Referencia del BCCR

Tipo de cambio

Compra

...

Venta

...

Imagen principal del artículo: Pymes costarricenses siguen siendo blanco fácil de ciberdelincuentes por falta de capacitación y recursos
Foto: Con fines ilustrativos.

Pymes costarricenses siguen siendo blanco fácil de ciberdelincuentes por falta de capacitación y recursos

En colaboración con:
Colaboración con agencia

Especialistas de la UNED advierten que las pequeñas y medianas empresas pueden reducir significativamente riesgos mediante medidas preventivas de bajo costo.

Las pequeñas y medianas empresas (pymes) costarricenses se han convertido en uno de los principales objetivos de los ciberdelincuentes debido a sus limitaciones en recursos tecnológicos, financieros y de capacitación. 

Así lo advierten especialistas de la Universidad Estatal a Distancia (UNED), quienes hacen un llamado a fortalecer la cultura de la ciberseguridad como una inversión indispensable para la continuidad de cualquier negocio.

La advertencia coincide con los hallazgos del ESET Security Report 2025, elaborado a partir de más de 3 mil profesionales de ciberseguridad de América Latina que revela que el 27% de las organizaciones sufrió al menos un ciberataque durante el último año, mientras que un 22% fue víctima de ransomware en los últimos dos años. 

Además, señala que menos de la mitad implementa medidas preventivas como cifrado de datos, clasificación de información o programas de capacitación para su personal. 

El encargado de Infraestructura Tecnológica de la Dirección de Tecnologías de Información y Comunicaciones (DTIC) de la UNED, Rolando Rojas Coto, señaló que existe la falsa percepción de que únicamente las grandes corporaciones son blanco de los ataques.

Cuando pensamos en ciberatacantes normalmente imaginamos grandes empresas, pero la realidad es que muchas veces las pequeñas y medianas empresas son objetivos más fáciles y, no porque tengan sistemas débiles, sino porque suelen operar con recursos limitados, poco personal especializado y medidas de seguridad básicas”. 

Rojas agregó que, en Costa Rica, muchas pymes dependen cada vez más del correo electrónico, los servicios en la nube y el trabajo remoto, lo que incrementa la superficie de exposición frente a amenazas digitales.

Entre los riesgos más frecuentes destacan los correos fraudulentos o phishing, diseñados para robar credenciales; el ransomware, que secuestra la información y paraliza operaciones; fugas de datos por configuraciones incorrectas; uso de contraseñas débiles o reutilizadas; y ataques dirigidos a proveedores que forman parte de una cadena de suministro.

"Muchas veces el mayor riesgo no es tecnológico, sino humano, los ciberdelincuentes aprovechan errores cotidianos de las personas para acceder a la información de las empresas", acotó Rojas. 

Vulnerabilidad en sus finanzas

Por su parte, el director de UNED Impulsa, Luis Emilio Rodríguez Badilla, señaló que las condiciones bajo las que nacen y operan muchas pymes incrementan su vulnerabilidad frente a este tipo de delitos.

Según explicó, una parte importante de estos emprendimientos funciona de manera informal durante sus primeras etapas, por lo que es frecuente que los propietarios mezclen las finanzas personales con las del negocio, compartan credenciales de acceso o administren las cuentas desde dispositivos personales.

“Muchas de estas empresas tienen importantes necesidades de financiamiento y, cuando encuentran opciones aparentemente más sencillas que las del sistema financiero tradicional, pueden convertirse en víctimas de la ingeniería social, entregando sin darse cuenta información que permite acceder a sus cuentas bancarias”, dijo. 

Rodríguez añadió que la mayoría de las pymes inicia operaciones con un capital semilla reducido, por lo que un ataque exitoso puede representar pérdidas difíciles de recuperar e, incluso, comprometer la continuidad del negocio.

Asimismo, indicó que los recursos limitados también restringen el acceso a procesos de capacitación en ciberseguridad, una situación que aumenta considerablemente el riesgo.

Prevención y recomendaciones

Los especialistas coincidieron en que mejorar la ciberseguridad no implica realizar inversiones millonarias, sino incorporar buenas prácticas de manera permanente. 

Entre las principales recomendaciones destacan:

  • Activar la autenticación multifactor en todas las cuentas. 
  • Capacitar periódicamente al personal para identificar intentos de fraude. 
  • Mantener respaldos actualizados y probar su recuperación. 
  • Actualizar sistemas operativos, aplicaciones y equipos. 
  • Establecer políticas de acceso a la información y protocolos de respuesta ante incidentes. 
  • Utilizar contraseñas robustas y diferentes para cada servicio. 

"La ciberseguridad no es un producto que se compra una vez; es una práctica continua que debe formar parte de la gestión diaria de cualquier organización", concluyó Rojas.