración, servidores. Las contraseñas de fábrica son públicas y los atacantes las prueban de manera sistemática.
4. Realiza una sesión de concientización con el equipo. Una hora mostrando ejemplos reales de phishing y explicando qué hacer ante un correo sospechoso puede reducir dramáticamente el riesgo de error humano. No necesita ser un curso formal.
5. Documenta quién hace qué si ocurre un incidente. Si mañana detectas un ataque, ¿sabe tu equipo qué hacer? Define tres cosas: quién toma la decisión de escalar, quién notifica al CSIRT Nacional, y cómo se comunica la situación internamente sin generar pánico.
Ninguna de estas acciones elimina el riesgo por completo. Pero implementadas juntas reducen significativamente la probabilidad de que un ataque básico tenga éxito — que es exactamente el tipo de ataque que enfrentan la mayoría de las empresas medianas.
El siguiente paso es saber exactamente dónde están tus brechas. No de manera genérica, sino mapeado a tu empresa y a los requisitos de la Ley 21.663.