Tu empresa perdió el 7,7% de su facturación en ciberataques y estafas el año pasado: lo que rara vez sale en la prensa

Hace unos meses un fabricante de envases de 50 personas en Móstoles me invitó a su comité de dirección. El director general abrió la reunión con una frase que se ha quedado grabada en mi cabeza: «Llevamos dos años pagando 8.000 € al mes en informática y no entiendo por qué este enero hemos perdido 110.000 € por una estafa del CEO. Si pago tanto, ¿por qué pasa esto?». La sala miró al responsable de IT. Yo miré la cuenta de explotación.

El número que de verdad hay que mirar para una empresa así no es el coste mensual de IT. Es la partida que llamamos pérdidas operativas no recurrentes y que una vez al año esconde estafas, días sin facturar y clientes perdidos por una caída. Cuando ese número equivale al margen neto de tres meses, alguien debería estar señalando la línea con el dedo. Te cuento por qué la mayoría de pymes no lo hace y qué cambia cuando empiezas a hacerlo.

El 7,7% que nadie pone en la mesa del consejo

El dato es de Secure&IT y de la correduría BLB, lo recogen varios estudios sobre coste real de ciberataques en pymes españolas: las empresas españolas pierden, de media, un 7,7% de su facturación anual por estafas y ciberataques. Tradúcelo a tu negocio:

• Empresa con 1.000.000 € de facturación: 77.000 €/año evaporados.
• Empresa con 3.000.000 € de facturación: 231.000 €/año.
• Empresa con 8.000.000 € de facturación: 616.000 €/año.

Ese dinero no aparece como «ciberataque» en la cuenta de explotación. Aparece como «corrección de tesorería por error en transferencia», «reposición de equipos», «horas extra de un fin de semana entero», «descuento al cliente por incumplimiento de plazo» o «impagado del cliente que se fue después del incidente». Está repartido en seis o siete líneas distintas y por eso nadie lo suma.

Cuando alguien lo suma, el director general se queda en silencio diez segundos. Esa cara la he visto muchas veces.

Por qué tu director general no lo asocia a ciberseguridad

Hay tres razones por las que la mayoría de pymes infraestima su coste real:

Asocian «ciberataque» con la noticia grande. Si el telediario habla del Puerto de Vigo o de un hospital paralizado, te imaginas un escenario que no es el tuyo. Pero la realidad estadística según Cosmikal Q1 2026 es que el 50% de las pymes españolas sufre al menos un incidente al año. La mayoría no son grandes: son cuentas de correo comprometidas, transferencias desviadas, equipos con ransomware en una rama de la red, una factura falsa que pasa el filtro.

No lo reportan. Antes de NIS2 no había obligación clara de notificar. Y hoy mismo, muchas pymes que sufren un incidente prefieren no publicarlo (clientes, prensa local, banca). Es comprensible, pero significa que ni Estadística ni el INCIBE tienen el número real. El que tú tienes tampoco lo tienes.

Lo asumen como coste operativo. «Es lo que toca», «el banco lo cubrió», «perdimos un día y ya». Cuando lo cuentas así, el coste se diluye. Cuando lo sumas, el coste vuelve a aparecer y duele.

Las cuatro líneas de pérdida que rara vez se suman

Cuando entramos en una pyme y reconstruimos los últimos 18 meses, estas son las cuatro líneas donde el dinero se va sin que nadie lo asocie a ciberseguridad:

1. Fraude del CEO y suplantación de proveedores. Un correo bien hecho que pide cambio de cuenta bancaria. Una factura modificada con IBAN nuevo. Una llamada simulando al socio mayoritario. Coste tipo en pyme española: 15.000-90.000 € por episodio. Frecuencia: 1-2 al año en empresas de 20-100 empleados.

2. Días sin facturar por caída o ransomware. No tiene que ser un ataque catastrófico: basta con que el ERP no esté operativo dos días o que el correo del comercial no funcione una mañana. Una empresa industrial de 50 personas que para producción 48 horas pierde fácilmente 25.000-60.000 € entre coste de personal parado, horas extra de recuperación y pedidos retrasados.

3. Cliente perdido tras incidente. El más doloroso porque no aparece en ninguna factura. El cliente B2B que se enteró de que tu sistema estuvo caído, que tuvo que reclamarte tres veces o que recibió una factura rara. No te lo dice; te suelta el siguiente trimestre. Coste tipo: el LTV (Lifetime Value) del cliente medio. Para una pyme de servicios profesionales puede estar entre 25.000 y 200.000 € por cuenta.

4. Sanciones y costes legales. RGPD permite multas de hasta el 4% de la facturación global. NIS2, ya transpuesta o por transponerse en el segundo semestre de 2026, añade hasta el 2% para entidades esenciales. Y los gastos legales y forenses para responder a un incidente serio: 8.000-30.000 € en pymes. La AEPD lleva años sancionando pymes en bandas de 3.000-60.000 €. No le suena raro a nadie del sector.

Suma esas cuatro líneas y te plantas en el 7,7%. A veces más, casi nunca menos.

Por qué el ciberseguro no es la respuesta (o no es toda la respuesta)

La conversación que muchos directores generales tienen con su corredor de seguros es: «Contrátame un ciberseguro y duermo tranquilo». Es media verdad. El ciberseguro cubre, en la mayoría de pólizas razonables para pymes, el coste forense, la respuesta legal, una parte de la pérdida de beneficio y, si está cubierto explícitamente, la extorsión por ransomware (con condiciones).

Lo que el ciberseguro no cubre habitualmente:

• Errores de diligencia debida demostrables (sin MFA, sin backup verificado, sin parche conocido aplicado).
• Reposición de inversión técnica que tendrías que haber hecho igual.
• Pérdida de cliente derivada del incidente.
• Sanciones administrativas si se demuestra negligencia.

Una póliza seria te exige, antes de firmarte, demostrar un mínimo de higiene: MFA en todas las cuentas, backup off-site de la red, antivirus EDR, política de gestión de proveedores. Si no lo tienes, o no te aseguran o te suben la prima un 40-60%. Si lo tienes a medias, en el momento del siniestro te aplican exclusiones. He visto pymes con póliza activa que recuperaron menos del 30% del coste real porque la diligencia debida no se podía demostrar.

El ciberseguro es la malla de seguridad. La estructura tiene que estar antes.

Lo que sí baja el 7,7% al 1-2%

Ningún proveedor honesto te va a prometer cero incidentes. Lo que sí se puede prometer, y medir, es bajar el coste anual de incidentes desde la franja del 5-10% de facturación al rango del 1-2%. Es lo que vemos consistentemente en clientes de Libertia IT que llevan 12-24 meses con dirección IT activa.

Lo que mueve el dato:

• MFA obligatorio en el 100% de las cuentas críticas, incluyendo las de administrador y las de proveedores. Todavía hoy es la causa raíz de la mitad de incidentes que vemos.
• Backup independiente del proveedor (regla 3-2-1 de toda la vida) y, lo más importante, restauración probada al menos una vez al trimestre. Un backup que no se ha probado no es un backup; es una carpeta y una esperanza.
• Filtro de correo serio con detección de fraude del CEO y suplantación de proveedor. Es la palanca más rentable contra las pérdidas de la línea 1.
• Política de gestión de proveedores y de pagos. Doble validación humana de cualquier cambio de IBAN. Nada cae en una bandeja sin un teléfono que lo confirme. Esto vive entre IT y finanzas, no solo en IT.
• Plan de respuesta a incidente con teléfonos, roles y plazo NIS2 de 24 horas. Cuando suena, no improvisas.
• Formación trimestral del equipo en phishing, no anual. El refresco corto y frecuente vale infinitamente más que la formación una vez al año.

Si quieres ver cómo se ataca esto sin desmontarte la operación, lo cubrimos en detalle en nuestro hub de ciberseguridad gestionada para empresas en Madrid, y la conversación financiera que tu director general necesita tener con tu director financiero está bien resumida en cuándo necesita tu pyme un vCIO.

El caso del fabricante de Móstoles

Cliente: fabricante de envases industriales, 50 personas en Móstoles.

• El incidente: estafa tipo CEO en enero. Falso correo del director general autorizando una transferencia urgente de 110.000 € a un proveedor «de confianza». Pasó el filtro porque el proveedor sí existía y la cuenta nueva parecía coherente. Departamento de finanzas ejecutó sin contraste telefónico.
• Coste directo: 110.000 € de los que se recuperaron 41.000 € por seguro y bloqueo bancario parcial. Coste neto: 69.000 €.
• Coste indirecto: 5 días con el equipo financiero parado en gestión, dos despidos, una auditoría externa exigida por el banco (12.000 €), 3 meses con prima del ciberseguro suspendida, una caída de cliente B2B importante por desconfianza (LTV ~80.000 €).
• Coste total real estimado: ~175.000 €. Sobre facturación anual de 4,2 M€, eso es el 4,2%. Solo este episodio. Para llegar al 7,7% medio les bastó con sumar dos meses de un servidor con ransomware menor en septiembre del año anterior.
• Después del rediseño (4 meses): MFA en 100% de cuentas, doble validación humana de cualquier cambio de IBAN o cuenta, EDR gestionado 24×7, backup off-site con restauración probada cada trimestre, formación de phishing trimestral con simulaciones reales, plan de respuesta a incidente con teléfonos del equipo, banco y nosotros como respondedores.
• Coste mensual del rediseño: cuota fija mensual de servicio gestionado de Libertia IT, equivalente a una fracción del salario de un técnico interno y muy por debajo del 1% de la facturación anual.
• Resultado a 12 meses: 0 incidentes con impacto financiero, 2 intentos detectados y bloqueados antes de transferencia, primas de ciberseguro renegociadas con descuento.

La conversación que tienes que tener mañana con tu director financiero

Si llevas el negocio, la conversación que abre el cambio no es con tu técnico ni con tu MSP. Es con tu director financiero. Pídele tres números:

1. Pérdidas operativas no recurrentes de los últimos 18 meses, abiertas por concepto. Busca específicamente: errores de transferencia, regularizaciones de tesorería, horas extra por incidente técnico, descuentos al cliente por incumplimiento de plazo, prima de ciberseguro y franquicia.
2. Días de inactividad técnica de los últimos 12 meses y coste estimado por día (personal parado + producción no facturada + clientes pospuestos).
3. Cuentas de cliente perdidas o reducidas en los últimos 18 meses y, para cada una, el motivo declarado y el motivo real.

Cuando tengas esos tres números, sabrás cuál es tu 7,7% real. A partir de ahí, la inversión en ciberseguridad deja de ser un gasto técnico y empieza a ser una decisión financiera con ROI calculable.

Cuándo NO necesitas mover nada todavía

Hay tres casos en los que esta conversación puede esperar tres meses (no doce):

1. Si has hecho una auditoría seria en los últimos 12 meses y los hallazgos están aplicados, no maquillados. Auditoría seria significa con informe escrito, propietario de cada riesgo y fecha de cierre. Si la auditoría está en un cajón sin acciones, no cuenta.
2. Si tienes ciberseguro activo, MFA universal, EDR gestionado y backup probado. Sin esos cuatro, da igual lo que pongas en otro lado. Con esos cuatro, la conversación cambia y tienes margen para optimizar.
3. Si tu negocio acaba de pasar por una integración seria (compra, venta, fusión) y has tenido que pasar una due diligence técnica. Si te aprobaron, está razonablemente bien. Si te marcaron riesgos pendientes, son tu prioridad inmediata.

En cualquier otro caso, el 7,7% probablemente ya está pasando ahora. La pregunta no es si lo paras: es cuántos trimestres más vas a esperar para hacerlo.

¿Cuánto cuesta realmente un ciberataque a una pyme española?

El impacto directo medio para una empresa de 20-50 empleados está entre 35.000 y 80.000 € por incidente, según Secure&IT y Cosmikal Q1 2026. El impacto total (sumando días sin facturar, clientes perdidos, sanciones y costes legales) llega de media al 7,7% de la facturación anual de la empresa, según BLB Correduría y benchmark del sector.

¿Por qué dicen que las pymes son el objetivo preferido del ciberataque?

Porque están menos protegidas que las grandes y más conectadas que las micro. Tienen volumen de facturación interesante para extorsión, integran proveedores y clientes en cadenas digitales, y la mayoría no tiene equipo dedicado a seguridad. El 50% de las pymes españolas sufre algún ciberataque al año (Cosmikal Q1 2026).

¿El ciberseguro me cubre el coste si me atacan?

Cubre el coste forense, una parte de la pérdida de beneficio y, si está incluido, la extorsión por ransomware con condiciones. No cubre la negligencia demostrable (sin MFA, sin backup probado), no cubre la reposición de inversión técnica que ya debías y no cubre la pérdida de cliente. Es la red de seguridad, no la estructura.

¿NIS2 me obliga aunque mi empresa sea pequeña?

Te aplica si tu sector está en el ámbito (industria mediana, servicios cloud, transporte, sanidad privada, proveedores TIC, entre otros) y, según la transposición española en curso, te puede afectar desde tamaños bajos. Las sanciones llegan al 1,4% de facturación para entidades importantes y al 2% para esenciales. Lo cubre con detalle nuestro post sobre NIS2 para pymes en España 2026.

¿Cuál es la inversión razonable en ciberseguridad para una pyme de 50 personas?

Como referencia, una pyme española bien dirigida invierte el 4-6% de su facturación en IT y, dentro de esa partida, entre el 25% y el 40% en ciberseguridad gestionada (incluyendo backup, EDR, formación, monitorización y respuesta). Sale más barato que perder el 7,7% en incidentes, con bastante margen.

¿Cuánto tiempo se tarda en bajar el riesgo a niveles razonables?

Con dirección IT activa y compromiso del comité de dirección, los primeros 90 días bajan el riesgo del nivel «incidente seguro este año» al nivel «incidente posible pero contenido». A 12 meses, el coste anual asociado a incidentes se mueve del 5-10% al 1-2% de facturación.

¿Por dónde empiezas?

El número que abre la conversación está en tu cuenta de explotación, no en un panel técnico. Te dejo dos pasos.

Esta semana: pide a tu director financiero los tres números que te he descrito (pérdidas no recurrentes, días sin facturar, cuentas perdidas con motivo real). Si no los tiene desglosados, pídele que los reconstruya con los apuntes contables. La conversación cambia desde el momento en que el número aparece.

Cuando tengas esos números: reserva 30 minutos sin coste con un vCIO de Libertia IT. Te decimos en esa media hora si tu 7,7% se baja al 1-2% en 12 meses, qué tres cosas mover primero y cuánto se te va de la cuenta cada trimestre que pasa sin tocarlas. Si los datos no te salen, te lo decimos también. Agenda 30 minutos con un vCIO de Libertia IT →

Si te interesa el contexto más amplio de auditoría de seguridad informática y dirección tecnológica para pymes, todo eso entra en la misma conversación.