Marc Sureda
El respaldo de las cúpulas directivas a la ciberseguridad dentro de las medianas empresas ha experimentado un incremento del 30% durante el último año. Esta alineación resulta fundamental para integrar la protección de los sistemas de información en la cultura corporativa y en la estrategia de negocio. Sin embargo, este aumento de la concienciación gerencial no ha venido acompañado de una inyección económica proporcional. Así lo refleja la segunda edición del Barómetro de la Ciberseguridad en la Mediana Empresa. Un estudio elaborado por Cylum (la división de servicios gestionados de protección de la empresa Factum), que ha contado con el apoyo tecnológico de firmas como Cato Networks y Sophos, y cuyo informe íntegro se encuentra disponible en su página web institucional. En la actualidad, el 70% de estas organizaciones destina menos de un 5% de su partida presupuestaria de tecnologías de la información a la protección de sus activos, lo que supone un crecimiento interanual de apenas un 1%.
David López, director de operaciones y preventa de Cylum explica: “Los resultados muestran que existe una creciente concienciación sobre los riesgos, pero muchas organizaciones tienen todavía dificultades para traducir esa preocupación en capacidades reales de defensa”.
De cara a los próximos meses de este año 2026, la tendencia de inversión muestra signos de cambio. Seis de cada diez corporaciones de tamaño medio tienen previsto ampliar sus fondos destinados a la defensa tecnológica, frente a una minoría del 10% que contempla recortes en esta área. Esta contención histórica del gasto mantiene una relación directa con el estado de madurez de las infraestructuras corporativas. Cuatro de cada diez responsables técnicos evalúan su situación en un estadio inicial-intermedio donde se aplican medidas fundamentales pero carecen de procesos formalizados, evidenciando una necesidad de mayor capacitación, adopción de mejores prácticas e inversión en infraestructura. De manera paralela, otro 30% de las organizaciones se sitúa en un nivel de protección algo superior pero con claras áreas de mejora, ya que precisan optimizar sus políticas internas, los sistemas de vigilancia de la red y su capacidad de respuesta ante posibles incidentes para alcanzar un blindaje óptimo.
Ante estas necesidades de consolidación, la estrategia de las empresas está virando hacia la contratación de expertos externos. En este sentido, el número de entidades que delegan su seguridad en socios tecnológicos especializados experimenta una clara tendencia al alza. Reduciendo así la dependencia de personal propio en exclusiva o de terceras empresas de perfil informático generalista. Los datos muestran que el 30% de las corporaciones ya trabaja de manera habitual con uno o dos proveedores enfocados exclusivamente en ciberseguridad, mientras que un 10% eleva esta cifra por encima de las cinco empresas subcontratadas.
Retos normativos y panorama de amenazas
La complejidad de los marcos legales vigentes representa uno de los mayores obstáculos para este segmento empresarial en el contexto actual. Más del 60% de las organizaciones medianas encuentra serias dificultades para adaptarse a las exigencias del Reglamento General de Protección de Datos y la directiva europea NIS2. La inmensa mayoría de los profesionales del sector (80%) atribuyen estas complicaciones a la carencia de recursos financieros y a la escasez de perfiles técnicos adecuadamente cualificados en el mercado laboral. Para mitigar estos problemas, estandarizar los procesos de protección y evitar posibles penalizaciones, los analistas recomiendan la adopción de normativas reconocidas internacionalmente, como la ISO 270001.
En cuanto al origen de los riesgos informáticos, los responsables de tecnología señalan a la ingeniería social y a la suplantación de identidad para el robo de credenciales, técnica conocida en la industria como phishing, como los peligros más señalados. El secuestro de sistemas y datos con petición de rescate económico, denominado ransomware, continúa afianzado como una de las incidencias más críticas para la continuidad del negocio. A estas amenazas se suman las vulnerabilidades presentes en el software y las aplicaciones, un riesgo que refleja las complicaciones que sufren las compañías para controlar infraestructuras cada vez más descentralizadas y complejas. Como conclusión general del estudio, los responsables de la investigación indican que existe una mayor percepción de los riesgos digitales en el tejido empresarial, pero persiste una notable dificultad para transformar dicha inquietud en capacidades reales de defensa.
