El último informe de Cisco traza un diagnóstico preciso sobre la ciberseguridad en las empresas españolas, revelando un escenario de alta exposición frente a las amenazas digitales.
Solo un 2% de las organizaciones en España alcanza un nivel “maduro” de preparación, un indicador que pone de manifiesto una situación crítica en un entorno donde las ciberamenazas se multiplican, impulsadas por el avance de la inteligencia artificial y el uso descontrolado de herramientas generativas.
Según el Cisco Cybersecurity Readiness Index 2025 , basado en encuestas a más de 8.000 responsables de ciberseguridad en 30 países, las empresas españolas se sitúan por debajo de la media global en todos los pilares evaluados: inteligencia de identidades, confiabilidad de los dispositivos, resiliencia de red, refuerzo de la nube y fortificación de la IA. A escala global, sólo el 4% de las compañías alcanza el nivel maduro de preparación.
La clasificación de las empresas en el Cybersecurity Readiness Index 2025 se basa en una metodología que evalúa el grado de adopción de 31 soluciones de ciberseguridad distribuidas en cinco pilares clave: inteligencia de identidades, resiliencia de red, confiabilidad de los dispositivos, refuerzo de la nube y refuerzo de la inteligencia artificial.
Cada solución tiene un peso específico y se valora en función de si ha sido desplegada parcialmente o en su totalidad. A partir de esta evaluación, se asigna a cada empresa una puntuación que determina su nivel de preparación: Principiante, Formativo, Progresivo o Maduro. Los pilares tienen un peso diferencial en el cálculo final, siendo los más determinantes la inteligencia de identidades y la resiliencia de red (25% cada uno), seguidos de la confiabilidad de los dispositivos (20%), y el refuerzo de la nube y de la IA (15% cada uno).
Baja preparación ante amenazas impulsadas por la IA
Las amenazas vinculadas a la inteligencia artificial se han convertido en un vector de riesgo prioritario para las empresas. En España, el 83% de las organizaciones encuestadas por Cisco ha experimentado al menos un incidente de ciberseguridad relacionado con el uso de IA en los últimos doce meses.
A pesar de esta alta incidencia, el nivel de preparación sigue siendo bajo. Solo el 42% de los responsables de seguridad afirma comprender de forma clara cómo los ciberdelincuentes emplean la IA para ejecutar ataques, y únicamente un 44% considera que su plantilla tiene conocimiento suficiente sobre los riesgos asociados a estas tecnologías.
Este desfase entre exposición y capacidad de respuesta se agrava con la generalización del uso de herramientas de IA generativa en entornos corporativos. Según el informe, más de la mitad de los empleados en España (55%) utiliza aplicaciones de IA de terceros aprobadas por la empresa, pero un 20% accede sin restricciones a plataformas públicas no controladas, y un 65% de los departamentos de TI desconocen cómo interactúan los trabajadores con estas tecnologías. Este fenómeno de Shadow AI representa una amenaza significativa para la protección de datos sensibles, ya que no existen mecanismos internos para supervisar qué tipo de información se comparte, cómo se almacena ni con qué modelos se está trabajando.
El informe también detalla los tipos más frecuentes de ataques vinculados al uso malicioso de la IA. Entre ellos destacan el robo de modelos y accesos no autorizados (43%), la ingeniería social potenciada por algoritmos (42%), los intentos de contaminación de datos (data poisoning) (38%), y los ataques por inyección de instrucciones (prompt injection) (35%), en los que los sistemas son manipulados para generar comportamientos no deseados. Estos vectores de ataque, en su mayoría invisibles para los sistemas tradicionales, requieren capacidades de defensa adaptadas al contexto de IA, que muchas organizaciones aún no poseen.
Pese a la creciente dependencia tecnológica, solo el 7% de las empresas en todo el mundo alcanza un nivel maduro en el refuerzo de la IA, uno de los cinco pilares de evaluación definidos por Cisco. Este retraso en la protección de infraestructuras, modelos y usos de la IA refleja una falta de estrategias específicas y una baja integración de herramientas de supervisión automatizada.
La falta de concienciación interna sobre los riesgos es otro de los puntos críticos señalados por los expertos. Durante la presentación del informe, Ángel Ortiz, director de Ciberseguridad de Cisco España, destacó que “la llegada masiva de la IA generativa ha creado un nuevo vector de ataque, comparable al impacto que tuvo la irrupción de Internet o la computación en la nube”. En su intervención subrayó también que muchas organizaciones continúan sin distinguir entre el uso de IA para defenderse (AI for Security) y la necesidad de proteger el desarrollo y la aplicación de modelos de IA (Security for AI), dos enfoques que deben ser abordados simultáneamente para reducir la superficie de ataque.
Riesgos ampliados por entornos híbridos y dispositivos no gestionados
El informe también revela que el 87% de las empresas españolas se enfrenta a un mayor riesgo derivado del acceso a la red corporativa desde dispositivos no administrados, en un escenario cada vez más híbrido. Los trabajadores, según Cisco, llegan a conectarse a una media de seis redes distintas por semana, lo que multiplica los vectores de exposición. Esta situación se complica con el uso de soluciones de seguridad fragmentadas: el 67% de las organizaciones considera que la proliferación de herramientas dificulta la detección y respuesta ante amenazas.
Estancamiento en los niveles de madurez
En España, el 82% de las organizaciones se encuentra en los niveles inferiores (Principiante y Formativa) del índice de preparación, frente al 70% global. Esta falta de avance es atribuida, en parte, al aumento de la superficie de ataque y a la incapacidad de adaptación a los riesgos emergentes. Según Ángel Ortiz, director de Ciberseguridad de Cisco España, “nos enfrentamos a riesgos completamente nuevos y a una escala sin precedentes”, lo que exige una revisión urgente de las estrategias de defensa.
Falta de inversión y escasez de talento
Pese a que el 70% de las empresas españolas considera probable sufrir un incidente grave en los próximos 12 a 24 meses, sólo el 28% destina más del 10% de su presupuesto de TI a la ciberseguridad. Este porcentaje está por debajo del 45% registrado a nivel global. Además, el 74% de las compañías españolas señala la escasez de profesionales cualificados como un obstáculo persistente. Cerca del 45% mantiene vacantes sin cubrir en puestos clave.
Este déficit de talento complica la implantación de estrategias coherentes de protección. Algunas organizaciones han optado por servicios gestionados, pero la fragmentación del mercado y la falta de plataformas integradas ralentizan los avances. A ello se suma el descenso en la proporción del presupuesto de TI dedicado a seguridad, lo que refuerza una falsa sensación de seguridad tras inversiones iniciales que muchas empresas consideran suficientes.
Fortalecimiento de la IA: punto débil generalizado
Uno de los aspectos más preocupantes es el bajo nivel de madurez en la fortificación de la IA. Sólo el 7% de las organizaciones a nivel global alcanza un nivel adecuado en este pilar, y el informe subraya que muchas empresas aún no han interiorizado la necesidad de proteger tanto el uso como el desarrollo de tecnologías basadas en IA.
Aunque el 89% de las empresas afirma utilizar IA al menos parcialmente para mejorar su postura de seguridad, sólo el 33% se siente cómoda automatizando completamente sus sistemas defensivos. Las áreas más habituales de integración de IA son la detección de amenazas (84%), la respuesta (71%) y la recuperación tras incidentes (70%), pero la automatización plena en estas tareas aún es limitada.
En cuanto al desarrollo seguro de modelos de IA, pocas empresas aplican mecanismos de evaluación, red teaming o supervisión de uso interno. Este déficit deja espacio para nuevas formas de ataques basados en manipulación de modelos, robo de datos de entrenamiento o accesos no autorizados.
Disparidad entre grandes y pequeñas empresas
El informe también subraya diferencias notables según el tamaño de la organización. Sólo el 2% de las pequeñas empresas en España alcanza el nivel maduro de ciberseguridad, frente al 6% de las grandes. Las pymes, además, presentan un mayor desconocimiento sobre el uso que sus empleados hacen de herramientas de IA, con un 68% afirmando carecer de visibilidad en este aspecto. Esta falta de control aumenta el riesgo de ataques laterales a través de la cadena de suministro, donde las grandes empresas podrían verse afectadas por la vulnerabilidad de sus proveedores.
Prioridades pendientes y desafíos inmediatos
El Cisco Cybersecurity Readiness Index 2025 propone cinco áreas de actuación prioritaria para mejorar la preparación de las organizaciones:
-
Identidad: Implementación de políticas de autenticación sin contraseñas y análisis de comportamiento de identidad con soporte de IA.
-
Dispositivos: Verificación continua del estado y comportamiento de los dispositivos mediante modelos de confianza cero.
-
Redes: Despliegue integral de firewalls, segmentación y análisis de tráfico cifrado con inteligencia artificial.
-
Nube: Consolidación de políticas multinube y protección de cargas de trabajo con soluciones unificadas.
-
IA: Monitorización y protección del uso y desarrollo de modelos de IA, incluidos los riesgos de uso no regulado.
La urgencia de una respuesta estructural
La escasa preparación en ciberseguridad constituye un riesgo sistémico para el conjunto del tejido empresarial español, especialmente ante la rápida adopción de tecnologías como la inteligencia artificial generativa. Superar esta fragilidad exige dejar atrás respuestas puntuales y adoptar enfoques integrados, donde la seguridad se incorpore de forma estructural a los procesos de transformación digital.
Tal como señala el informe de Cisco, sin una planificación coherente que combine inversión continua, cualificación técnica y control efectivo sobre el uso de nuevas tecnologías, las organizaciones permanecerán expuestas a un entorno de amenazas en constante evolución.
