La ciberseguridad de las pequeñas y medianas empresas no se está rompiendo, según SonicWall, por ataques imposibles de detener ni por amenazas futuristas reservadas a grandes potencias. Se está rompiendo, sobre todo, por errores básicos, repetidos y evitables. Esa es la idea central del Cyber Protect Report 2026, con el que la compañía ha decidido cambiar el enfoque de sus informes anuales: menos lista de amenazas y más atención a los fallos operativos que acaban abriendo la puerta a una brecha.
El giro no es menor. SonicWall sostiene que el problema principal para muchas pymes no es que los atacantes sean invencibles, sino que siguen existiendo huecos muy previsibles en autenticación, parcheo, segmentación de red, acceso remoto o monitorización. El informe, basado en datos de una red global de más de un millón de sensores de seguridad, intenta precisamente traducir la inteligencia de amenazas a un lenguaje más cercano al negocio: qué decisiones, o qué falta de decisiones, terminan costando dinero, tiempo y continuidad operativa.
Un panorama más automatizado, más ruidoso y más agresivo
Las cifras que acompasan ese mensaje muestran un entorno de presión creciente. SonicWall afirma que los ataques de severidad alta y media aumentaron un 20,8 % en 2025 hasta superar los 13.000 millones de impactos, mientras que los bots automatizados generan ya más de 36.000 escaneos de vulnerabilidades por segundo y el tráfico de bots maliciosos representa por sí solo el 37 % del tráfico global de Internet. El informe también señala que los ataques contra IoT crecieron un 11 % hasta unos 610 millones y que Log4j siguió generando 824,9 millones de eventos IPS cuatro años después de su divulgación pública.
Pero donde SonicWall quiere poner el foco no es solo en el volumen, sino en el tipo de exposición. La compañía asegura que los compromisos de identidad, nube y credenciales representan el 85 % de las alertas de seguridad accionables, un dato que refuerza su tesis de que la contraseña robada sigue siendo una herramienta mucho más útil para los atacantes que el zero-day exótico. En paralelo, el informe sostiene que el 88 % de las brechas en pymes durante 2025 incluyó ransomware, una proporción más del doble que la observada en grandes empresas.
Los siete pecados capitales de la ciberseguridad
A partir de ese análisis, SonicWall estructura su informe alrededor de lo que llama los Seven Deadly Sins of Cybersecurity, siete fallos operativos que, según la compañía, aparecen una y otra vez en investigaciones de incidentes y auditorías de seguridad. El primero es ignorar los fundamentos: autenticación débil, sistemas sin parchear y privilegios excesivos siguen siendo la superficie de ataque más rentable. El segundo es la falsa confianza, esa sensación de que una pyme es demasiado pequeña para ser objetivo serio o de que sus controles ya son suficientes sin haberlos probado de verdad.
El tercero es el acceso sobreexpuesto, con redes planas, reglas demasiado permisivas y confianza implícita una vez que el usuario se autentica. El cuarto es una postura reactiva, sin monitorización 24/7 ni threat hunting proactivo. SonicWall sitúa aquí un dato muy llamativo: una brecha tarda de media 181 días en detectarse. Channel Insider, al resumir el mismo informe, añade otro matiz especialmente preocupante: el 44 % de las alertas de seguridad no llega a investigarse por el exceso de ruido.
El quinto pecado es tomar decisiones de seguridad dictadas por el coste a corto plazo, aplazando inversiones que después vuelven en forma de incidente y recuperación. SonicWall cifra en 4,91 millones de dólares el coste que puede superar una sola brecha en una pyme cuando se suman inactividad y recuperación. El sexto es la dependencia de modelos de acceso heredados, sobre todo VPN tradicionales que autentican una vez y abren demasiado acceso: el informe habla de un crecimiento del 82,5 % en vulnerabilidades CVE ligadas a VPN durante el periodo analizado. El séptimo y último es perseguir el hype en lugar de la ejecución, es decir, comprar herramientas nuevas sin desplegarlas bien y esperar que la tecnología compense carencias de proceso.
España aparece como uno de los puntos más presionados de Europa
Para el mercado español, SonicWall ha añadido un ángulo especialmente duro. En la versión localizada del anuncio, la compañía afirma que España fue el país europeo con mayor intensidad de ataques por dispositivo entre los analizados en 2025, superando a Alemania, Italia, Reino Unido y Francia, e incluso a Estados Unidos en esa métrica concreta. También asegura que el volumen de intentos de intrusión detectados por IPS en España creció un 119,8 % interanual, el mayor incremento entre los mercados europeos examinados.
Además, SonicWall sostiene que los ataques web dominaron claramente el panorama en España: el 82 % de toda la actividad de intrusión tuvo como objetivo infraestructura web, con 335,7 millones de detecciones atribuidas a esa categoría. La compañía describe esta presión como un asalto sostenido y técnicamente diverso contra la infraestructura pública orientada a Internet. Aunque el dato procede de un informe de proveedor y conviene leerlo con ese contexto, sí dibuja un escenario de exposición especialmente relevante para empresas españolas con portales, servicios y aplicaciones web accesibles desde el exterior.
Más que un informe de amenazas, un mensaje para directivos y MSP
El enfoque del informe también responde a una intención comercial clara. SonicWall explica que esta edición está diseñada para ayudar a MSP y MSSP a mantener conversaciones más estratégicas con responsables de pymes, traduciendo el lenguaje técnico a impacto empresarial. Eso no resta interés al contenido, pero sí obliga a leerlo con una cierta distancia: no es una auditoría neutral del mercado, sino un documento de proveedor que intenta reordenar el relato de la ciberseguridad alrededor de la ejecución, la higiene operativa y la protección medible.
Aun así, el diagnóstico toca una verdad incómoda que trasciende a SonicWall. Muchas organizaciones siguen buscando la herramienta milagrosa mientras mantienen contraseñas débiles, acceso remoto heredado, monitorización insuficiente y redes mal segmentadas. Y si el informe acierta en algo, es en recordar que una parte muy importante del riesgo sigue viniendo de ahí. No de una amenaza imposible de imaginar, sino de tareas de seguridad que se conocen desde hace años y que demasiadas veces se posponen hasta que ya es tarde.
Preguntas frecuentes
¿Qué son los “siete pecados capitales” de la ciberseguridad según SonicWall?
Son siete fallos operativos recurrentes que, según SonicWall, explican buena parte de las brechas en pymes: ignorar fundamentos, falsa confianza, acceso sobreexpuesto, postura reactiva, decisiones guiadas por coste, dependencia de accesos heredados y perseguir modas en lugar de ejecutar bien.
¿Qué dato del informe resulta más preocupante para las pymes?
Uno de los más duros es que el 88 % de las brechas en pymes durante 2025 incluyó ransomware, más del doble de la tasa observada en grandes empresas, según SonicWall.
¿Por qué SonicWall insiste tanto en las credenciales y no en los zero-day?
Porque el informe asegura que el 85 % de las alertas de seguridad accionables están ligadas a compromisos de identidad, nube y credenciales. La tesis es que la contraseña robada sigue siendo una de las armas más eficaces del atacante.
¿Qué dice SonicWall sobre España en este informe?
En su versión localizada, la compañía afirma que España fue el país europeo con mayor intensidad de ataques por dispositivo en 2025 y que el tráfico malicioso contra infraestructura web pública fue especialmente elevado.
