Les petites i mitjanes empreses han deixat de ser un objectiu secundari per als ciberdelinqüents. Avui representen més del 60% de les víctimes d'atacs informàtics a l'Estat espanyol, precisament perquè disposen de dades valuoses però sovint no compten amb els recursos de seguretat de les grans corporacions. Conèixer les amenaces més comunes és el primer pas per defensar-se eficaçment.

1. Phishing i enginyeria social: quan l'atac arriba per correu

El phishing continua sent l'entrada més habitual dels ciberatacants a les empreses. La tècnica és senzilla però devastadora: l'atacant envia un correu electrònic que aparenta provenir d'una entitat de confiança —el banc de l'empresa, un proveïdor habitual, Correos, l'Agència Tributària o fins i tot el director general— i convida el destinatari a fer clic en un enllaç o obrir un fitxer adjunt.

El 2026, els atacs de phishing s'han tornat molt més sofisticats gràcies a la intel·ligència artificial generativa. Els missatges ja no contenen les faltes d'ortografia que abans els delataven: estan redactats en un català o castellà perfecte, i de vegades inclouen dades reals de l'empresa per guanyar credibilitat. Alguns exemples documentats inclouen correus que imiten exactament la plantilla visual d'un banc, missatges que mencionen una factura pendent amb el nom real del proveïdor, o comunicacions que simulen ser de Recursos Humans amb una nòmina adjunta.

Per detectar-los, cal fixar-se en:

  • L'adreça de correu del remitent (no el nom que es mostra, sinó el domini real).
  • Enllaços que quan es passen el cursor per sobre mostren un domini diferent al esperat.
  • Missatges que generen urgència artificial: "El teu compte serà bloquejat en 24 hores".
  • Sol·licituds de credencials o dades bancàries per qualsevol canal digital.

2. Ransomware: quan et prenen les dades com a ostatge

El ransomware és un tipus de programari maliciós que xifra tots els fitxers de l'empresa i exigeix un rescat —habitualment en criptomonedes— per facilitar la clau de desxifrat. En els últims anys, els atacants han perfeccionat la tàctica amb el que s'anomena doble extorsió: primer xifren les dades i, a continuació, amenacen de publicar-les si no es paga el rescat, afegint pressió sobre empreses que gestionen dades de clients o informació confidencial.

Un atac de ransomware pot paralitzar completament una empresa durant dies o setmanes. Els costos no es limiten al rescat (que pot oscil·lar entre milers i centenars de milers d'euros): cal afegir-hi la pèrdua de productivitat, la recuperació de sistemes, possibles sancions per incompliment del RGPD i el dany reputacional.

La defensa fonamental contra el ransomware és una política de còpies de seguretat sòlida: còpies diàries, emmagatzemades en un lloc físicament i lògicament separat dels sistemes principals (la regla 3-2-1: tres còpies, en dos suports diferents, una fora de les instal·lacions), i verificació periòdica que la restauració funciona realment.

3. Atacs a la cadena de subministrament: el risc que ve dels teus proveïdors

Un dels vectors d'atac amb més creixement en els últims anys és la cadena de subministrament. La lògica és perversa però eficaç: si l'empresa objectiu és difícil d'atacar directament, els criminals comprometen un proveïdor de confiança —una empresa de software, un integrador tecnològic, fins i tot un servei de comptabilitat externalitzat— i des d'allà accedeixen als seus clients.

L'exemple més cèlebre és el cas SolarWinds el 2020, on atacants van inserir codi maliciós en una actualització de software legítima que va arribar a milers d'organitzacions. Per a les PIMES, el risc és real: un proveïdor de gestió informàtica que tingui accés remot als vostres sistemes, o un software de facturació que s'actualitzi automàticament, poden convertir-se en vectors d'entrada.

Les mesures preventives inclouen revisar els permisos d'accés que té cada proveïdor, aplicar el principi de mínim privilegi, i exigir als proveïdors tecnològics garanties de seguretat documentades.

4. Contrasenyes febles i reutilitzades: el forat més fàcil d'explotar

Malgrat anys d'advertències, les contrasenyes febles i reutilitzades continuen sent una de les principals causes de bretxes de seguretat. El problema s'accentua amb el credential stuffing: quan una base de dades d'un servei extern és compromesa i les credencials filtrades es venen a la darkweb, els atacants les proven automàticament en centenars d'altres serveis. Si un empleat utilitza la mateixa contrasenya per a Gmail, LinkedIn i el correu corporatiu, un filtrament en qualsevol d'aquests serveis obre la porta a l'empresa.

Les solucions concretes passen per:

  • Gestors de contrasenyes corporatius (Bitwarden, 1Password, Keeper) que permeten generar i emmagatzemar contrasenyes úniques i complexes sense memoritzar-les.
  • Autenticació multifactor (MFA) en tots els serveis crítics: correu corporatiu, VPN, ERP, banques en línia. El MFA per sí sol bloqueja el 99,9% dels atacs automatitzats de credencials, segons Microsoft.
  • Política d'empresa que prohibeixi expressament la reutilització de contrasenyes i estableixi requisits mínims de complexitat.

5. Vulnerabilitats de programari sense actualitzar: el forat que mai es tanca

Cada dia es descobreixen noves vulnerabilitats en sistemes operatius, aplicacions i dispositius de xarxa. Els fabricants publiquen pedaços (patches) per corregir-les, però si les empreses no els apliquen a temps, queden exposades. L'estadística és contundent: el 60% dels atacs reeixits s'aprofiten de vulnerabilitats que ja tenien pegat disponible en el moment de l'atac.

El cas WannaCry el 2017 n'és l'exemple paradigmàtic: va infectar centenars de milers d'equips Windows explotant una vulnerabilitat per a la qual Microsoft havia publicat un pegat dos mesos abans. Les empreses que no havien actualitzat els seus sistemes van patir pèrdues milionàries.

El 2026, les vulnerabilitats de zero-day (aquelles per a les quals encara no existeix pegat) estan reservades als atacants més sofisticats. La gran majoria d'atacs contra PIMES exploten vulnerabilitats antigues i conegudes, cosa que fa de les actualitzacions regulars una de les mesures preventives més efectives i econòmiques que existeixen.

Una política d'actualitzacions eficaç inclou: aplicar pedaços de seguretat crítics en un màxim de 72 hores des de la publicació, programar les actualitzacions fora de l'horari laboral per minimitzar les interrupcions, i incloure no només els ordinadors sinó també els routers, firewalls, NAS i qualsevol altre dispositiu connectat a la xarxa corporativa.

Tens dubtes sobre ciberseguretat a la teva empresa? A PATH t'ajudem a avaluar la situació i a implementar les mesures adequades. Contacta'ns sense compromís.