Para la mayoría de las pequeñas y medianas empresas (pymes), la “oficina” ahora es una colección de redes WiFi domésticas, puntos de acceso de cafeterías, espacios de trabajo compartidos y herramientas SaaS basadas en la nube.

Sin embargo, aunque el trabajo sigue volviéndose más distribuido, muchas empresas no han implementado controles de red. Menos de la mitad de las pymes usan una VPN para proteger el acceso a su red, según una nueva investigación de Proton.

Al mismo tiempo, los incidentes de seguridad están aumentando. Una de cada cuatro pymes ha sufrido un ciberataque o una vulneración en el último año.

Entonces, ¿por qué, a pesar de un cambio aparentemente permanente hacia el trabajo híbrido, la adopción de VPN es tan inconsistente? ¿Y es esa la causa de tantos incidentes de seguridad recientes?

Nuestro informe SMB Cybersecurity Report 2026 arroja luz sobre esta pregunta. Para nuestra investigación exclusiva, encuestamos a miles de líderes empresariales de todo el mundo con decenas de preguntas sobre sus prácticas de seguridad. Puede descargar el informe gratuito de ciberseguridad para obtener cuatro ideas clave y cinco recomendaciones para su empresa.

Descargar el informe gratuito(nueva ventana)

Por qué los atacantes están apuntando a las pymes

Durante años, los ciberdelincuentes se centraron principalmente en las grandes corporaciones. Pero a medida que las defensas empresariales han mejorado, los atacantes han apuntado cada vez más a las pymes(nueva ventana) debido a:

Recursos limitados: Los equipos pequeños a menudo carecen de personal de seguridad dedicado y de políticas formales de seguridad.

Redes distribuidas: Los empleados conectan desde WiFi doméstico, espacios de trabajo compartidos y puntos de acceso públicos, lo que crea más puntos de entrada para los atacantes.

Datos de alto valor: Las pymes podrían almacenar los mismos datos sensibles que las grandes empresas(nueva ventana) —incluida información de clientes, registros financieros y propiedad intelectual— pero con menos protecciones implementadas.

La brecha de adopción: las pymes están descuidando las VPN

El Proton SMB Cybersecurity Report 2026 expuso dos brechas entre las pequeñas y medianas empresas:

  • Brecha de adopción: Menos de la mitad de las pymes usan una VPN para proteger sus puntos finales(nueva ventana).
  • Brecha de ejecución: Incluso entre quienes adoptan VPN, las prácticas de seguridad son inconsistentes.

Comencemos con la brecha de adopción.

El auge del software como servicio ha creado una falsa sensación de seguridad entre las pequeñas empresas. Aunque la mayoría de las plataformas SaaS usan un cifrado sólido (es decir, TLS(nueva ventana)) para proteger el tráfico en tránsito, y algunas como Proton Mail o Proton Drive también usan cifrado de extremo a extremo(nueva ventana) en reposo, no protegen la ruta que toman sus empleados para iniciar sesión.

Por ejemplo, su organización podría usar un servicio de correo electrónico cifrado(nueva ventana) para proteger el contenido de sus mensajes, pero sin una VPN no puede aplicar restricciones basadas en IP para controlar quién puede iniciar sesión en la plataforma. Así, un atacante con un conjunto de credenciales filtradas podría iniciar sesión y vulnerar su red.

Aunque el cambio hacia el trabajo híbrido es global, las adaptaciones de seguridad que lo acompañan han sido desiguales. Estados Unidos es el único país de nuestro estudio donde la mayoría de las pymes usa una VPN. En todos los demás mercados, la adopción se sitúa por debajo del 50 %. Esta brecha es aún más pronunciada fuera del sector tecnológico, donde la seguridad no ha seguido el ritmo del cambio hacia el trabajo híbrido.

La brecha de ejecución: la verdadera seguridad va más allá de una VPN

El cincuenta y dos por ciento de las pymes que usan VPN dicen estar muy o completamente seguras de su capacidad para resistir ataques. Pero nuestros datos muestran que incluso entre este grupo, el 26 % sufrió una vulneración en los últimos 12 meses. Si una empresa ya está protegiendo su red, ¿cómo sigue ocurriendo esto?

El problema no es la VPN en sí, sino los controles circundantes y la prevalencia del error humano. Solo el 56 % de quienes adoptan VPN en nuestro estudio aplican autenticación de dos factores(nueva ventana) (2FA). Cuando casi la mitad de las empresas dependen solo de contraseñas, el riesgo se agrava por una mala disciplina en el uso de credenciales. En lugar de usar de forma consistente un gestor de contraseñas empresarial(nueva ventana):

  • El 31,5 % todavía comparte credenciales por correo electrónico
  • El 33,4 % mediante documentos compartidos
  • El 28 % depende de aplicaciones de mensajería para compartir inicios de sesión
  • El 24,6 % todavía anota contraseñas

Nuestros datos sugieren que muchas empresas están tratando la seguridad como una inversión fragmentada en productos aislados, en lugar de como un sistema cohesionado, sin políticas de seguridad ejecutadas de forma consistente.

La seguridad como infraestructura, no como ocurrencia tardía

El estudio reveló otra idea valiosa: la seguridad es un impulsor de ingresos.

En nuestro informe, el 66 % de las empresas dice que demostrar un manejo seguro de los datos es “muy” o “críticamente” importante para ganar nuevos negocios. Una VPN para la seguridad de puntos finales le brinda la infraestructura y la visibilidad necesarias para demostrarlo a clientes potenciales.

Sin un perímetro de red definido, los puntos de entrada se multiplican, la visibilidad disminuye y el control de acceso queda disperso entre plataformas de terceros. Todo esto amplía la superficie de ataque y hace más difícil detectar comportamientos sospechosos, contener incidentes o demostrar control a clientes y socios. Una VPN restaura el límite y establece un perímetro controlable alrededor de los empleados dondequiera que trabajen.

Así es como puede aplicar esta lección en su empresa:

  • Restrinja el acceso por IP o ubicación: Permita solo el acceso a herramientas internas desde dispositivos o redes aprobados.
  • Tenga visibilidad completa de la red: Cuando los inicios de sesión solo están permitidos desde su VPN, puede supervisar el tráfico hacia sus recursos y detectar posibles ataques.
  • Aplique políticas coherentes: Aplique reglas de seguridad en su red, en lugar de depender de promesas de terceros.

Sin una VPN, el tráfico remoto se mueve por redes públicas sin control centralizado, lo que aumenta la exposición. La verdadera seguridad requiere que la capa de red y la capa de identidad operen como un único sistema reforzado.

Descargue el informe completo SMB Cybersecurity Report 2026

El SMB Cybersecurity Report 2026 de Proton examina dónde se rompe la confianza en la seguridad, por qué faltan controles fundamentales y cómo el trabajo híbrido ha remodelado la superficie de ataque para las empresas en crecimiento.

Dentro del informe, encontrará:

  • Patrones globales de vulneraciones y tendencias de error humano
  • El impacto financiero de las vulneraciones de datos modernas
  • Brechas de confianza en la nube y la IA entre líderes empresariales
  • Pasos prácticos para construir sistemas de seguridad por capas
Descargar el informe gratuito(nueva ventana)