Así lo refleja el Estudio de Ciberseguridad en España 2025, que apunta a que el 44,2% de las empresas incrementará su inversión en ciberseguridad, mientras que un 43% optará por mantenerla estable. Por consiguiente, solo una minoría contempla recortes, una tendencia que confirma el carácter estructural que ha adquirido la seguridad digital en el ámbito empresarial.
Las empresas operan hoy en un escenario claramente más complejo. A la expansión de la superficie de ataque y la creciente dependencia de terceros se suma, además, la automatización de los ciberataques y el uso cada vez más extendido de tecnologías basadas en IA. Todo ello se produce, además, en paralelo a un marco regulatorio más exigente, con normativas como NIS2, DORA o la Ley de Ciberresiliencia, que elevan el nivel de responsabilidad de las organizaciones.
En este sentido, Secure&IT subraya que, aunque se han dado pasos importantes, el avance no es homogéneo.
“Las organizaciones avanzan en materia de ciberseguridad, aunque a distintas velocidades. La mayoría ha consolidado la base tecnológica, pero sigue existiendo un gap relevante en ámbitos como la monitorización, la regulación o la seguridad industrial”, explica Francisco Valencia, director general de la compañía.
Identidad, nube y protección del dato
De cara a los próximos meses, las prioridades de inversión se concentran en áreas clave como la gestión de identidades, la seguridad en la nube y la protección del dato. Asimismo, ganan peso los servicios de monitorización, los proyectos de DLP e IRM y las iniciativas de formación y concienciación interna.
Según recoge el estudio, esta orientación responde a una percepción cada vez más clara del riesgo.
“Las empresas invertirán más en ciberseguridad. No se trata de una reacción puntual, sino de una tendencia sostenida que confirma su papel estratégico”, apunta Valencia.
Avances desiguales en gobierno y regulación
En términos de gobernanza, muchas empresas han asentado las bases de su estrategia de ciberseguridad mediante políticas formales, análisis de riesgos y programas de concienciación. Sin embargo, la madurez sigue siendo desigual. Persisten carencias relevantes en la respuesta a incidentes, la creación de comités de seguridad y la adopción de certificaciones como ISO 27001 o el Esquema Nacional de Seguridad.
A ello se suma un notable desconcierto ante las grandes regulaciones europeas. Una parte significativa de las organizaciones reconoce no tener claro si debe cumplir con normativas como NIS2 o DORA y, además, muchas aún no han iniciado procesos de adaptación. Este escenario afecta especialmente a pymes y proveedores tecnológicos, que afrontan obligaciones crecientes sin contar con equipos especializados suficientemente dimensionados.
“Bien entendida, la regulación no debería verse solo como una obligación, sino como una oportunidad para profesionalizar la seguridad y mejorar la gestión del riesgo”, señala Valencia.
Geopolítica e IA
Otro punto relevante del estudio es el impacto del contexto internacional. El 55,8% de las empresas considera que conflictos como los de Rusia y Ucrania o Israel y Palestina incrementan su nivel de riesgo. Paralelamente, el uso acelerado de la inteligencia artificial generativa añade una nueva capa de incertidumbre, al facilitar ataques más sofisticados y difíciles de detectar.
Ransomware y phishing
En cuanto a amenazas concretas, el ransomware continúa encabezando la lista de preocupaciones para el 59,8% de las empresas, seguido del phishing, que inquieta a un 53,6%. A continuación aparecen la exfiltración de datos y el robo de credenciales, dos riesgos estrechamente ligados a la protección de identidades y accesos.
Aunque la mayoría de las empresas ya cuenta con medidas básicas como seguridad de endpoint, autenticación robusta o protección del correo electrónico, la adopción de soluciones más avanzadas sigue siendo irregular. Tecnologías como MDR, XDR o SASE avanzan a ritmos muy distintos según el tamaño y los recursos de cada organización.
Uno de los datos más significativos del informe es el relativo a la monitorización. Solo un 23% de las empresas dispone de un SOC 24x7 plenamente operativo, mientras que un 17,4% reconoce no contar con ningún servicio de vigilancia. Además, los SOC propios siguen siendo minoritarios.
“Contar con un SOC 24x7 es hoy un elemento clave. Sin visibilidad ni vigilancia continua, la capacidad de respuesta se ve seriamente comprometida”, subrayan desde Secure&IT.
En conclusión, el estudio dibuja un escenario de avance, pero también de urgencia.
“La verdadera resiliencia solo llegará cuando la ciberseguridad deje de abordarse como proyectos aislados y se convierta en una cultura transversal”, concluye Valencia. Esto se traduce en una visión más holística, que integre cumplimiento legal, procesos, monitorización continua y formación, y que sitúe la seguridad como un pilar central del negocio.
Si (
No(
