78% de las pymes españolas con menos de 50 empleados registraron al menos un incidente cibernético en 2025, según el Informe Anual de Ciberamenazas del INCIBE. Este dato supone un aumento del 23% respecto a 2024 y refleja una escalada sin precedentes en la exposición digital de los pequeños negocios.
78% de las pymes sufrieron al menos un ataque en 2025
El riesgo no es teórico: cada 3,2 minutos, una pyme española sufre un intento de phishing, según datos del Observatorio Nacional de Ciberseguridad (ONC) actualizados a junio de 2026. La vulnerabilidad se agrava porque el 61% de estas empresas no dispone de un plan de respuesta ante incidentes formalizado, y solo el 29% ha realizado formación específica en ciberseguridad durante los últimos 12 meses.
Crecimiento del 23% en ataques respecto a 2024
En 2024, el porcentaje de pymes afectadas fue del 55%, según el mismo informe del INCIBE. El salto al 78% en 2025 coincide con la aceleración de la adopción de IA generativa en entornos empresariales: el 44% de los ataques detectados en el primer semestre de 2026 incluyeron técnicas de prompt injection o suplantación mediante voz sintética, frente al 12% registrado en 2024.
3,2 minutos: intervalo medio entre intentos de phishing
El ONC identificó 127.400 intentos de phishing dirigidos a pymes en el primer trimestre de 2026. Esto equivale a un ataque cada 3,2 minutos, con un pico del 37% de los intentos concentrado en horarios laborales entre las 10:00 y las 13:00 horas. El 82% de estos correos simulaba remitentes de entidades bancarias o administraciones públicas, aprovechando la proximidad del periodo de presentación de la Renta 2025-2026, que finaliza el 30 de junio.
61% de las pymes carecen de un plan de respuesta formalizado
La ausencia de protocolos estructurados explica el 42% de los tiempos de recuperación superiores a 72 horas tras un ataque. En contraste, las pymes con planes validados redujeron su tiempo medio de recuperación a 4,7 horas, según el estudio de Pimec y Banco Sabadell (junio 2026). Este retraso implica costes promedio de €18.300 por incidente, un 19% más que en 2024.
29% de las pymes formaron a su personal en ciberseguridad en 2025
La formación interna sigue siendo el eslabón más débil: solo el 29% de las pymes con menos de 50 empleados realizó actividades formativas certificadas en 2025. El 71% restante depende de conocimientos autodidactas o de soporte puntual de proveedores. Este déficit se correlaciona directamente con el 68% de los incidentes atribuidos a errores humanos, como clics en enlaces maliciosos o reutilización de contraseñas.
44% de los ataques en 2026 usaron técnicas de IA generativa
La evolución de las amenazas es acelerada: el 44% de los ataques registrados entre enero y junio de 2026 incorporó herramientas de IA, frente al 12% de 2024. Los vectores más comunes fueron el deepfake en llamadas de suplantación (31% de los casos) y el prompt injection en chatbots internos (13%). El marco normativo aplicable —el Reglamento (UE) 2022/2555 (NIS2)— exige desde el 18 de octubre de 2024 que las pymes críticas (energía, salud, finanzas) implementen controles técnicos y organizativos, pero el 89% de las empresas aún no ha completado su autoevaluación obligatoria.
Radiografía en cifras
- 78%: proporción de pymes españolas con menos de 50 empleados afectadas por al menos un ciberataque en 2025.
- 23%: aumento interanual en la incidencia de ataques respecto a 2024.
- 3,2 minutos: intervalo medio entre intentos de phishing dirigidos a pymes en 2026.
- 61%: porcentaje de pymes sin plan de respuesta ante incidentes formalizado.
- 29%: tasa de pymes que realizaron formación en ciberseguridad en 2025.
- 44%: proporción de ataques en 2026 que emplearon técnicas de inteligencia artificial generativa.
19% más de costes medios por incidente respecto a 2024
El impacto económico se ha intensificado: el coste promedio por ciberincidente en pymes alcanzó los €18.300 en 2025, un 19% más que los €15.380 registrados en 2024. Este incremento se explica por la mayor complejidad de los ataques, la prolongación de los tiempos de inactividad y el aumento de las multas por incumplimiento del Reglamento General de Protección de Datos (RGPD), que alcanzaron los €2,1 millones en 2025 para 12 pymes sancionadas por fallos en la protección de datos de clientes.
