Si el año pasado Asturias se volcó en advertir sobre las amenazas que conlleva una digitalización nada comedida como la que está viviendo el mundo, este 2025 está siendo el de pasar a la acción. Y es que la región vive un momento decisivo en materia de ciberseguridad dada dicha transformación tecnológica que incide directamente en los procesos empresariales y que va multiplicando el número de incidentes, en especial entre las pequeñas y medianas empresas (pymes), diana para los ciberdelincuentes.
Según datos del Instituto Nacional de Ciberseguridad (INCIBE), en 2024 se registraron en la región 81.947 dispositivos comprometidos, con especial incidencia en Oviedo, Gijón y Avilés. El 8,49% de estos incidentes afectó directamente a empresas asturianas, una cifra que evidencia una exposición mayor de lo que suele percibirse y que obliga a replantear la seguridad digital como parte estructural de la gestión empresarial. Y los datos del primer semestre de este ejercicio no son nada alentadores: la tendencia no solo se mantuvo, sino que reforzó la preocupación: 31.252 dispositivos afectados y un 8,39% de incidentes vinculados a organizaciones, con un predominio claro de ataques de ingeniería social y fraudes digitales como phishing, smishing, vishing o compras fraudulentas.
Son datos preocupantes en un territorio con un tejido empresarial fuertemente apoyado en pymes, pues estas cifras revelan un patrón que no se debe ignorar: las pequeñas empresas no solo son vulnerables, sino que, en muchos casos, se encuentran en situación de desventaja por falta de formación específica, recursos técnicos o responsables internos dedicados a la protección digital.
La luz al final del túnel
Con este panorama como telón de fondo nace la Guía de Ciberseguridad para pymes, una iniciativa del Club de Calidad de Asturias que aspira a convertirse en un recurso de referencia para las empresas que quieren mejorar su protección digital de una forma realista, ordenada y comprensible. Esta herramienta fue presentada por Emma González, responsable de gestión del Club, el pasado día 14 de noviembre en la Casa de la Cultura de Avilés en un acto celebrado con motivo del Día Mundial de la Calidad.
Elaborada a lo largo de este año con la participación del Grupo de Trabajo de CIOs del propio Club, la colaboración de la Consejería de Ciencia, Industria y Empleo del Principado y la validación técnica de organismos como el CERT, el CCN-CERT o ENISA, la guía propone una herramienta que combina rigor técnico con un enfoque de carácter más práctico.
El documento, que puede descargarse libremente aquí, está concebido para ser accesible a cualquier tipo de organización, con independencia de su tamaño o nivel de madurez digital. Lejos de ser un manual teórico, la guía arranca explicando los fundamentos esenciales de la seguridad de la información a través de la conocida tríada CIA (Confidentiality, Integrity, Availability): confidencialidad, integridad y disponibilidad. La confidencialidad implica controlar quién accede a los datos; la integridad garantiza que la información no se modifica sin autorización; y la disponibilidad asegura que los sistemas funcionen cuando se necesitan. Tres principios básicos que ayudan a entender por qué un ataque no solo pone en riesgo archivos o dispositivos, sino procesos críticos del negocio, la confianza de los clientes y, en último término, la continuidad operativa.
A partir de este punto, presenta de forma clara las amenazas más habituales, que son el phishing, el ransomware, el malware, la fuga de información o la ingeniería social, y describe cómo reconocerlas y atenuarlas, ofreciendo ejemplos del día a día que facilitan su comprensión incluso entre quienes no cuentan con formación técnica. El objetivo es crear un mínimo común de cultura digital que permita identificar riesgos antes de que se materialicen, además de convertir la ciberseguridad en una responsabilidad compartida dentro de cada organización
Un estudio con 21 pymes del Club
El documento incorpora además los resultados de un estudio anónimo realizado entre 21 pymes socias del Club, que sirve como radiografía del estado actual de la seguridad digital en Asturias. Aunque más del 85% de las empresas encuestadas declara tener conciencia sobre la importancia de la ciberseguridad, la práctica revela importantes diferencias: la frecuencia con la que se abordan estos temas es irregular, la formación no siempre es periódica, las auditorías suelen ser parciales o inexistentes y las relaciones con proveedores carecen en muchos casos de controles explícitos de seguridad.
Pese a ello, varias compañías reconocen haber sufrido incidentes recientemente, lo que confirma que el riesgo es más que palpable y que el margen de mejora sigue siendo amplio. La guía, por tanto, parte de necesidades reales detectadas en el propio tejido empresarial regional.
Uno de los aportes más valiosos son las entrevistas incluidas que se van intercalando a lo largo de la guía, donde voces expertas analizan el contexto y ofrecen recomendaciones. Félix Barrio, director general del INCIBE, recuerda que España gestionó casi 97.300 incidentes el último año y que el 43% se debió a fraudes online por phishing. “La concienciación debe traducirse en hábitos responsables, desde no abrir mensajes sospechosos hasta evitar difundir bulos”, subraya.
Por su parte, Enrique Pérez de Tena, responsable del Mando Conjunto del Ciberespacio, apunta a la dimensión estratégica del entorno digital: “El ciberespacio es el quinto dominio de las operaciones militares”, afirma, para añadir a continuación que “todos los días hay guerra, aunque no lo veamos”
Junto a ellos, Cristina Fernández Caldueño, directora de Operaciones en Castroalonso; y el catedrático Emérito de Álgebra de la Universidad de Oviedo, Santos González, completan un mosaico de perspectivas que conectan la realidad empresarial con la visión institucional y académica. Para Fernández Caldueño “el principal obstáculo es económico: la ciberseguridad es intangible y cuesta percibirla como inversión”. En su caso, Santos González considera que “la computación cuántica es el gran reto que amenaza la seguridad digital. Si eso ocurre, se pondrían en riesgo las comunicaciones digitales más sensibles”.
Del autodiagnóstico a la mejora continua
La guía propone un método de trabajo basado en tres niveles de madurez: básico, intermedio y avanzado, con el que permite a cada empresa situarse y avanzar a un ritmo que se adecúe a sus recursos y conocimientos. El punto de partida es un autodiagnóstico sencillo que ayuda a identificar prioridades y a planificar las primeras acciones sin necesidad de contar con grandes inversiones.
El nivel básico se centra en la higiene digital mínima: actualizaciones de dispositivos, antivirus, copias de seguridad, contraseñas robustas, autenticación multifactor y cortafuegos. Son medidas asequibles, a menudo gratuitas, que reducen una parte significativa de los riesgos más frecuentes.
El nivel intermedio introduce ya aspectos organizativos más complejos, como la creación de políticas internas de seguridad, la designación de un responsable, la formación periódica del personal, la revisión de proveedores o la realización de auditorías. A partir de aquí, las empresas adquieren una visión más estratégica y transversal de la ciberseguridad.
Y el nivel avanzado está orientado a organizaciones que desean integrar sus sistemas de seguridad en marcos reconocidos internacionalmente, como ISO 27001, ENS o NIST. Aquí aparecen conceptos como métricas de seguimiento, monitorización continua, planes de contingencia, simulacros o mecanismos de mejora permanente.
El documento explica estas prácticas con claridad y ofrece ejemplos que facilitan su comprensión para empresas que, tras unos primeros pasos sólidos, quieren dar un salto cualitativo en su estructura de protección.
La guía se completa con recursos especialmente útiles para la práctica diaria: los diez mandamientos de la ciberseguridad, recomendaciones específicas para el teletrabajo, un conjunto de aplicaciones gratuitas que pueden implementarse de inmediato, una selección de herramientas técnicas y un diccionario que aclara el vocabulario esencial para desenvolverse con soltura en un entorno cada día más digital. Todos estos elementos refuerzan la idea de que la ciberseguridad no depende únicamente de tecnología avanzada, sino también de hábitos, cultura interna y formación continua.
Así pues, la Guía de Ciberseguridad para pymes del Club de Calidad busca precisamente consolidar esa cultura, porque en estos tiempos en los que es innegable que la digitalización aporta múltiples beneficios como acelerar procesos, conectar mercados y abrir nuevas oportunidades, también amplifica los riesgos. Por tanto, proteger la información ya no es una opción ni se tiene que ver como un gasto accesorio, sino como una condición para poder competir, crecer y mantener la confianza de clientes y proveedores.
Desde un prisma realista y didáctico, ofrece ese camino de baldosas amarillas para que las pequeñas y medianas empresas den los primeros o los siguientes pasos hacia una seguridad más robusta que se debe mantener en el tiempo, pues la ciber no es un destino, sino un proceso continuo que comienza con decisiones sencillas y se fortalece a medida que se avanza.
