Panorama de amenazas para pymes en 2026: phishing, estafas y herramientas de IA falsas

Las pymes continúan siendo objetivos atractivos para los cibercriminales, tanto en ciberataques masivos como en campañas sofisticadas dirigidas a grandes empresas mediante ataques que explotan las relaciones de confianza. A la vez, las empresas más pequeñas carecen de políticas sólidas de ciberseguridad y de los recursos necesarios para protegerse frente a un panorama de amenazas en constante evolución.

Kaspersky sostiene que la concienciación permite a las pymes desarrollar estrategias de protección eficaces. Con motivo del Día Internacional de las Pymes (27 de junio), Kaspersky presenta los resultados de su análisis de amenazas 2026 para pymes, que incluye casos reales.

Hallazgos clave

• Entre enero y abril de 2026, las soluciones de Kaspersky detectaron más de 33 300 ciberataques contra pymes que se hacían pasar por herramientas populares de IA: casi cinco veces más que en 2025 y un 39% más que la cantidad de ataques camuflados como herramientas de oficina y colaboración, objeto principal de la investigación de Kaspersky.
• Los mensajeros y servicios de comunicación continúan siendo el señuelo predominante, con casi 415 000 ataques que empleaban aplicaciones de mensajería y software de videoconferencia falsos.
• Los atacantes capitalizan las tendencias: las herramientas de IA Claude y OpenClaw (antes llamado ClawdBot/MoltBot), que ganaron popularidad en 2026, figuraron entre los señuelos más utilizados.
• Los estafadores recurren a herramientas de IA falsas para defraudar a las empresas, y las cuentas en redes sociales tampoco escapan a la mira de los atacantes.
• La mayoría de los accesos iniciales a infraestructuras corporativas que se venden en la dark web corresponden, según se afirma, a pymes. Esto se debe a que las pymes suelen tener medidas de seguridad menos estrictas que las grandes empresas, pero al mismo tiempo actúan como proveedores de confianza para estas últimas.

Malware y aplicaciones potencialmente no deseadas (PUA) disfrazadas de servicios populares

Los investigadores de Kaspersky analizaron datos de Kaspersky Security Network (KSN) para determinar la frecuencia con la que archivos maliciosos y no deseados se hacen pasar por aplicaciones legítimas cuyo uso es común en las pymes. KSN es una plataforma que procesa datos anonimizados sobre ciberamenazas, que los usuarios de Kaspersky han aportado de forma voluntaria. Este apartado del informe se basa en datos anonimizados procedentes de los usuarios de soluciones Kaspersky para pymes.

Según una encuesta del Small Business & Entrepreneurship Council (SBE Council), los propietarios de pequeñas empresas continúan adoptando la inteligencia artificial (IA) y la transformación digital, a tiempo que mantienen, en general, una perspectiva positiva sobre la economía. Los actores de amenazas también conocen las expectativas generadas en torno a la IA y las explotan en su beneficio. En particular, distribuyen ciberamenazas haciéndose pasar por servicios de IA populares.

De enero a abril de 2026, las soluciones de Kaspersky detectaron 33 352 ataques contra usuarios de pymes en los que malware o aplicaciones potencialmente no deseadas para PC se hacían pasar por cinco servicios populares de IA. Esta cifra supone un incremento de casi cinco veces respecto al año anterior. Esto evidencia una tendencia creciente en que los actores de amenazas instrumentalizan la confianza depositada en plataformas y servicios de IA de amplio uso, sobre todo en los populares como Claude. Los expertos de Kaspersky recomiendan descargar aplicaciones solo desde fuentes oficiales y verificar su disponibilidad según la plataforma.

En los primeros cuatro meses de 2026, los investigadores de Kaspersky identificaron más de 1100 muestras únicas de malware y PUA en el sector pyme que simulaban ser aplicaciones de IA populares, un aumento del 21% respecto al mismo periodo de 2025. La mayoría de las muestras eran variantes de Trojware (troyanos y malware de comportamiento similar), incluidas aquellas con capacidad para descargar y ejecutar carga útil adicional en dispositivos comprometidos. El Trojware se hace pasar por archivos inofensivos para inducir a los usuarios a instalarlo. Su funcionalidad varía según el tipo específico de Trojware. Entre sus acciones figuran el robo, eliminación, bloqueo, modificación o copia de datos de usuarios, además de otras actividades maliciosas. El Trojware constituye, por tanto, una ciberamenaza de alto riesgo para emprendedores y empresas.

Los expertos de Kaspersky también destacan la evolución continua del panorama de amenazas, que se caracteriza por la aparición incesante de nuevos señuelos. Por ejemplo, en los primeros cuatro meses de 2026, las soluciones de Kaspersky bloquearon cientos de ataques donde malware o PUA para PC simulaban ser OpenClaw (antes conocido como Clawdbot o Moltbot).

Otros señuelos contra pymes: aplicaciones de comunicación y software de oficina falso

Los analistas de Kaspersky examinaron cómo los atacantes utilizan otras aplicaciones legítimas como señuelos para comprometer a las pymes. Por ejemplo, entre enero y abril de 2026, las soluciones de Kaspersky bloquearon 414 736 ataques contra usuarios de pymes donde software malicioso o PUA para PC simulaban ser las aplicaciones de comunicación populares que analizamos en este informe. El número de ataques apenas varió respecto al año anterior, lo que indica que las aplicaciones de comunicación falsas continúan siendo un vector de amenaza crítico.

Las aplicaciones de oficina y plataformas colaborativas falsas continúan figurando entre los señuelos que los atacantes emplean para afectar a las pymes. La telemetría de Kaspersky registró más de 24 000 ataques entre enero y abril de 2026, donde malware o PUA para PC simulaban ser aplicaciones de oficina.

En 2026, los ciberdelincuentes usan cebos temáticos de inteligencia artificial con mayor frecuencia que herramientas de oficina o suites colaborativas tradicionales. No obstante, los expertos de Kaspersky advierten que mientras mayor sea la atención y expectativa que genere una herramienta, mayor será la probabilidad de que los usuarios encuentren paquetes falsos en internet.

Estafadores y phishers engañan a las víctimas para obtener credenciales y fondos

En 2026, los investigadores de Kaspersky documentaron una amplia variedad de campañas de phishing y estafas contra empresas y emprendedores. Los estafadores suplantan servicios financieros, de IA y otras plataformas para robar credenciales, datos personales y fondos.

En el siguiente ejemplo, los estafadores se hacen pasar por un banco que dice ofrecer servicios empresariales (en otros esquemas similares, ofrecen préstamos comerciales). Los emprendedores reciben la instrucción de visitar un sitio web fraudulento e ingresar sus datos para abrir una cuenta empresarial. Los datos solicitados varían según la estafa, pero suelen incluir nombre, correo electrónico, teléfono, número de seguridad social, fecha de nacimiento y domicilio. Más adelante, los estafadores pueden utilizar estos datos para sus fraudes o venderlos en la dark web.

Los expertos de Kaspersky aconsejan no apresurarse a ingresar datos en un sitio de este tipo. Primero, verifíquelo. ¿La organización financiera mencionada existe realmente? ¿Cuál es la antigüedad del dominio? Consulte los registros WHOIS y las reseñas de usuarios antes de introducir cualquier información en el sitio.

Ejemplo de página fraudulenta contra emprendedores

Como ocurre con otras ciberamenazas, los servicios de IA también se utilizan como señuelo en estafas. Por ejemplo, los expertos de Kaspersky identificaron un sitio web fraudulento que promocionaba un servicio de IA “diseñado para contratistas”. Según el texto de la página fraudulenta, la herramienta ayuda con “presupuestos, facturas y cronogramas”. Sin embargo, en estos esquemas de estafa las víctimas no reciben ningún servicio tras pagar la suscripción, mientras los estafadores se apropian del dinero.

Ejemplo de página fraudulenta que promociona una herramienta de IA

Los expertos de Kaspersky destacan que las cuentas empresariales en redes sociales y mensajería continúan siendo blancos prioritarios para los cibercriminales en 2026. En un caso, los phishers distribuyeron notificaciones con alertas falsas sobre las páginas empresariales de las compañías. Las notificaciones afirmaban que el sistema de revisión de Facebook había detectado conductas que constituían una grave violación de sus Normas Comunitarias y Políticas de Publicidad.

Para evitar la suspensión permanente de su página empresarial, se instaba a los propietarios a completar un formulario de apelación y proporcionar correos electrónicos personales y corporativos, teléfonos, el nombre de la página y la contraseña de la cuenta. El objetivo de los atacantes era apoderarse de las credenciales. Para reducir la desconfianza de las víctimas y aparentar legitimidad, los estafadores les enviaban un código de apelación falso.

Ejemplo de notificación falsa

Amenazas por correo: documentos falsos y explotación de plataformas legítimas

El correo electrónico continúa siendo uno de los vectores principales de ciberataques contra empresas, incluidas las pymes. En 2026, los atacantes combinaron con frecuencia el envío de correos con la explotación de plataformas legítimas de terceros. De este modo, phishers y estafadores intentan eludir los filtros de correo tradicionales y aprovechar la confianza del usuario en servicios de prestigio. Los investigadores de Kaspersky también documentaron numerosos esquemas contra usuarios corporativos donde phishers y estafadores utilizan documentos en línea falsos o reuniones inexistentes como cebo.

En un caso reciente detectado por Kaspersky, los atacantes enviaron una notificación falsa que simulaba provenir de OneDrive. La víctima era inducida a acceder al documento mediante un botón que, en realidad, redirigía a un sitio de phishing donde los usuarios exponían sus datos confidenciales. Para que el correo pareciera legítimo, los atacantes agregaron una frase diseñada para reducir la vigilancia de la víctima: “Este elemento está cifrado y se encuentra dentro de su perímetro seguro en la nube.” También analizaron la dirección de correo electrónico del destinatario y usaron los datos extraídos en el texto de la notificación falsa para que el correo pareciera una notificación estándar de este tipo de servicio: “[dominio del correo electrónico como nombre de la empresa] subió correctamente un nuevo archivo para [nombre del usuario indicado en su dirección de correo electrónico]“.

Ejemplo de esquema de phishing con documentos en línea falsos

Los atacantes también emplean otros pretextos para inducir a las víctimas a compartir información confidencial, como falsos problemas de cumplimiento normativo. En el siguiente ejemplo, los atacantes suplantaban a representantes de Apple. La notificación falsa indicaba: “Apple identificó un problema de cumplimiento relacionado con campañas de Google Ads que dirigen tráfico a páginas de productos de Apple asociadas con la cuenta de vendedor de la víctima“. No obstante, el botón del correo redirigía a un sitio de phishing diseñado para inducir a los usuarios a revelar sus datos confidenciales.

Ejemplo de notificación falsa sobre problema de cumplimiento normativo

Los expertos de Kaspersky identificaron otro esquema relevante de dos fases para robar credenciales de correo corporativo, que implicaba el envío de invitaciones a reuniones inexistentes. El esquema opera en dos fases. En la primera, el usuario corporativo recibe un correo sobre una reunión ficticia. Tras hacer clic en el botón “Aceptar invitación a reunión”, se dirige al usuario a una página legítima de Zoom Docs. En la segunda fase, se induce a la víctima a hacer clic en un hipervínculo con el texto “Haga clic aquí para aceptar la reunión”. No obstante, el hipervínculo oculta la URL de una página de phishing.

Ejemplo de correo con reunión falsa

Página de Zoom Docs con el enlace de phishing

El malware también se distribuye de forma activa por correo electrónico. En 2025, usuarios particulares y corporativos recibieron más de 144 millones de archivos adjuntos maliciosos o potencialmente no deseados, un aumento del 15% respecto al año anterior.

Los expertos de Kaspersky destacan que los señuelos en asuntos y cuerpos de correos maliciosos parecen inofensivos y poco elaborados. En el ejemplo siguiente, los atacantes apuntan a las empresas con esta solicitud falsa: “la mejor cotización para los artículos adjuntos“. No obstante, el archivo adjunto contiene un troyano.

Ejemplo de correo malicioso

Venta de acceso a infraestructura corporativa: publicaciones en la dark web

Para evaluar la actividad de los actores de amenazas, los expertos de Kaspersky Digital Footprint Intelligence analizaron cientos de publicaciones en foros de la dark web (enero-abril de 2025 y 2026) que ofrecían acceso inicial a infraestructuras corporativas. Los expertos de Kaspersky destacan que una sola publicación puede incluir múltiples ofertas de acceso a distintas empresas presuntamente comprometidas.

Ejemplo de publicación en foro de la darknet

Los corredores de acceso inicial (IAB) comercializan acceso a empresas comprometidas, por ejemplo, mediante RDP o web shells. En sus publicaciones, los IAB suelen detallar la región de las empresas presuntamente comprometidas, su sector e ingresos, y el tipo de acceso ofrecido. Los IAB venden acceso que los compradores utilizan para diversos fines, como ataques de ransomware, robo de información corporativa confidencial u otras actividades fraudulentas. El precio del acceso inicial en foros de la dark web depende de los ingresos, sector, ubicación de las empresas presuntamente comprometidas y los privilegios de acceso.

Por ejemplo, las cuentas con privilegios de administrador suelen tener un precio mayor porque otorgan a los atacantes un amplio abanico de opciones.
La investigación registró un aumento de publicaciones que ofrecían acceso inicial a empresas de distintos tamaños en Medio Oriente (+53% interanual), África (+40%) y América Latina (+17%). En contraste, las publicaciones relacionadas con empresas europeas disminuyeron un 34%. Según los expertos de Kaspersky, parte de esta disminución se explica por el cierre de un foro de la dark web que alojaba este tipo de publicaciones durante el periodo del estudio. Las publicaciones relacionadas con empresas de la región APAC también disminuyeron un poco (-4%), pero se mantuvieron en niveles significativos por segundo año consecutivo.

Asimismo, las publicaciones sin región especificada disminuyeron un 56% en 2026 respecto al año anterior. Los analistas de Kaspersky suponen que esto indica un giro hacia publicaciones de acceso inicial más específicas y diferenciadas en los IAB.

Proporción de publicaciones con ofertas de acceso inicial según tamaño de empresa

Para este estudio, los expertos de Kaspersky definieron como pequeña empresa aquella con ingresos anuales de hasta 50 millones de USD, y como mediana empresa aquella con ingresos entre 50 millones y 1000 millones de USD.

Según la investigación de Kaspersky, a principios de 2026 la proporción de publicaciones en foros de la dark web que ofrecían acceso inicial a pequeñas empresas presuntamente comprometidas superaba a la de organizaciones medianas, grandes o sin fines de lucro. No obstante, esta proporción disminuyó en los primeros cuatro meses de 2026 respecto al mismo periodo de 2025. La proporción de publicaciones sobre organizaciones medianas también se mantuvo elevada durante dos años consecutivos. En conjunto, las publicaciones con acceso inicial a sistemas corporativos de pymes representan más de la mitad del total analizado en foros de la dark web.

Asimismo, en varias publicaciones los corredores de acceso inicial no indicaron los ingresos de las empresas, lo que impidió determinar su tamaño.

Los expertos de Kaspersky destacan que, pese a la prevalencia de publicaciones sobre pequeñas empresas, los actores de amenazas suelen atacar a las medianas porque generan mayores ingresos que las pequeñas y presentan defensas de seguridad más débiles que las grandes.

Las pymes también son blanco de ataques a la cadena de confianza, que permiten a los atacantes acceder a organizaciones más grandes. Según el Informe Global de Kaspersky Security Services, la proporción de ataques a la cadena de confianza entre los vectores iniciales aumentó del 12,7% en 2024 al 15,5% en 2025. Por tanto, es equivocada la creencia de que las pymes no interesan a los atacantes. Las empresas de todos los tamaños deben comprender el panorama de ciberamenazas, cumplir las normas de ciberseguridad, implementar soluciones adecuadas y mejorar la concienciación de los empleados de forma continua.

Plan de acción de ciberseguridad para pymes

Las pymes pueden reducir riesgos y garantizar la continuidad del negocio invirtiendo en soluciones integrales de ciberseguridad y fortaleciendo la concienciación de los empleados. Para protegerse del panorama de amenazas en constante cambio, compartimos las siguientes pautas de seguridad para las empresas:

1. Defina políticas de acceso para recursos corporativos como cuentas de correo, carpetas compartidas y documentos en línea. Mantenga actualizadas las listas de acceso y revoque los permisos de inmediato cuando los empleados dejen la empresa.
2. Realice copias de seguridad periódicas de los datos críticos para garantizar la preservación de la información corporativa ante incidentes.
3. Establezca directrices claras para el uso de servicios y recursos externos. Establezca procedimientos claros para coordinar tareas específicas (como la implementación de nuevo software) con el departamento de TI y otros responsables. Elabore directrices de ciberseguridad breves y claras para los empleados, con énfasis en la administración de cuentas y contraseñas, la protección del correo y la navegación segura. Un programa de capacitación integral proporcionará a los empleados los conocimientos necesarios y la habilidad para ponerlos en práctica.
4. Eleve la conciencia de seguridad del personal. Imparta capacitaciones específicas para enseñar al personal a detectar y responder a posibles amenazas, y supervise su progreso. Las organizaciones pueden lograrlo con la plataforma Kaspersky Automated Security Awareness Platform, mediante módulos interactivos en línea y campañas de phishing simulado que fomentan hábitos sostenibles de higiene digital en todos los equipos.
5. Implemente soluciones de ciberseguridad especializadas que se ajusten a su presupuesto, tamaño y requisitos del sector, priorizando la escalabilidad y la facilidad de integración.
   1. Kaspersky Small Office Security Premium es una solución intuitiva que protege contra amenazas avanzadas y incluye acceso a capacitaciones de concienciación de seguridad para empleados, lo que la hace ideal para microempresas.
   2. Las pymes con mayor madurez en TI deberían considerar Kaspersky Next Optimum, diseñado específicamente para organizaciones en crecimiento, que ofrece protección en tiempo real, visibilidad de amenazas y capacidades de investigación y respuesta EDR y XDR.
6. Proteja su empresa contra las amenazas propagadas por correo electrónico. Kaspersky Security for Mail Server, una plataforma integral de seguridad de correo que ofrece protección robusta y multicapa a nivel de buzón y gateway, resulta ideal para esto. Impulsada por aprendizaje automático y una inteligencia de amenazas líder a nivel mundial, resuelve todos los desafíos de seguridad del correo.
7. Adopte soluciones especializadas como Kaspersky Digital Footprint Intelligence para detectar la aparición de credenciales corporativas, datos filtrados o sitios suplantadores en las capas superficial, profunda y oscura de la web. Las pymes con presupuestos limitados de seguridad de TI pueden asociarse con un Proveedor de servicios de seguridad administrada (MSSP) para acceder a este servicio integral de protección contra riesgos digitales a un precio asequible basado en suscripción.