La ciberseguridad empresarial ha dejado de enfrentarse a actores aislados. Según Factum, compañía española especializada en servicios de ciberdefensa, el escenario actual está dominado por un mercado criminal estructurado, con funciones especializadas y una lógica operativa que se asemeja más a la de una empresa que a la de un grupo de delincuentes. “Nos ataca un mercado, no un cibercriminal”, advierte Julián Delgado, responsable de seguridad ofensiva y SOC de Factum.
El análisis fue compartido durante el evento CiberIDiA 2026, donde responsables de seguridad, directivos y técnicos debatieron sobre los desafíos actuales en materia de resiliencia digital. En la mesa redonda en la que participó Delgado, se abordaron las prioridades inmediatas que deben asumir las organizaciones ante un entorno cada vez más complejo y menos predecible.
Durante 2025, los indicadores en España reflejaron un incremento sostenido de los ciberataques, con un peso creciente del fraude online y el phishing. Casos como el ciberataque al Ayuntamiento de Beniel o la reciente brecha de datos en Endesa ilustran el impacto directo sobre servicios públicos y grandes corporaciones. Sin embargo, lo que preocupa a los expertos no es solo la frecuencia, sino la sofisticación del modelo de ataque.
Delgado describe un patrón que se repite con eficacia: primero, el robo o secuestro de identidades digitales; después, la ampliación de la exposición mediante movimientos laterales o abuso de permisos; finalmente, la explotación y extorsión, ya sea mediante cifrado, robo de información o ambos. Este ciclo, según Factum, responde a una lógica industrial que ha convertido la identidad en el nuevo perímetro de seguridad. “El perímetro ya no es la red, es el login”, resume el experto.
La evolución técnica acompaña esta transformación. El mercado del cibercrimen no solo reacciona con rapidez ante vulnerabilidades críticas, sino que las convierte en oportunidades de negocio. La existencia de brokers que venden accesos iniciales, kits de explotación y redes de afiliados evidencia un ecosistema criminal cada vez más maduro y especializado.
En paralelo, el foco de los atacantes se ha desplazado hacia el abuso de mecanismos legítimos de autenticación. Microsoft ya alertó en 2025 sobre campañas de «device code phishing», una técnica que engaña al usuario para autorizar accesos y capturar tokens, eludiendo los controles tradicionales. Investigadores del sector han identificado esta vía como una amenaza creciente, especialmente en entornos corporativos que operan en la nube.
El Centro Criptológico Nacional (CCN-CERT) también ha advertido sobre la dificultad creciente para distinguir entre cibercrimen, hacktivismo y ciberespionaje. El papel de actores vinculados a Estados y el riesgo para organismos públicos añaden una capa de complejidad que obliga a replantear las estrategias de defensa.
Frente a este panorama, Factum plantea una aproximación menos fragmentada. En lugar de acumular herramientas, propone construir una defensa integral y continua, donde los distintos dominios de seguridad operen como un sistema conectado. La clave, según la compañía, está en reducir la superficie de ataque, reforzar los controles sobre la identidad digital y automatizar la respuesta ante incidentes.
La automatización, sin embargo, no sustituye el criterio humano. Factum defiende una combinación de orquestación con inteligencia artificial e inteligencia humana. La idea es automatizar tareas como la contención y el triaje para ganar velocidad, pero reservar la toma de decisiones críticas al juicio profesional. “La seguridad hoy no es generar más alertas, sino actuar mejor, más coordinados y de forma adaptativa”, concluye Delgado.
La compañía, participada por el Banco Santander, ofrece servicios de ciberseguridad avanzada desde 2009. Con más de 100 especialistas y más de 200 clientes en todo el mundo, su actividad abarca desde auditorías técnicas hasta soluciones propias y servicios gestionados. En el evento CiberIDiA 2026, su participación subrayó la necesidad de alinear la estrategia de ciberdefensa con los objetivos del negocio, en un momento en que las amenazas ya no distinguen entre sectores ni tamaños.
El desplazamiento del riesgo hacia la identidad, la industrialización del delito y la convergencia entre crimen, activismo y espionaje dibujan un escenario donde las respuestas tradicionales resultan insuficientes. Lo que está en juego ya no es solo la protección de sistemas, sino la continuidad operativa y la confianza digital de las organizaciones.
