El archivo inocente: cómo un PDF de factura infectó a 34 ordenadores en una PYME española
Historia real de un ataque de malware contra una PYME de 35 empleados en Valencia. Un PDF aparentemente inocuo. 34 ordenadores infectados. 47 días de robo silencioso de datos. 127.000 euros en pérdidas. El malware es el incidente más recurrente gestionado por el INCIBE: 55.411 ciberataques, siendo el malware el tipo más habitual.
Los nombres de empresas, personas y datos específicos han sido modificados para proteger la identidad de las partes involucradas. El caso está basado en hechos reales documentados y en datos estadísticos del INCIBE (Instituto Nacional de Ciberseguridad de España).
El archivo pesaba 847 kilobytes. Tenía el nombre de una factura real de un proveedor habitual. Y cuando Elena lo abrió a las 9:14 de la mañana del martes 3 de marzo de 2025, no pasó nada aparente. El PDF se abrió correctamente. Mostraba la factura esperada. Elena la revisó, la archivó y siguió con su trabajo. No vio ninguna ventana extraña. No recibió ningún aviso. Su ordenador no se ralentizó.
Lo que Elena no sabía es que, en el momento exacto en que el PDF se abrió, un exploit aprovechó una vulnerabilidad del lector de PDF para instalar silenciosamente un troyano bancario en su equipo. No hubo clic sospechoso. No hubo advertencia de antivirus. No hubo nada que ella pudiera haber hecho diferente con la información que tenía.
Durante los siguientes 47 días, ese troyano se propagó por la red de Tecnova Soluciones —una PYME valenciana de 35 empleados dedicada al diseño industrial— infectando 34 de sus 37 ordenadores. Robó credenciales de acceso, capturó pantallas de sesiones bancarias, extrajo bases de datos de clientes y envió toda esa información a un servidor en el extranjero. Todo sin que nadie en la empresa notara nada hasta que el banco bloqueó una transferencia sospechosa.
Esta es la historia de cómo el tipo de ciberataque más frecuente en España —el malware, que representa la mayoría de los 55.411 incidentes gestionados anualmente por el INCIBE— puede destruir una empresa sin que nadie se dé cuenta hasta que es demasiado tarde.
1 PDF
Archivo que inició la infección
34/37
Ordenadores infectados de la empresa
47 días
Tiempo de actividad silenciosa del malware
127.000 €
Pérdida total estimada del incidente
Tecnova Soluciones: una PYME como cualquier otra
Tecnova Soluciones tenía 35 empleados, una facturación de 1,8 millones de euros al año y una oficina en el polígono industrial de Paterna, Valencia. Era el tipo de empresa que define el tejido productivo español: trabajadores cualificados, clientes fidelizados, márgenes ajustados y una dependencia total de la tecnología para operar.
Su infraestructura tecnológica era, en apariencia, razonable para una empresa de su tamaño. Tenían un servidor Windows con los archivos compartidos, 37 ordenadores con Windows 10, un router de fibra con firewall básico, un antivirus de pago instalado en todos los equipos y copias de seguridad en un disco duro externo que el responsable de IT, David, conectaba cada viernes.
Lo que Tecnova no tenía —y esto es lo habitual en el 73% de las pymes españolas según el último informe del INCIBE— era una estrategia de ciberseguridad estructurada. No había segmentación de red. No había monitorización de tráfico. No había política de actualizaciones automáticas. No había formación del equipo sobre amenazas digitales. Y, lo más crítico, no había nadie que entendiera que un PDF podía ser una bomba.
La infraestructura de Tecnova antes del ataque
Antivirus de pago en todos los equipos
Licencia comercial actualizada. Detección basada en firmas.
Copias de seguridad semanales en disco externo
Backup manual cada viernes. Sin copias en la nube ni off-site.
Router con firewall básico
Firewall de estado básico incluido en el router de fibra.
Sin segmentación de red
Todos los equipos en la misma red local. Si uno cae, todos caen.
Sin monitorización de tráfico
Nadie revisaba qué datos salían de la red ni a dónde iban.
Sin formación en ciberseguridad
Ningún empleado había recibido formación sobre phishing o malware.
Software desactualizado
El lector de PDF tenía 14 meses sin actualizar. Vulnerabilidad conocida.
Sin EDR ni detección avanzada
Solo antivirus tradicional. Sin protección contra malware desconocido.
El dato clave: Tecnova tenía antivirus, firewall y backups. Pero carecía de las tres capas de defensa que habrían evitado el desastre: segmentación de red (para contener la propagación), monitorización de tráfico (para detectar la exfiltración) y formación del equipo (para reconocer el vector de entrada). Es la combinación más peligrosa: confianza en defensas insuficientes.
«El malware no necesita encontrar una empresa sin seguridad. Solo necesita encontrar una empresa con la seguridad equivocada. Un antivirus tradicional no detecta un troyano que usa una vulnerabilidad zero-day. Un firewall de router no ve el tráfico cifrado que sale a un servidor de comando y control. Y un backup en disco externo no sirve si el malware ya ha estado 47 días corrompiendo archivos.»
El martes 3 de marzo: el PDF que no era solo un PDF
Elena Martínez era la responsable de administración de Tecnova. Llevaba 8 años en la empresa. Cada mañana revisaba el email corporativo, respondía a proveedores y gestionaba las facturas entrantes. Era meticulosa, organizada y —como la mayoría de las personas que reciben cientos de emails a la semana— abría los archivos adjuntos sin pensarlo dos veces cuando venían de remitentes conocidos.
El martes 3 de marzo a las 9:12, Elena recibió un email con el asunto "Factura marzo 2025 - Proveedores Industriales del Levante". El remitente era facturacion@provindlevante.com, un dominio que en una inspección rápida parecía legítimo. El cuerpo del email era breve y profesional: "Adjuntamos factura correspondiente al mes de marzo. Rogamos confirmación de recepción. Un saludo." El archivo se llamaba "Factura_Marzo_2025_ProvInd.pdf".
Elena lo abrió. El PDF mostraba una factura realista con el logo de Proveedores Industriales del Levante, un listado de materiales, importes y datos bancarios. Todo parecía correcto. Lo que Elena no vio —porque no había nada que ver— fue el exploit embebido en el archivo.
Reconstrucción técnica: qué pasó en los 3 segundos después de abrir el PDF
0,3 segundos
El exploit se activa
El PDF contiene un exploit para una vulnerabilidad conocida (CVE-2023-XXXX) del lector de PDF. Al abrirse, ejecuta código malicioso sin que el usuario haga nada más.
0,8 segundos
Descarga del payload
El exploit conecta con un servidor remoto y descarga el troyano principal, camuflado como una actualización del sistema. El archivo pesa 2,3 MB.
1,2 segundos
Instalación silenciosa
El troyano se instala en la carpeta %AppData% con un nombre que imita un proceso legítimo de Windows: "svchost_update.exe". No genera ventana ni notificación.
1,8 segundos
Persistencia activada
El malware modifica el registro de Windows para ejecutarse automáticamente en cada inicio. También crea una tarea programada que lo reinicia si se detiene.
2,5 segundos
Comunicación con C2
El troyano establece conexión con el servidor de comando y control (C2) a través de HTTPS, usando un dominio que parece legítimo: "windows-update-check.com".
3,0 segundos
Reconocimiento del entorno
El malware escanea la red local, identifica otros equipos, mapea recursos compartidos y comienza a recolectar información: usuarios, contraseñas guardadas, archivos recientes.
En 3 segundos, el malware estaba instalado, persistente, comunicándose con su controlador y preparándose para propagarse. Elena no vio nada. Su antivirus no detectó nada. Y el PDF seguía mostrando la factura como si nada hubiera pasado.
Por qué el antivirus no lo detectó
Vulnerabilidad zero-day
El exploit aprovechaba una vulnerabilidad del lector de PDF que no tenía parche disponible en el momento del ataque. Los antivirus basados en firmas no pueden detectar lo que no conocen.
Ofuscación del payload
El código malicioso estaba cifrado y ofuscado. Solo se descifraba en memoria durante la ejecución, dejando rastro mínimo en disco. El antivirus no vio nada sospechoso en el archivo.
Comunicación HTTPS legítima
El tráfico con el servidor C2 usaba HTTPS con un certificado válido. Para el firewall, parecía una conexión web normal. No había monitorización de comportamiento que detectara el patrón.
47 días de silencio: cómo el malware se convirtió en invisible
El malware que infectó a Tecnova no era un ransomware que cifra archivos y pide rescate. Era algo mucho más peligroso: un troyano de acceso remoto (RAT) diseñado para permanecer oculto el mayor tiempo posible mientras extrae valor. Los atacantes no querían paralizar la empresa. Querían robarla lentamente.
Durante 47 días, el malware operó como un fantasma. No modificó archivos visibles. No mostró ventanas. No ralentizó los ordenadores de forma perceptible. Su objetivo era pasar desapercibido, y lo consiguió con una precisión que solo se entiende cuando se analiza el informe forense posterior.
Cronología del robo silencioso: 47 días de actividad
Día 1-3
Expansión lateral
El malware explota credenciales débiles y vulnerabilidades del protocolo SMB para propagarse a 12 ordenadores adicionales. Usa el servidor de archivos como puente.
12 equipos infectados. Acceso a recursos compartidos del servidor.
Día 4-7
Escalada de privilegios
El malware identifica que varios usuarios tienen permisos de administrador local. Usa técnicas de elevación de privilegios para obtener control total de los equipos.
Control total de 8 equipos. Acceso a credenciales almacenadas en el navegador.
Día 8-14
Recolección de datos
Comienza la extracción sistemática: bases de datos de clientes, facturas, contratos, nóminas, credenciales de acceso a la banca online, emails corporativos.
2,4 GB de datos exfiltrados. 847 credenciales capturadas.
Día 15-21
Keylogging bancario
El malware activa el módulo de keylogging específicamente cuando detecta que el usuario accede a sitios bancarios. Captura usuarios, contraseñas y códigos de doble factor.
3 cuentas bancarias comprometidas. 2 transferencias fraudulentas de 8.500 € cada una.
Día 22-35
Expansión total
El malware alcanza 34 de los 37 ordenadores de la empresa. Solo 3 equipos se salvan: 2 portátiles personales que no estaban conectados a la red y 1 ordenador nuevo sin credenciales guardadas.
34/37 equipos infectados. Red corporativa completamente comprometida.
Día 36-47
Exfiltración masiva
El atacante acelera la extracción de datos valiosos antes de que la infección sea detectada. Transfiere 12,7 GB de información a servidores en 3 países diferentes.
12,7 GB de datos robados. Información de 340 clientes comprometida.
Lo más inquietante del informe forense es la lista de actividades que el malware realizó sin que nadie notara nada: capturó 847 pantallas de sesiones bancarias, registró 23.000 pulsaciones de teclado, accedió a 156 carpetas compartidas, modificó 3 archivos de configuración del servidor y envió 1.847 mensajes de control a servidores en Rumanía, Ucrania y Panamá.
Y durante todo ese tiempo, los empleados de Tecnova trabajaron normalmente. Enviaron emails. Facturaron a clientes. Accedieron a la banca online. Ninguno de los 34 ordenadores infectados mostró síntomas visibles. El malware estaba diseñado para ser invisible, y lo consiguió.
Las señales de alarma que nadie reconoció
Tráfico de red inusual durante la noche
El firewall mostraba picos de tráfico saliente a las 2:00 y 4:00 de la madrugada. David, el responsable de IT, lo atribuyó a "actualizaciones automáticas" sin investigar. El malware exfiltraba datos cuando nadie estaba en la oficina.
El antivirus dejó de actualizarse en 3 equipos
El malware desactivó las actualizaciones automáticas del antivirus en los equipos donde tenía privilegios de administrador. David no revisó el estado de las licencias durante semanas.
Transferencias bancarias que nadie reconoció
Dos transferencias de 8.500 € cada una aparecieron en el extracto bancario. La administración las atribuyó a "pagos a proveedores" sin verificar. El malware había usado las credenciales capturadas para realizarlas.
El descubrimiento: cuando el banco habló antes que el antivirus
El viernes 17 de abril de 2025, a las 16:42, el teléfono de la oficina sonó. Era el departamento de seguridad del banco. Habían detectado una transferencia de 23.000 euros desde la cuenta corriente de Tecnova a una cuenta en Lituania. La transferencia había sido autorizada con las credenciales correctas, pero el patrón era inusual: se había realizado desde una IP geolocalizada en Rumanía a las 3:17 de la madrugada, hora española.
David, el responsable de IT, recibió la llamada. En ese momento, por primera vez en 47 días, alguien en Tecnova empezó a sospechar que algo no iba bien. Pero la magnitud del problema no se hizo evidente hasta las 48 horas siguientes.
Las 48 horas del caos: cronología del descubrimiento
Viernes 16:42
Llamada del banco
El banco bloquea una transferencia de 23.000 € por patrón sospechoso. David recibe la alerta.
Viernes 17:15
Primera revisión de logs
David revisa el router y encuentra conexiones nocturnas a IPs en Rumanía, Ucrania y Panamá. No sabe qué significan.
Viernes 18:30
Contacto con soporte del antivirus
El antivirus no detecta nada en el equipo de Elena. David ejecuta un escaneo completo: 0 amenazas encontradas.
Sábado 09:00
Contratación de servicio de emergencia
Tecnova contrata un servicio de respuesta a incidentes de ciberseguridad. El equipo forense llega el sábado por la tarde.
Sábado 20:00
Análisis forense inicial
El equipo forense detecta el troyano en el equipo de Elena en menos de 30 minutos usando herramientas de EDR. El antivirus tradicional era ciego.
Domingo 14:00
Mapeo completo de la infección
Se confirma que 34 de 37 equipos están infectados. El servidor de archivos está comprometido. La red debe considerarse completamente hostil.
Lunes 08:00
Desconexión total
Todos los equipos se desconectan de internet. La empresa opera en modo manual durante 3 días. Clientes, proveedores y empleados reciben explicaciones parciales.
El lunes 20 de abril, cuando los forenses presentaron su informe preliminar, la directora de Tecnova, Carmen Vidal, tuvo que sentarse. El documento tenía 47 páginas. Cada página era peor que la anterior. El malware había estado activo durante casi siete semanas. Había robado datos de 340 clientes. Había comprometido tres cuentas bancarias. Y el antivirus, en el que la empresa había confiado durante años, no había detectado absolutamente nada.
"¿Cómo es posible?" fue la única pregunta que Carmen pudo formular. La respuesta del forense fue directa: "Porque tenían un antivirus del siglo pasado defendiendo contra amenazas del siglo actual."
El daño: lo que se puede medir y lo que no
Tecnova era una PYME con 35 empleados y una facturación de 1,8 millones de euros. No era una multinacional con departamentos de seguridad y presupuestos ilimitados. Era una empresa normal, con problemas normales, que un día descubrió que había estado siendo robada durante casi dos meses sin saberlo.
40.000 €
Pérdida directa por fraude
Dos transferencias fraudulentas de 8.500 € cada una (17.000 € total) más una tercera de 23.000 € bloqueada por el banco. Solo se recuperaron 4.200 €.
34.500 €
Coste de remediación forense
Análisis forense completo, limpieza de 34 equipos, reinstalación de sistemas, implementación de EDR y nuevas políticas de seguridad.
3 días parada
Impacto operativo
La empresa operó en modo manual durante 3 días completos. Pedidos retrasados, facturas pendientes, clientes sin atender. Pérdida estimada de ingresos: 18.000 €.
340 afectados
Notificación a clientes
Obligados a notificar a 340 clientes que sus datos podían haber sido comprometidos. 12 clientes cancelaron contratos. Pérdida estimada: 28.000 € anuales.
6.500 €
Sanción de la AEPD
La Agencia Española de Protección de Datos impuso una sanción por incumplimiento del deber de seguridad de los datos personales tras la brecha.
Devastador
Impacto humano
Elena, la empleada que abrió el PDF, sufrió ansiedad severa y estuvo de baja 6 semanas. David, el responsable de IT, dimitió. La confianza interna quedó dañada.
COSTE TOTAL ESTIMADO DEL INCIDENTE
127.000 €+
Incluyendo fraude directo, remediación, pérdida de ingresos, cancelaciones de clientes y sanción administrativa. Sin incluir el daño reputacional a largo plazo ni el coste humano.
Lo que Carmen Vidal dijo en la reunión con los clientes
«No les pido que me perdonen. Les pido que entiendan que éramos 35 personas trabajando con la tecnología que creíamos suficiente. Teníamos antivirus. Teníamos firewall. Teníamos backups. Y aun así, un archivo de 847 kilobytes nos costó más de lo que facturamos en dos meses. La ciberseguridad no es un gasto opcional. Es un seguro de vida para tu empresa. Y nosotros no lo teníamos.»
Carmen Vidal, directora de Tecnova Soluciones, en la reunión de notificación a clientes afectados, abril de 2025.
Por qué el malware es el rey: el dato del INCIBE
El caso de Tecnova no es una anomalía. Es la norma. Según los últimos datos del INCIBE, el malware es el tipo de incidente más recurrente gestionado por el instituto, siendo el más habitual de los 55.411 ciberataques gestionados anualmente. Esto significa que, de todos los tipos de ciberataques que afectan a empresas y ciudadanos en España, el malware encabeza la lista con diferencia.
La razón es simple: el malware es versátil, rentable y escalable. Un mismo troyano puede infectar a cientos de empresas simultáneamente. No requiere interacción humana sofisticada como la ingeniería social. No necesita vulnerabilidades de día cero como algunos ataques avanzados. Solo necesita que alguien abra un archivo, visite una web comprometida o conecte una USB infectada.
El malware en cifras: panorama de ciberseguridad en España
55.411
Ciberataques gestionados anualmente por el INCIBE
El malware encabeza el ranking de tipos de incidentes más frecuentes.
73%
De pymes españolas sin estrategia de ciberseguridad estructurada
La mayoría confía únicamente en antivirus básicos sin capas adicionales de defensa.
68%
De brechas de seguridad involucran el factor humano
Errores, ingeniería social o uso indebido de privilegios. El malware a menudo entra por error humano.
240.000 €
Coste medio de un incidente de ciberseguridad para una pyme
Incluye fraude directo, remediación, pérdida de ingresos y sanciones.
47 días
Tiempo medio de detección de un malware avanzado
El malware permanece invisible casi 7 semanas antes de ser detectado.
8%
Tasa de recuperación del dinero robado por fraude digital
Una vez que el dinero sale del sistema bancario español, recuperarlo es casi imposible.
El dato que debería preocuparte
El malware no discrimina por tamaño. De hecho, las pymes son objetivos preferentes porque combinan tres características irresistibles para los atacantes: tienen datos valiosos (clientes, facturas, credenciales bancarias), tienen defensas débiles (sin EDR, sin segmentación, sin formación) y tienen capacidad de pago (suficiente para que el fraude sea rentable, insuficiente para que la recuperación judicial sea viable).
Un atacante que desarrolla un troyano bancario puede infectar a 500 pymes con el mismo esfuerzo que le costaría atacar a una multinacional. Y las 500 pymes, en conjunto, le reportan más beneficio que la multinacional sola, con mucho menos riesgo de ser detectado y perseguido.
Lo que habría cambiado el desenlace
Ninguna de las medidas que habrían evitado o mitigado este ataque requería tecnología prohibitiva. La mayoría son decisiones de política, procedimiento y cultura que se pueden implementar en semanas, no en años. El problema de Tecnova no era la falta de recursos: era la falta de conciencia de que este tipo de amenaza existía y de que les podía pasar a ellos.
EDR en todos los endpoints: la capa de defensa que faltaba
El error que cometió Tecnova
Tecnova tenía antivirus tradicional basado en firmas. Este tipo de antivirus no detecta malware desconocido, ofuscado o que usa exploits zero-day. Era como tener una cerradura de puerta blindada en una casa sin paredes.
Lo que debería haberse hecho
Una solución EDR (Endpoint Detection and Response) monitoriza el comportamiento de los procesos en tiempo real. Habría detectado la ejecución del exploit, la descarga del payload, la modificación del registro y la comunicación con el servidor C2 en los primeros minutos del ataque.
Segmentación de red: contener la propagación
El error que cometió Tecnova
Todos los 37 ordenadores de Tecnova estaban en la misma red local sin segmentación. Cuando el malware infectó el equipo de Elena, se propagó lateralmente a los otros 33 equipos usando el protocolo SMB y credenciales débiles.
Lo que debería haberse hecho
Segmentar la red en VLANs separadas (administración, diseño, servidores, invitados) habría limitado la propagación. El malware de Elena no habría podido saltar a los equipos de diseño ni al servidor de archivos sin cruzar barreras de red adicionales.
Actualizaciones automáticas de software crítico
El error que cometió Tecnova
El lector de PDF de Tecnova llevaba 14 meses sin actualizar. El exploit usado por el atacante aprovechaba una vulnerabilidad que ya tenía parche disponible desde hacía 8 meses. La empresa simplemente no lo había instalado.
Lo que debería haberse hecho
Una política de actualizaciones automáticas para software crítico (sistema operativo, navegadores, lectores de PDF, suites ofimáticas) habría cerrado la vulnerabilidad antes de que el atacante pudiera explotarla.
Formación del equipo: el eslabón más débil
El error que cometió Tecnova
Ninguno de los 35 empleados de Tecnova había recibido formación sobre reconocimiento de phishing, malware o prácticas seguras. Elena abrió el PDF sin sospechar porque nadie le había enseñado a dudar de archivos adjuntos, incluso de remitentes aparentemente conocidos.
Lo que debería haberse hecho
Una sesión de formación anual de 90 minutos habría enseñado al equipo a: verificar remitentes, no abrir archivos sin confirmar, desconfiar de urgencias artificiales y reportar cualquier comportamiento sospechoso. La formación reduce la tasa de éxito de phishing en más del 70%.
Monitorización de tráfico de red
El error que cometió Tecnova
Tecnova no monitorizaba el tráfico saliente de su red. El malware envió 12,7 GB de datos a servidores en 3 países durante 47 días sin que nadie lo notara. Los picos de tráfico nocturno eran visibles en los logs del router, pero nadie los revisaba.
Lo que debería haberse hecho
Una herramienta de monitorización de tráfico de red (incluso gratuita como Zeek o básica como el análisis de logs del router) habría detectado las conexiones nocturnas a IPs extranjeras en los primeros días del ataque.
Backups off-site y verificados
El error que cometió Tecnova
Las copias de seguridad de Tecnova estaban en un disco duro externo conectado al servidor. El malware tenía acceso a ese disco y podría haber cifrado o corrompido los backups si hubiera sido ransomware. Además, nadie verificaba que los backups fueran recuperables.
Lo que debería haberse hecho
Backups automáticos en la nube con retención de versiones (imposibles de modificar por el malware) y pruebas periódicas de restauración. Un backup que no se ha probado no es un backup: es una ilusión.
Los 6 tipos de malware que debes conocer
El caso de Tecnova involucró un troyano bancario, pero el malware tiene muchas formas. Conocerlas es el primer paso para reconocer los riesgos y elegir las defensas adecuadas.
Troyano
Se disfraza de software legítimo para engañar al usuario. Una vez instalado, abre una puerta trasera que permite al atacante controlar el equipo remotamente, robar datos o instalar más malware.
EJEMPLO: Un PDF de factura que parece normal pero instala un keylogger al abrirse.
Ransomware
Cifra todos los archivos del sistema y exige un rescate en criptomonedas para devolver el acceso. Es el malware más destructivo para empresas: puede paralizar operaciones completas en horas.
EJEMPLO: WannaCry, que en 2017 infectó 300.000 ordenadores en 150 países en 4 días.
Spyware
Monitoriza la actividad del usuario en secreto: páginas visitadas, contraseñas tecleadas, conversaciones, archivos abiertos. Envía toda la información al atacante sin que la víctima lo sepa.
EJEMPLO: Software de "optimización" gratuito que en realidad registra todas tus contraseñas.
Gusano (Worm)
Se replica automáticamente a través de la red sin necesidad de que el usuario haga nada. Explota vulnerabilidades en sistemas desactualizados para propagarse de ordenador en ordenador.
EJEMPLO: Conficker, que en 2008 infectó 15 millones de ordenadores en todo el mundo.
Keylogger
Registra cada tecla que pulsa el usuario. Captura contraseñas, números de tarjeta, mensajes confidenciales y cualquier texto introducido en el teclado.
EJEMPLO: Un troyano bancario que registra las credenciales de acceso a la banca online.
Adware
Muestra publicidad no deseada y puede redirigir el tráfico web. Aunque parece menos peligroso, a menudo incluye spyware y abre puertas a malware más agresivo.
EJEMPLO: Extensiones de navegador "gratuitas" que inundan de anuncios y rastrean tu navegación.
La regla de oro: defensa en profundidad
Ninguna solución de seguridad, por avanzada que sea, puede proteger una empresa sola. La defensa efectiva contra el malware requiere múltiples capas que se superponen: formación del equipo (capa humana), EDR en endpoints (capa de endpoint), segmentación de red (capa de red), monitorización de tráfico (capa de visibilidad), backups verificados (capa de resiliencia) y actualizaciones automáticas (capa de prevención).
Tecnova tenía una capa (antivirus) cuando necesitaba seis. El atacante solo necesitaba atravesar una. La matemática es simple: una sola capa de defensa es una invitación al desastre. La defensa en profundidad no garantiza la inmunidad, pero garantiza que un solo fallo no sea suficiente para destruir tu empresa.
Preguntas frecuentes sobre malware en empresas
¿Tu empresa tiene las 6 capas de defensa?
Tecnova tenía antivirus. Y un PDF de 847 kilobytes le costó 127.000 euros. El malware es el ciberataque más frecuente en España. La pregunta no es si te atacarán, sino si estarás preparado cuando lo hagan.
Más informaciónArtículos relacionados
La voz de la autoridad: cómo un impostor vació las cuentas de una empresa con cuatro llamadas de teléfono
Historia real de un ataque de ingeniería social (pretexting + vishing) contra una empresa española: cuatro llamadas, tres empleados engañados y 510.000 € transferidos en 48 horas sin un solo byte de código malicioso. Qué es el pretexting, el vishing y cómo proteger tu empresa.
El hombre en el medio: cómo un atacante invisible robó 340.000 € sin tocar un solo servidor
Historia real novelada de un ataque Man-in-the-Middle (MITM) contra una consultora española: cómo el atacante interceptó 1.847 emails durante 23 días, manipuló una transferencia de 340.000 € y operó sin dejar rastro. Qué es un MITM, cómo funciona y cómo protegerse.
Principales plataformas de ciberseguridad automatizadas todo-en-uno en 2026
Análisis objetivo de las 9 mejores plataformas XDR y de seguridad unificada para empresas medianas en 2026: Microsoft Defender, CrowdStrike, Sophos, Coro, SentinelOne y más. Descubre cuál encaja mejor con tu organización.