Menos de la mitad de las pymes usan una VPN. Esto es lo que encontró nuestra investigación.

Para la mayoría de las pequeñas y medianas empresas (pymes), la “oficina” es ahora una colección de redes WiFi domésticas, puntos de acceso de cafeterías, espacios de trabajo compartidos y herramientas SaaS basadas en la nube.

Sin embargo, aunque el trabajo sigue volviéndose más distribuido, muchas empresas no han implementado controles de red. Menos de la mitad de las pymes usan una VPN para proteger el acceso a su red, según una nueva investigación de Proton.

Al mismo tiempo, los incidentes de seguridad van en aumento. Una de cada cuatro pymes ha sufrido un ciberataque o una vulneración en el último año.

Entonces, ¿por qué, a pesar de un cambio aparentemente permanente hacia el trabajo híbrido, la adopción de VPN es tan irregular? ¿Y es esa la causa de tantos incidentes de seguridad recientes?

Nuestro Informe de Ciberseguridad para Pymes 2026 arroja luz sobre esta pregunta. Para nuestra investigación exclusiva, hicimos a miles de líderes empresariales de todo el mundo docenas de preguntas sobre sus prácticas de seguridad. Puedes descargar el informe gratuito de ciberseguridad para obtener cuatro conclusiones clave y cinco recomendaciones para tu empresa.

Por qué los atacantes apuntan a las pymes

Durante años, los ciberdelincuentes se centraron principalmente en las grandes corporaciones. Pero a medida que las defensas empresariales han mejorado, los atacantes han apuntado cada vez más a las pymes(ventana nueva) debido a:

Recursos limitados: los equipos pequeños a menudo carecen de personal de seguridad dedicado y de políticas de seguridad formales.

Redes distribuidas: los empleados se conectan desde redes WiFi domésticas, espacios de trabajo compartidos y puntos de acceso públicos, lo que crea más puntos de entrada para los atacantes.

Datos de alto valor: las pymes pueden almacenar los mismos datos sensibles que las grandes empresas(ventana nueva) —incluida información de clientes, registros financieros y propiedad intelectual— pero con menos protecciones implementadas.

La brecha de adopción: las pymes están descuidando las VPN

El Informe de Ciberseguridad para Pymes 2026 de Proton expuso dos brechas entre las pequeñas y medianas empresas:

• Brecha de adopción: menos de la mitad de las pymes usan una VPN para proteger sus puntos de conexión(ventana nueva).
• Brecha de ejecución: incluso entre quienes adoptan una VPN, las prácticas de seguridad son inconsistentes.

Empecemos por la brecha de adopción.

El auge del software como servicio ha creado una falsa sensación de seguridad entre las pequeñas empresas. Aunque la mayoría de las plataformas SaaS usan un cifrado sólido (es decir, TLS(ventana nueva)) para proteger el tráfico en tránsito, y algunas como Proton Mail o Proton Drive también usan cifrado de extremo a extremo(ventana nueva) en reposo, no protegen la ruta que siguen tus empleados para iniciar sesión.

Por ejemplo, tu organización podría usar un servicio de correo electrónico cifrado(ventana nueva) para proteger el contenido de tus mensajes, pero sin una VPN no puedes aplicar restricciones basadas en IP para controlar quién puede iniciar sesión en la plataforma. Así que un atacante con un conjunto de credenciales filtradas podría iniciar sesión y vulnerar tu red.

Aunque el cambio al trabajo híbrido es global, las adaptaciones de seguridad que lo acompañan han sido desiguales. Estados Unidos es el único país de nuestro estudio donde la mayoría de las pymes usa una VPN. En todos los demás mercados, la adopción está por debajo del 50 %. Esta brecha es aún más pronunciada fuera del sector tecnológico, donde la seguridad no ha seguido el ritmo del cambio hacia el trabajo híbrido.

La brecha de ejecución: la verdadera seguridad va más allá de una VPN

El 52 % de las pymes que usan VPN dicen estar muy o completamente seguras de su capacidad para resistir ataques. Pero nuestros datos muestran que incluso entre este grupo, el 26 % sufrió una vulneración en los últimos 12 meses. Si una empresa ya está protegiendo su red, ¿cómo sigue ocurriendo esto?

El problema no es la VPN en sí, sino los controles que la rodean y la prevalencia del error humano. Solo el 56 % de los adoptantes de VPN en nuestro estudio aplican autenticación de dos factores(ventana nueva) (2FA). Cuando casi la mitad de las empresas dependen solo de contraseñas, el riesgo se agrava por una mala disciplina de credenciales. En lugar de usar de forma consistente un gestor de contraseñas para empresas(ventana nueva):

• El 31,5 % todavía comparte credenciales por correo electrónico
• El 33,4 % lo hace mediante documentos compartidos
• El 28 % depende de aplicaciones de mensajería para compartir inicios de sesión
• El 24,6 % todavía anota contraseñas en papel

Nuestros datos sugieren que muchas empresas están tratando la seguridad como una inversión fragmentada en productos aislados en lugar de como un sistema cohesionado, sin políticas de seguridad ejecutadas de manera consistente.

La seguridad como infraestructura, no como idea tardía

El estudio reveló otra conclusión valiosa: la seguridad es un motor de ingresos.

En nuestro informe, el 66 % de las empresas afirma que demostrar un manejo seguro de los datos es “muy” o “críticamente” importante para conseguir nuevos negocios. Una VPN para la seguridad de puntos de conexión te brinda la infraestructura y la visibilidad necesarias para defender ese argumento ante clientes potenciales.

Sin un perímetro de red definido, los puntos de entrada se multiplican, la visibilidad disminuye y el control de acceso queda disperso entre plataformas de terceras partes. Todo esto amplía la superficie de ataque y dificulta detectar comportamientos sospechosos, contener incidentes o demostrar control a clientes y socios. Una VPN restablece el límite y establece un perímetro controlable alrededor de los empleados trabajen donde trabajen.

Así es como puedes aplicar la lección en tu empresa:

• Restringe el acceso por IP o ubicación: permite el acceso a herramientas internas solo desde dispositivos o redes aprobados.
• Ten visibilidad total de la red: cuando los inicios de sesión solo se permiten desde tu VPN, puedes supervisar el tráfico hacia tus recursos y detectar posibles ataques.
• Aplica políticas coherentes: aplica reglas de seguridad en tu red, en lugar de depender de promesas de terceras partes.

Sin una VPN, el tráfico remoto se mueve a través de redes públicas sin control centralizado, lo que aumenta la exposición. La verdadera seguridad requiere que la capa de red y la capa de identidad funcionen como un único sistema reforzado.

Descarga el Informe completo de Ciberseguridad para Pymes 2026

El Informe de Ciberseguridad para Pymes 2026 de Proton examina dónde se rompe la confianza en la seguridad, por qué faltan controles fundamentales y cómo el trabajo híbrido ha remodelado la superficie de ataque de las empresas en crecimiento.

Dentro del informe encontrarás:

• Patrones globales de vulneraciones y tendencias de error humano
• El impacto financiero de las vulneraciones de datos modernas
• Brechas de confianza en la nube y la IA entre líderes empresariales
• Pasos prácticos para crear sistemas de seguridad por capas