¿Qué es MFA y por qué es la medida de ciberseguridad más rentable para una pyme?

MFA (Multi-Factor Authentication) o doble factor exige una segunda credencial además de la contraseña: código del móvil, app autenticadora o llave física. Detiene aproximadamente el 80 % de los ataques que empiezan con credenciales robadas. Cuesta 0 euros en Microsoft 365, Google Workspace y la mayoría de ERPs modernos.

¿Dónde activar MFA en mi pyme: correo, ERP, CRM, VPN?

Prioridad absoluta en este orden: 1) Correo corporativo (Microsoft 365 o Google Workspace), 2) VPN de teletrabajo, 3) ERP/CRM (Holded, Sage, Microsoft Dynamics, Golden .Net), 4) Banca online empresarial, 5) Panel de hosting y dominios. Activarlo en estos 5 detiene la inmensa mayoría de ataques B2B.

¿Qué app de autenticación MFA usar en una empresa española?

Para Microsoft 365, Microsoft Authenticator es la opción nativa y gratuita. Para Google Workspace, Google Authenticator. Para gestión multiservicio, Authy o 1Password Authenticator (con backup cifrado en la nube). Las llaves físicas YubiKey 5C NFC son el siguiente nivel para directivos y administradores con acceso crítico.

¿Es obligatorio MFA por ley en España en 2026?

MFA no es obligatorio por ley general en España, pero sí lo exige la directiva NIS2 (transposición en curso) para sectores esenciales y empresas medianas, y es requisito en el Esquema Nacional de Seguridad ENS para empresas que trabajan con AAPP. Las aseguradoras de ciberseguridad lo exigen como condición de cobertura desde 2024.

¿Cuánto tarda una pyme en activar MFA en todos sus sistemas críticos?

Una pyme de 10-25 empleados completa el despliegue de MFA en correo + VPN + ERP en una mañana de trabajo (4-6 horas) si se planifica bien: comunicación previa al equipo, sesión presencial de configuración, documentación de códigos de recuperación y verificación post-deploy. El ROI es inmediato.

MFA y doble factor para pymes en Alicante: la medida más barata que detiene el 80 % de los ataques en 2026

por Ventura | May 6, 2026 | Novedades

Empresario aprobando un código de autenticación multifactor en su móvil junto a un portátil con login corporativo y una llave física FIDO2

📊 Datos clave de ciberseguridad y MFA en pymes 2026

El 28 % de los ciberataques a pymes españolas empieza con un correo de phishing y una contraseña robada (INCIBE).
MFA detiene el 99,9 % de los ataques de credenciales, según Microsoft Security Research (Microsoft Security).
INCIBE gestionó 122.223 incidentes de ciberseguridad en 2025, un +26 % interanual (Memoria INCIBE 2025).

📅 Actualizado el 9 de mayo de 2026 — revisión técnica por Softnet Sistemas, partner B2B en Alicante.

Eran las 7:42 de la mañana de un martes y Lucía, gerente de una empresa de distribución alimentaria de Alicante con 28 empleados, abrió su correo nada más sentarse en la oficina. El mensaje parecía rutinario: un aviso de Microsoft pidiéndole renovar su contraseña de Office 365 antes de que expirara a mediodía. Hizo clic en el enlace, introdujo su correo y su contraseña habitual, y siguió con la mañana sin pensarlo más.

A las 11:15 su responsable de administración le pidió aprobar una transferencia urgente de 28.400 euros a un proveedor nuevo. El correo venía aparentemente de Lucía, con su firma, su tono y su forma habitual de escribir. Lucía, que estaba en una reunión, contestó por WhatsApp: «Adelante». Tres minutos después, el dinero salió de la cuenta corporativa.

El proveedor no existía. La firma del correo tampoco. Mientras Lucía revisaba pedidos, alguien al otro lado de Europa llevaba cuatro horas dentro de su buzón, leyendo conversaciones internas, copiando facturas y suplantando su identidad con un perfil aprendido al detalle.

El error costó 28.400 euros, dos semanas de trabajo forense y un susto que Lucía aún recuerda cada vez que recibe un correo «de Microsoft». Y todo se habría detenido en seco con una medida que cuesta cero euros y se activa en diez minutos: la autenticación multifactor (MFA), también conocida como doble factor o verificación en dos pasos.

Por qué la contraseña ya no protege a tu pyme en 2026

El último balance de INCIBE arroja una cifra que debería sentar a cualquier empresario delante de su CIO: 122.223 incidentes de ciberseguridad gestionados en 2025, un 26 % más que el año anterior. De ellos, el fraude online supuso 45.445 casos —cuatro de cada diez incidentes—, y el phishing por sí solo concentró 25.133 expedientes.

La fotografía es clara: España es uno de los países europeos más afectados por phishing y, según el Informe de Ciberpreparación de Hiscox, el 96 % de las empresas españolas reconoce haber sufrido al menos un ciberataque en los últimos doce meses. Y la causa de entrada más frecuente sigue siendo la misma de hace cinco años: una contraseña robada, filtrada o adivinada.

El problema es estructural. Una contraseña, por compleja que sea, es solo un secreto: si se filtra una vez, deja de serlo para siempre. Y los secretos vuelan rápido. Cuando alguien introduce sus credenciales en una web falsa —como hizo Lucía— ese dato termina vendiéndose en mercados clandestinos junto a millones de combinaciones más, listas para ser probadas en cualquier servicio donde el usuario haya repetido la misma clave.

El 80 % de los ataques con credenciales se detienen con un segundo factor

Los grandes proveedores de identidad llevan años publicando la misma estadística: activar la autenticación multifactor neutraliza más del 80 % de los ataques basados en robo de credenciales. No es marketing. Es matemática: si para entrar hace falta algo que el atacante no tiene —tu móvil, una llave física, tu huella—, el secreto robado deja de servirle.

Por eso bancos, AEAT, Seguridad Social y casi cualquier servicio público han hecho obligatorio el segundo factor. La pregunta interesante no es si tu pyme debería tenerlo, sino por qué todavía no lo tiene en el correo, en el ERP, en el CRM y en el acceso remoto.

Qué es realmente la autenticación multifactor

El concepto es sencillo: para confirmar tu identidad necesitas combinar dos elementos de categorías distintas. Tradicionalmente se habla de tres factores:

Algo que sabes: la contraseña de toda la vida.
Algo que tienes: el móvil corporativo, una llave física tipo YubiKey, una tarjeta inteligente.
Algo que eres: huella dactilar, reconocimiento facial, voz.

Combinar dos factores —típicamente contraseña + móvil— eleva drásticamente el coste del ataque. El delincuente puede hacerse con tu contraseña en un minuto, pero conseguir además acceso a tu teléfono físico es un orden de magnitud más complicado.

No todos los segundos factores valen lo mismo

En la práctica las pymes españolas suelen elegir entre cuatro métodos, y conviene ordenarlos de menor a mayor robustez:

SMS al móvil: el más común, pero también el más débil. Vulnerable a SIM swapping (clonado de tarjeta SIM) y a interceptación. Mejor que nada, pero no es el método recomendado para servicios críticos.
App de autenticación tipo Microsoft Authenticator, Google Authenticator o Authy: genera códigos de un solo uso cada 30 segundos. Gratis, sencillo y muchísimo más seguro que el SMS.
Notificación push con confirmación: la app del proveedor envía un aviso al móvil y el usuario aprueba con un clic. Cómodo y seguro, pero ojo con la «fatiga MFA» cuando el atacante bombardea al usuario para que apruebe sin pensar.
Llaves físicas FIDO2 (YubiKey, Titan): el estándar de oro. Inmunes a phishing porque verifican criptográficamente el dominio antes de responder. Cuestan 30-60 euros por usuario y son la opción que recomendamos para directivos, finanzas y administración.

Por dónde empezar: el orden importa

Cuando entramos en una pyme y revisamos su superficie de ataque, casi siempre encontramos el mismo patrón: MFA activado en un par de servicios al azar, ausente en los que más duelen. La regla práctica es priorizar por impacto.

1. El correo corporativo, primero y siempre

Microsoft 365 y Google Workspace son la puerta principal. Quien controla el correo controla las recuperaciones de contraseña de todo lo demás, lee facturas, suplanta al gerente y monta fraudes BEC como el de Lucía. Activar MFA aquí debería ser irrevocable y para todos, sin excepciones de «el director está muy ocupado».

2. El ERP, el CRM y el TPV

El sistema de gestión empresarial guarda lo más sensible: precios de coste, márgenes, proveedores, datos bancarios de clientes. Si tu ERP, CRM o TPV permite MFA —y los modernos lo permiten—, actívalo en cuentas administrativas y en el acceso remoto. Si no lo permite, plantea una migración: en 2026 un sistema de gestión sin doble factor es una vulnerabilidad andante.

3. La VPN y el escritorio remoto

El teletrabajo abrió la puerta de los servidores corporativos a internet. Cualquier acceso remoto —VPN, RDP publicado, escritorio virtual— necesita doble factor obligatorio. INCIBE documenta cada año decenas de pymes españolas comprometidas por un RDP expuesto con credenciales débiles. No hay excusa técnica para no añadir un segundo factor.

4. Banca electrónica y firmas digitales

La banca lo trae de serie por normativa PSD2. Asegúrate de que tu certificado digital, tu acceso a la sede de la AEAT y tus firmas electrónicas también lo tienen, especialmente si los gestiona más de una persona en la empresa.

Los tres errores que vemos cada semana

Implantar MFA mal es casi tan peligroso como no implantarlo. Estos son los fallos más habituales en las pymes alicantinas que llegan a nosotros tras un susto:

Excepciones para «los directivos»: precisamente las cuentas con más permisos son las que más necesitan el segundo factor. Si el atacante elige a quién comprometer, irá a por el gerente, no a por el becario.
Confiar solo en el SMS: cómodo, sí, pero el SIM swapping es un vector real y barato. Para correo corporativo y ERP, mejor app o llave física.
No formar al equipo en fatiga MFA: el ataque más sofisticado de 2025 consiste en bombardear al usuario con notificaciones push hasta que aprueba una sin mirar. La gente debe saber que cualquier notificación inesperada es sospechosa.

Cuánto cuesta y cuánto se tarda

Hablemos en euros, que es lo que importa. Para una pyme alicantina de 20 empleados que ya use Microsoft 365 Business o Google Workspace, activar MFA con app de autenticación es gratis y se hace en una mañana. Si se opta por llaves físicas FIDO2 para los 5 perfiles más críticos —dirección, administración, IT y dos comerciales con acceso al CRM—, la inversión ronda los 200-300 euros, una sola vez.

Compáralo con los 28.400 euros de Lucía, con los 15.000 euros de coste medio de un ransomware en pyme española, o con la sanción de la AEPD por una brecha de datos personales. La rentabilidad de la medida es difícil de superar.

El proceso de implantación, paso a paso

Una implantación seria en una pyme alicantina se hace en cinco pasos y suele cerrarse en una semana laboral:

Inventario de servicios críticos y de quién accede a cada uno.
Elección del método de segundo factor según rol (app para todos, llave física para perfiles sensibles).
Despliegue piloto con un grupo pequeño para detectar fricciones.
Activación obligatoria en correo, ERP, CRM, VPN y banca.
Sesión de formación de 30 minutos al equipo y procedimiento de recuperación de cuenta cuando alguien pierde el móvil.

El doble factor no es la solución a todo, pero es el primer escalón

Que nadie se confunda: MFA no sustituye a tener un buen antivirus, copias de seguridad inmutables, formación continua, parches al día o un firewall correctamente configurado. La ciberseguridad de una pyme se construye en capas. Pero, de todas las capas posibles, la autenticación multifactor es la que más amenazas detiene por menos dinero. Es, literalmente, la medida con mejor relación coste-impacto del catálogo.

Y, sobre todo, es accionable hoy. No requiere comprar hardware caro, no exige consultoría de seis meses, no obliga a cambiar el ERP. Solo requiere decidir que mañana, cuando alguien intente acceder al correo de tu empresa con tu contraseña robada, le falte una pieza imprescindible.

En Softnet llevamos casi 30 años acompañando a pymes alicantinas en ese tipo de decisiones poco glamurosas que evitan disgustos enormes. Si quieres una auditoría rápida del estado actual de tu MFA en correo, ERP, CRM y accesos remotos, podemos revisarlo contigo y dejarte un plan claro y sin compromiso.

Puedes ver nuestros servicios de seguridad informática para empresas en esta página o, si lo que buscas es modernizar tu sistema de gestión para que cumpla los estándares actuales de seguridad, te invitamos a conocer nuestras soluciones de ERP, CRM y TPV. La contraseña ya no protege; el segundo factor sí. Vale la pena dar el paso antes de necesitarlo.

MFA es solo el primer eslabón. En Softnet Sistemas diseñamos un plan de ciberseguridad B2B completo apoyado en mantenimiento informático en Alicante para empresas con técnicos propios, EDR gestionado, MFA en correo/ERP/VPN y respuesta a incidencias en menos de 24 h. Solicita una auditoría sin compromiso.

IA para encontrar clientes nuevos: cómo una pyme puede llenar su pipeline en 2026

por Ventura | May 13, 2026 | Novedades

Las pymes españolas pierden clientes silenciosamente y no consiguen reemplazarlos. En 2026, la inteligencia artificial aplicada a prospección comercial ya es accesible a empresas pequeñas: identifica prospects, detecta señales de compra, personaliza el primer contacto y reactiva clientes dormidos. Te contamos los 5 usos reales y por qué un CRM ordenado es la condición previa.

Cómo configurar el fichaje de tu pyme en menos de 10 minutos: la guía práctica de 2026

por Ventura | May 11, 2026 | IA, Novedades, Servicios

Configurar un sistema de control horario para una pyme alicantina no requiere terminales biométricos ni semanas de implantación. Te contamos cómo dejar el fichaje operativo en una mañana, qué criterios mirar y por qué fichar por WhatsApp con IA cambia el juego. Por Softnet Sistemas, partner de FicharConMovil en Alicante.

Implantar un ERP en una pyme sin morir en el intento: la guía honesta de 2026

por Ventura | May 11, 2026 | Novedades

El 40% de los proyectos ERP en pymes españolas fracasa o se eterniza. Te contamos las 5 fases imprescindibles para implantar un ERP en tu pyme alicantina sin perder meses, dinero ni a tu equipo en el intento. La guía honesta que no te cuentan en la web del fabricante.

Andrés llevaba veinte años al frente de una empresa de distribución alimentaria en Alicante. Veinte años con sus Excel, sus carpetas compartidas, sus albaranes en papel y un sistema de pedidos que solo entendía él. En enero de 2025 decidió que ya estaba bien. Contrató un ERP «de los buenos», firmó un proyecto de cuatro meses y se prometió que en mayo entraría en producción con todo limpio.

En noviembre de 2025, diez meses después, seguía sin entrar en producción. Habían migrado los datos tres veces, dos comerciales habían dimitido por hartazgo, el presupuesto se había duplicado y nadie en la empresa quería oír hablar del nuevo sistema. Hicieron lo que hace el 40% de las pymes españolas en su situación: aparcaron el proyecto y volvieron a Excel.

Esta es la historia que no te cuentan en la web del fabricante. Y es, exactamente, la que vamos a evitar en este artículo.

Por qué el 40% de los proyectos ERP fracasa antes de arrancar

Los datos son crudos. Según un estudio europeo reciente sobre proyectos de implantación de ERP en pymes (con una muestra mayoritariamente española), solo el 22% de las empresas que arrancan un proyecto consigue completarlo. El resto se reparte entre proyectos parados (27,7%), proyectos aplazados sine die (14,6%) y un dramático «estamos en ello» que se eterniza (35,7%).

De las que llegan al final, el panorama tampoco es idílico:

El 53,2% reconoció que el coste total fue mayor del previsto.
El 63,8% encontró obstáculos serios durante la implantación.
Más de un tercio tardó significativamente más de lo planificado.

Pero aquí está el dato que cambia la conversación: el mayor error no es elegir mal la herramienta. El mayor error es implantar sin método. Un ERP no transforma una empresa caótica; la amplifica. Si los datos maestros están sucios, los permisos sin definir y los flujos reales no están mapeados, el ERP convertirá ese caos en un caos digital más caro y más rápido. Y la pyme volverá a Excel en cuestión de semanas.

Las 5 fases imprescindibles de una implantación que sí funciona

En Softnet llevamos desde 1996 implantando software de gestión en pymes alicantinas. Hemos vivido proyectos brillantes y hemos visto desastres ajenos que hemos tenido que reconstruir después. La diferencia entre unos y otros nunca está en la marca del ERP. Está en estas cinco fases.

1. Diagnóstico real (no maquillado) de los procesos

Antes de firmar nada, hay que poner sobre la mesa cómo se trabaja de verdad. No cómo se debería trabajar. No cómo dice el manual. Cómo se trabaja un martes a las cinco de la tarde con tres llamadas a la vez. Si saltas esta fase, el ERP se diseña sobre una ficción y la realidad se cuela en cuanto entra el primer pedido raro.

2. Limpieza y consolidación de datos maestros

Clientes duplicados, artículos con tres referencias distintas, proveedores fantasma, precios sin actualizar. Antes de migrar, hay que sanear. Es la fase más aburrida del proyecto y la que más recortes sufre. Es también la que decide el éxito.

3. Configuración por fases, no big bang

El «lo encendemos todo el lunes» es la receta más rápida para el fracaso. Lo que funciona es entrar por módulos: primero ventas y facturación, después compras y stock, después contabilidad y reporting. Cada fase con su periodo de estabilización. Cada fase con la anterior ya digerida.

4. Formación honesta y continua

No basta con dos jornadas formativas la semana antes del arranque. La gente aprende usando, no escuchando. Hay que prever sesiones cortas, repetidas, con casos reales del día a día y con una figura clave: el usuario referente de cada departamento. Esa persona que resuelve dudas internas y filtra al consultor lo que de verdad importa.

5. Gestión del cambio (lo que casi nadie hace)

Un ERP cambia hábitos arraigados, redistribuye poder dentro de la empresa y obliga a hacer visible lo que antes era opaco. Sin un plan explícito para acompañar ese cambio, la resistencia interna mata el proyecto. No por mala fe, por agotamiento.

Lo que casi nadie te cuenta sobre el tiempo y el coste

Un proyecto ERP en una pyme alicantina de tamaño medio dura, de forma realista, entre seis y doce meses desde el contrato hasta el cierre del primer trimestre estable. Cualquiera que te prometa «tres meses llave en mano» o está vendiéndote un producto muy estándar (lo cual puede estar bien) o está mintiendo.

El coste real no es solo la licencia. Hay que sumar consultoría, parametrización, migración, formación, horas internas del equipo (que sí cuentan), y un colchón del 20% para imprevistos que aparecerán. No es opcional. Aparecerán.

Las 3 banderas rojas al elegir partner

Más importante que el ERP es quién lo implanta. Estas son las señales que deberían hacerte salir corriendo:

El consultor que solo habla de funcionalidades y nunca pregunta cómo trabajas. Si no te entrevista a fondo antes de presupuestar, va a venderte el producto, no la solución.
El presupuesto cerrado a la primera. Un proyecto serio se desglosa por fases con hitos y entregables. Un «todo incluido» sin detalle suele significar «cuando aparezca lo imprevisto, lo facturamos aparte».
La ausencia de plan de migración por escrito. Si tu partner no te entrega un documento concreto sobre qué datos migrarán, en qué orden y con qué validaciones, está improvisando.

Conclusión: el ERP que se queda es el que se planifica bien

Implantar un ERP en una pyme no es un proyecto tecnológico. Es un proyecto de empresa que se apoya en tecnología. La diferencia no la hace el software; la hace la hoja de ruta. Diagnóstico, limpieza, fases, formación y gestión del cambio. En ese orden, con esos tiempos, con un partner que te acompañe en lugar de venderte.

En Softnet llevamos casi tres décadas ayudando a pymes de Alicante a dar este salto sin pasar por el infierno de los proyectos que naufragan. Trabajamos con Ahora ERP, Holded y otros sistemas que se adaptan al tamaño y la realidad de cada empresa, con un método propio de implantación por fases que reduce drásticamente el riesgo.

Si estás valorando implantar un ERP en tu empresa, o si ya tienes uno que no acaba de funcionar y necesitas reorientarlo, cuéntanos tu caso. Una conversación honesta puede ahorrarte meses, dinero y unos cuantos disgustos.

Configuración de NAS Synology para empresas en Alicante: guía 2026 con DSM 7.2, Active Backup y Hyper Backup

por Ventura | May 9, 2026 | Novedades, Servicios

Guía técnica 2026 para configurar un NAS Synology DS923+, DS1522+ o DS1821+ en una pyme alicantina: DSM 7.2, RAID, Active Backup for Business, Hyper Backup, snapshots inmutables y acceso remoto seguro. Por Softnet Sistemas, partner Synology en Alicante.

12 herramientas B2B imprescindibles para una pyme en Alicante en 2026: ERP, CRM, ciberseguridad y automatización

por Ventura | May 9, 2026 | IA, Novedades, Servicios

Las 12 herramientas B2B que toda pyme alicantina debería tener operativas en 2026 — ERP, CRM, ciberseguridad, copias de seguridad, automatización con IA, comunicaciones y analytics — con precios orientativos, casos de uso y recomendación Softnet.

Configuración de Barco ClickShare en empresas: guía 2026 para pymes y oficinas profesionales

por Ventura | May 9, 2026 | Novedades, Servicios

Guía práctica 2026 para configurar Barco ClickShare en pymes y oficinas: gama actual (CX, CSE, C-Series), instalación, integración con Microsoft Teams Rooms y Zoom Rooms, buenas prácticas de seguridad y errores frecuentes. Por Softnet Sistemas, partner Barco en Alicante.

Copias de seguridad para pymes en Alicante: por qué la regla 3-2-1 ya no es suficiente en 2026

por Ventura | May 4, 2026 | Novedades

El 31% de las pymes españolas sufrió un ataque de ransomware el último año. Te explicamos por qué la regla 3-2-1 ya no basta y cómo proteger tu pyme alicantina con backup inmutable, copias offsite y restauraciones verificadas siguiendo el nuevo estándar 3-2-1-1-0.

Eran las seis y veinte de la mañana de un viernes cuando a Pablo, gerente de una empresa de distribución de recambios industriales con sede en Elche, le sonó el móvil. Era la responsable administrativa, llorando. El servidor no respondía. La carpeta compartida había desaparecido. Y en el escritorio de cada ordenador había un fichero de texto pidiendo 18.000 euros en bitcoin para devolverles los datos.

Pablo se vistió en silencio. Sabía que tenía copias de seguridad. Pagaba religiosamente cada mes a un proveedor por un sistema NAS conectado al servidor que hacía backup automático cada noche. Llegó a la oficina, encendió las luces, fue al cuarto técnico y se encontró con el problema. El ransomware también había cifrado el NAS. El sistema de copias estaba encriptado. La nube que subía las copias semanales también, porque las credenciales estaban guardadas en el servidor. Y la última copia limpia que pudieron rescatar, en un disco duro que un técnico se llevó por casualidad a casa, era de hacía siete meses.

Pablo no es un caso aislado. Es uno de los 1.024.303 empresarios españoles que sufrieron un ataque de ransomware en 2025, según los datos publicados por INCIBE en febrero de 2026. Y su error no fue no tener copias de seguridad. Su error fue confiar en una regla que llevaba veinte años funcionando y que, en 2026, ya no es suficiente.

El estado real del ransomware en pymes españolas en 2026

Los números que ha publicado INCIBE en su balance de ciberseguridad son contundentes: 122.223 incidentes gestionados en 2025, un 26% más que el año anterior, con 392 casos clasificados como ransomware contra empresas. El crecimiento del ransomware específicamente contra pymes españolas durante 2025 fue del 40%.

El dato más demoledor para una pyme alicantina cualquiera es este: el 31% de las pymes españolas ha sufrido un ataque de ransomware en los últimos doce meses. Casi una de cada tres. Y de las que pagaron el rescate (porque sí, hay quien paga), solo el 57% recuperó parte o la totalidad de sus datos. El otro 43% pagó y se quedó sin nada.

Por eso el 86% de las pymes españolas que sufren un ataque acaban tirando de copias de seguridad para intentar recuperarse. El problema no es si tienes backup o no. El problema es qué tipo de backup tienes y si vas a poder usarlo cuando lo necesites.

Por qué la regla 3-2-1 clásica ya no es suficiente

Durante dos décadas, la recomendación estándar en ciberseguridad ha sido la regla 3-2-1. Probablemente la conoces aunque no la llames así.

La regla 3-2-1 explicada

La regla original dice algo muy sencillo:

3 copias de cada dato importante (el original más dos backups).
2 medios distintos de almacenamiento (por ejemplo, un disco interno y un NAS, o un servidor y la nube).
1 copia fuera de la oficina, en otra ubicación física o en la nube.

Funcionaba muy bien cuando los riesgos eran un disco que se rompía, un incendio en el local o un empleado que borraba la carpeta equivocada. Pero el ransomware moderno de 2026 no se comporta así.

Por qué el ransomware moderno la rompe

El malware que circula hoy entra normalmente por correo o por una VPN mal configurada, se mueve lateralmente por la red durante días o semanas sin que nadie lo note, identifica el sistema de copias de seguridad y cifra los backups antes de cifrar el servidor de producción. Cuando saltan las alarmas, ya no hay copias limpias a las que volver.

Si tu NAS está conectado al servidor y montado como unidad de red, el ransomware cifra el NAS. Si tu copia en la nube usa credenciales guardadas en el equipo infectado, el ransomware borra o cifra también esa copia. Si tu disco USB está enchufado permanentemente, igual. La regla 3-2-1 cumplida al pie de la letra puede dejarte sin nada.

La regla 3-2-1-1-0: el nuevo estándar para pymes en 2026

La industria de la ciberseguridad lleva un par de años empujando una evolución de la regla clásica que se ha convertido ya en estándar de hecho. Se llama 3-2-1-1-0 y la recomienda explícitamente la CISA estadounidense, INCIBE, y prácticamente todos los fabricantes serios de soluciones de backup.

3 copias y 2 medios distintos

Se mantienen igual que en la regla original. Sigue siendo el cimiento.

1 copia offsite

Tiene que estar fuera del edificio. La nube cuenta. Un disco que un empleado se lleva a casa cada viernes también cuenta, aunque es manual y se olvida. La opción profesional es un servicio de backup gestionado en la nube con cifrado en origen.

1 copia inmutable (la pieza nueva)

Esta es la diferencia que cambia el juego. Una copia inmutable es una copia que no puede modificarse ni borrarse durante un periodo de tiempo definido, ni siquiera por el administrador del sistema. Tecnologías como Object Lock en almacenamiento S3, snapshots inmutables en NAS Synology o QNAP, o servicios especializados como Veeam, Acronis o N-able implementan esta inmutabilidad.

Cuando el ransomware llega a tu sistema, puede cifrar todo lo que toque. Pero la copia inmutable es intocable. Aunque el atacante consiga credenciales de administrador, no puede borrarla. Es la única garantía real de que vas a poder restaurar.

0 errores en la restauración

El último número es el más olvidado y el más importante. Significa que las copias deben verificarse automáticamente con pruebas de restauración periódicas. Una copia que no se ha probado nunca no es una copia: es una esperanza. Y en ciberseguridad, la esperanza no es una estrategia.

Cómo aplicar la regla 3-2-1-1-0 en una pyme de Alicante sin morir en el intento

Llevamos casi treinta años trabajando con pymes en la provincia de Alicante y sabemos que el discurso técnico no sirve si no se traduce en pasos concretos. Esto es lo que recomendamos:

Auditar lo que tienes hoy. Antes de comprar nada, hay que saber qué se está copiando, dónde, con qué frecuencia y desde cuándo nadie ha probado a restaurar. La sorpresa habitual: hay copias programadas que llevan meses fallando sin que nadie se entere.
Decidir qué hay que proteger. No todo tiene el mismo valor. La base de datos del ERP, las facturas, los contratos firmados y el correo son crítico-críticos. Los archivos de marketing del año pasado, no tanto.
Implementar una capa local + una capa cloud. Backup local rápido para restauraciones diarias y backup en la nube para el caso catastrófico, con cifrado AES-256 en origen.
Activar inmutabilidad en al menos una capa. Si el proveedor de backup no soporta inmutabilidad real (Object Lock, snapshots inmutables, retención fija), hay que cambiar de proveedor. No hay alternativa.
Programar pruebas de restauración trimestrales. Restaurar una máquina virtual completa en un entorno aislado, comprobar que arranca, comprobar que el ERP funciona. Documentar el resultado.
Aislar las credenciales de backup. El usuario que ejecuta las copias debe ser distinto del administrador del dominio y sus credenciales no deben estar guardadas en el servidor de producción.

El error más caro: no probar nunca las restauraciones

De cada diez auditorías que hacemos en pymes alicantinas con problemas de backup, en ocho encontramos el mismo patrón: hay copias, parecen completas, el log pone «OK» todas las noches, y cuando intentas restaurar descubres que la base de datos del ERP nunca se llegó a copiar correctamente, o que el job se quedó congelado hace cuatro meses, o que el formato de la copia es incompatible con la versión actual del software.

Probar las restauraciones cada trimestre, en un entorno aislado y con todas las dependencias, es la única forma seria de saber que el sistema funciona. Es aburrido, no genera factura nueva, y no se ve hasta que llega el día negro. Por eso casi nadie lo hace. Por eso casi nadie recupera bien.

Conclusión: el backup es el último seguro de tu empresa

El ransomware no es una hipótesis remota. Es una realidad estadística que afecta a una de cada tres pymes españolas cada año. Las pólizas de ciberseguro, los antivirus de última generación y el firewall son capas necesarias, pero la última línea de defensa siempre va a ser una copia de seguridad inmutable, offsite y verificada. Si esa copia falla, no hay póliza que cubra los datos perdidos.

Si tu pyme está en Alicante o en la provincia y quieres que alguien revise tu sistema de copias actual, te diga sin rodeos en qué punto estás respecto a la regla 3-2-1-1-0 y te proponga cómo cerrar las brechas reales sin sobredimensionar el presupuesto, en Softnet Sistemas llevamos casi tres décadas haciendo exactamente eso para empresas locales.

Solicita una auditoría gratuita de tu sistema de copias de seguridad →