Guía definitiva de ciberseguridad para pymes en Cataluña (2026)
Todo lo que una pyme o autónomo de Cataluña necesita para protegerse en 2026: contraseñas, backups, phishing, RGPD y plan de acción. Guía completa con recursos.
Esta es la página que me habría gustado poder enviar a cada cliente que me ha llamado después del susto. Reúne, en un solo sitio, todo lo que he publicado sobre ciberseguridad para pymes y autónomos — y lo ordena como un plan que puedes seguir de principio a fin, tengas una asesoría en Sabadell, un taller en Terrassa o una tienda online en Barcelona.
No hace falta ser una gran empresa para ser objetivo. Al contrario: los atacantes automatizan, y la automatización no distingue tamaños. Lo que sí distingue es la defensa — y ahí la pyme catalana media va años por detrás de lo que cuesta razonablemente arreglar.
Por qué tu pyme sí es un objetivo
Tres datos que veo repetirse en cada auditoría que hago por el Vallès y Barcelona:
- El correo es la puerta de entrada nº 1. Facturas falsas, suplantación del banco, un “cambio de cuenta bancaria” de un proveedor real. No hackean tu servidor: te convencen de abrir la puerta.
- Las contraseñas se reutilizan. La misma clave en el correo, el banco y el panel del hosting. Una sola filtración externa y cae todo el negocio.
- Los backups no existen o no se han probado nunca. Y un backup que nunca has restaurado es una esperanza, no una copia de seguridad.
La buena noticia la repito siempre: el 80% de los ataques se previene con medidas básicas que cuestan poco o nada. Esta guía las ordena por frentes.
Frente 1 — Identidad: contraseñas y doble factor
El punto de partida de cualquier plan. Gestor de contraseñas (Bitwarden vale cero euros), doble autenticación en correo, banca, dominio y hosting, y una revisión de qué cuentas de tu empresa aparecen ya en filtraciones conocidas.
Lo desarrollo paso a paso en la guía básica de ciberseguridad para pequeños negocios, que es el mejor primer artículo si empiezas de cero.
Frente 2 — Backups: la regla 3-2-1
Si solo puedes hacer una cosa esta semana, que sea esta. 3 copias, 2 soportes distintos, 1 fuera de la oficina. Es la única defensa que funciona contra el ransomware una vez ya ha entrado, y la diferencia entre perder una mañana o perder el negocio.
Tienes el tutorial completo — con opciones concretas y precios — en la regla 3-2-1 de copias de seguridad.
Frente 3 — Correo y phishing: entrenar al eslabón humano
Ningún antivirus para un ataque que el propio empleado ejecuta. Las tres defensas que monto en las pymes: SPF/DKIM/DMARC bien configurados en el dominio (para que no suplanten tu correo), un protocolo interno de verificación para cambios de cuenta bancaria (siempre por teléfono, nunca respondiendo al email), y formación breve y práctica al equipo — de eso hablo más abajo.
Frente 4 — Equipos y red: lo que se ve en cada auditoría
Windows sin actualizar, un router de operadora con la contraseña de fábrica, la misma WiFi para clientes y para el ordenador de facturación. Son los tres clásicos. Las correcciones — actualizaciones automáticas, WiFi de invitados separada, antivirus EDR gestionado en los equipos críticos — se aplican en una tarde.
Para ver cómo acaba la película cuando nada de esto está hecho, lee el caso real de ransomware en una pyme del Vallès: cómo entró, qué costó y qué cinco lecciones dejó.
Frente 5 — Tu web: escaparate y superficie de ataque
Una web WordPress sin mantenimiento es la vía de entrada más barata que existe: plugins desactualizados, panel de administración expuesto, sin copias. Si tu web es de las que “la hizo alguien hace años y ahí sigue”, una revisión de 10 minutos suele dar sustos.
Aquí se cruzan dos servicios: el mantenimiento web mensual (actualizaciones, backups y anti-malware desde 15€/mes) y, para el conjunto del negocio, la auditoría de ciberseguridad para pymes.
Frente 6 — RGPD: la parte legal que nadie quiere mirar
Si guardas datos de clientes — y los guardas — el RGPD te aplica. Registro de tratamientos, avisos legales en la web, contratos con los proveedores que tocan datos (gestoría, hosting, email marketing) y un protocolo de notificación si hay una brecha. No es la parte divertida, pero una inspección o una reclamación de un cliente la convierte en la más cara.
Tu plan según tamaño
Si eres autónomo o microempresa (1-3 personas): empieza por el checklist de ciberseguridad para autónomos — está pensado para completarse en una semana, con herramientas gratuitas. Y si prefieres que lo revise yo, la auditoría para autónomos cuesta 55€ e incluye plan de acción priorizado.
Si tienes una pyme (4-50 personas): el checklist se queda corto porque el riesgo ya no es solo tuyo — es de cada persona con un ordenador. El orden que recomiendo: auditoría completa para saber dónde estás (informe en 5 días, desde 55€), corrección de los puntos críticos, y formación breve al equipo para que el phishing deje de funcionar. Si no hay nadie que vigile los sistemas de forma continua, el plan de seguridad gestionada (desde 80€/mes) cubre monitorización, EDR y respuesta a incidentes.
¿Y si ya te ha pasado?
Desconecta el equipo afectado de la red (cable y WiFi), no apagues nada, no pagues ningún rescate sin asesorarte, y llama a alguien que sepa — las primeras horas determinan si se recupera todo o nada. El caso del Vallès documenta una recuperación real paso a paso. Y si tienes backups 3-2-1 probados, respira: esto será una anécdota cara, no un cierre.
Lo que cuesta protegerse (y lo que cuesta no hacerlo)
Números redondos de lo que manejo cada semana: un plan básico completo para un autónomo — gestor de contraseñas, 2FA, backup 3-2-1, revisión web — se monta con menos de 150€ el primer año. Una pyme de 10 personas con auditoría, correcciones y formación queda protegida razonablemente por unos pocos cientos de euros. El ataque que previene cuesta, según los casos que he visto de cerca, entre 3.000€ y varias decenas de miles — sin contar los clientes que no vuelven.
La página de precios tiene todas las tarifas cerradas, sin sorpresas.
Por dónde empezar hoy
- Instala un gestor de contraseñas y activa 2FA en el correo. (30 minutos)
- Monta la regla 3-2-1 siguiendo el tutorial. (una tarde)
- Pasa el checklist completo o pide la auditoría si prefieres informe profesional. (una semana)
Trabajo con pymes y autónomos de Sabadell, el Vallès Occidental y Barcelona — en remoto para toda España. Si después de leer esto tienes más preguntas que respuestas, escríbeme y las resolvemos sin compromiso.