El 65% de las empresas en España carece de planes de ciberresiliencia ante la nueva ola de ataques con IA

El 65 por ciento de las organizaciones en España no cuenta con un plan o una metodología para medir su capacidad frente a la nueva ola de ataques informáticos que están siendo potenciados por la Inteligencia Artificial (IA), y entre los que se encuentra la evolución del 'phishing' a su versión 2.0.

En un encuentro celebrado con medios en Madrid este miércoles, ManageEngine, división de Zoho Corporation y proveedor de soluciones de gestión de TI, ha compartido las claves de su último estudio, 'Resiliencia Operativa en 2026', que ofrece una perspectiva sobre la madurez en materia de ciberseguridad en el tejido empresarial español.

El director técnico para el sur de Europa y Latinoamérica de ManageEngine, Andrés Mendoza, ha recordado que "hay solo dos tipos de empresas, aquellas que tuvieron un incidente de seguridad y lo saben, y aquellas que tuvieron uno y lo desconocen".

Según el informe, solo el 35 por ciento de las organizaciones afirma contar con una metodología formal para evaluar el nivel de ciberresiliencia. Es una cifra que se sitúa muy por debajo de la media del resto de países analizados, que alcanza el 56 por ciento.

Esto pone de relieve que casi siete de cada diez empresas españolas carecen de un marco formal para medir su capacidad de resistencia frente a ataques cibernéticos, lo que se traduce en una especie de "ceguera" ante los incidentes debido a la falta de madurez en la metodología.

Mendoza menciona paradójicamente que, mientras las empresas en España cuentan con el menor porcentaje de ciberincidentes registrados en los últimos doce meses entre los cinco países europeos analizados en el informe, no se escapan de registrar algunos de los niveles más bajos en materia de previsión, metodologías y madurez en ciberresiliencia.

Mendoza apunta que en España todavía no existe una cultura de notificación generalizada de ciberataques en comparación con otros países de la región, señalando el proceso de adaptación en el que actualmente se encuentra el país respecto a las nuevas exigencias de la Unión Europea, al mencionar que "NIS 2 es una de ellas, por ejemplo, pero aún no se está aplicando de forma estricta en España".

La Directiva NIS 2 (Network and Information Security) es la legislación sobre ciberseguridad más importante y ambiciosa de la Unión Europea, y uno de sus pilares más estrictos es el reporte de incidentes para acabar con la tendencia de muchas empresas de "ocultar" los ciberataques.

España sigue siendo el país en el que casi la mitad de las organizaciones realiza únicamente mejoras puntuales centradas en las brechas detectadas tras un ciberincidente, y donde solo el 30 por ciento aplica cambios más amplios en su estrategia a largo plazo.

Estos datos, sumados a que el 25 por ciento de las empresas españolas no cuenta con objetivos temporales definidos o que el 17 por ciento de las organizaciones carece de una estrategia de 'backup', dibujan un panorama nada alentador para la ciberseguridad en el territorio español, y más si cabe frente al despliegue de ciertos 'LLMs', como los últimos modelos generativos de lenguaje, que han puesto en alerta a medio planeta.

Al respecto, Mendoza ha indicado que "hoy en día predominan las acciones a corto plazo antes que una solución definitiva", y ha afirmado que "muchas veces por la necesidad de recuperar el servicio, lo que se hace es trabajar con 'workarounds' para tapar este agujero, pero quizás no se cierre el mayor problema porque no se tiene tiempo en ese momento".

El directivo recalca la necesidad imperante que tienen las empresas españolas de pasar de un enfoque reactivo a uno proactivo. Mendoza eleva la alarma sobre la falta de una metodología principal para ser verdaderamente resistente al mencionar que "se habla de contratar una herramienta, pero no hay un plan, no hay una estrategia, no hay una dirección".

Sobre las nuevas fórmulas de ataques, Mendoza ha afirmado que las técnicas han evolucionado de tal forma que hace más complejo defenderse. En el caso del 'phishing' 2.0, "este puede llegar a tener tal hiperpersonalización que, al preguntarle a la IA que haga un perfil perfecto sobre el correo electrónico objetivo, puede saber dónde trabaja, saber quién es su jefe y encontrar rápido esa información para lograr que, al final, el usuario haga clic en algo que no debía", ha explicado.

Ante este nuevo panorama, los ataques potenciados por IA van a representar el mayor riesgo en los próximos doce meses. Por ello, desde ManageEngine recomiendan que la monitorización y la detección proactiva de amenazas se conviertan en la principal prioridad de inversión para que el tejido empresarial español pueda ponerse al día en materia de ciberseguridad.

El estudio Resiliencia Operativa en 2026 recoge las respuestas de 1.500 responsables de la toma de decisiones de TI y negocio en cinco países (España, Países Bajos, Alemania, Italia y Reino Unido), y en los que se incluye a 300 participantes en el mercado español que provienen de sectores como las finanzas, la sanidad, la fabricación y los servicios tecnológicos.