Las empresas españolas no están preparadas para afrontar un ciberataque

Cisco ha revelado que tan solo el 2% de las organizaciones españolas ha alcanzado un nivel maduro en materia de ciberseguridad en la era de la inteligencia artificial. La compañía ha hecho público este dato durante la presentación de su tercer informe Cisco Cibersecurity Readiness Index 2025, un estudio comparativo en el que se mantiene este porcentaje ante la proliferación de amenazas más sofisticadas. A escala global, el informe revela que cuatro de cada cien empresas han logrado alcanzar ese nivel de madurez (desde el 3% del año anterior).

La IA está transformando la seguridad y aumentando el alcance potencial de las ciberamenazas. Más de ocho de cada diez organizaciones españolas (el 83%) se han enfrentado a incidentes de seguridad relacionados con la IA en los últimos doce meses. Sin embargo, solo el 44% de las organizaciones consultadas en España confían en que sus empleados comprendan plenamente las amenazas relacionadas con la IA, mientras que únicamente el 42% consideran que sus equipos saben realmente cómo los ciberdelincuentes utilizan la IA para ejecutar ataques sofisticados. 

Basado en encuestas a más de 8.000 responsables de ciberseguridad de 30 países (incluido España), el estudio evalúa la preparación de las empresas en cinco pilares: inteligencia de identidades, resiliencia de la red, confiabilidad en los dispositivos, refuerzo de la nube y fortificación de la IA. Tras analizar el estado de adopción de 31 soluciones de seguridad y sus capacidades correspondientes, las empresas se han clasificado en cuatro etapas de preparación ascendente: principiante, formativa, progresiva y madura.
 

“A medida que la IA genera mayor complejidad, la preparación en materia de ciberseguridad en España sigue siendo baja”, ha destacado Ángel Ortiz, director de Ciberseguridad en Cisco España. “Nos enfrentamos a riesgos completamente nuevos y a una escala sin precedentes, lo que supone aún más presión sobre la infraestructura y los profesionales de seguridad. Las organizaciones deben replantear ya sus estrategias para no quedar gravemente expuestas”.

Amenazas

Durante el último año, cuatro de cada diez organizaciones españolas (el 42%) sufrieron ciberataques (no relacionados con la IA), agravados por estrategias de seguridad complejas con soluciones de defensa puntuales y dispares.

De cara al futuro, los consultados en España consideran que las amenazas externas, como los actores maliciosos y los grupos afiliados a estados (67%), serán más relevantes para su seguridad que las amenazas internas (33%), lo que subraya la urgente necesidad de establecer estrategias de defensa optimizadas para mitigar los ataques externos.

Conclusiones

Las principales conclusiones que arroja el estudio son las siguientes: 

• La falta de preparación en ciberseguridad es preocupante, ya que siete de cada diez organizaciones españolas prevén interrupciones en sus operaciones debido a incidentes cibernéticos en los próximos 12 a 24 meses (71% de media mundial). 
• El papel cada vez mayor de la IA en la ciberseguridad: el 84% de las organizaciones españolas ya utilizan la IA para comprender y responder mejor a las amenazas, el 81% para su detección y el 67% para tareas de respuesta y recuperación, subrayando el papel esencial de la IA en el fortalecimiento de las estrategias de ciberseguridad.
• Riesgos de la implementación de GenAI: las herramientas de IA Generativa se adoptan ampliamente, y más de la mitad de los empleados en España (el 55%) utilizan aplicaciones de terceros aprobadas por su empresa. Sin embargo, el 20% tiene acceso ilimitado a aplicaciones de IA Generativa de uso público, mientras el 65% de los equipos de TI en España desconocen las interacciones de los empleados con GenAI, lo que pone de manifiesto importantes desafíos.
• Preocupaciones sobre la IA en la sombra: el 67% de las organizaciones españolas se sienten incapaces de detectar implementaciones de IA no controladas (Shadow AI), planteando riesgos importantes para la ciberseguridad y la privacidad de los datos corporativos.
• Vulnerabilidad de los dispositivos no gestionados: en el marco de los modelos de trabajo híbridos, el 87% de las organizaciones consultadas en España se enfrentan a mayores riesgos de seguridad a medida que los trabajadores acceden a la red corporativa desde dispositivos no administrados, una tendencia que se agrava aún más por el uso de herramientas IA no aprobadas.
• Las prioridades de inversión cambian: aunque el 97% de las organizaciones españolas planean actualizar su infraestructura de TI, solo el 28% destinan más del 10% de su presupuesto de TI a la ciberseguridad (45% a escala global), enfatizando la necesidad de una mayor inversión enfocada en estrategias de defensa integrales frente al creciente panorama de ciberamenazas.
• Complejidad de las infraestructuras y escasez de talento: casi siete de cada diez empresas consultadas en España (el 67%) creen que la adopción de demasiadas soluciones de seguridad ralentiza su capacidad para detectar, responder y recuperarse de incidentes: el 57% utilizan diez o más soluciones puntuales en su stack de seguridad, y el 10% utilizan treinta o más. Igualmente, el 74% de las empresas españolas señalan la escasez de profesionales de ciberseguridad como un desafío clave, y casi la mitad (el 45%) tienen puestos vacantes por cubrir.
   

“Para afrontar los actuales riesgos de ciberseguridad, las organizaciones deben invertir en soluciones basadas en IA, simplificar sus infraestructuras y mejorar la concienciación sobre las amenazas. Priorizar la IA para la detección, respuesta y recuperación es esencial, así como abordar la escasez de talento y gestionar los riesgos de los dispositivos no gestionados y la IA en la sombra”, ha concluido Ortiz.