Marc Sureda
Según el Estudio de la Ciberseguridad en España 2024, elaborado por Secure&IT, el ransomware continúa siendo la principal amenaza percibida por las empresas españolas, una situación que se mantiene por tercer año consecutivo. En concreto, el 95,4% de las compañías encuestadas considera que este tipo de ataque representa un riesgo grave, especialmente por las pérdidas de datos, los costes financieros asociados y la potencial interrupción de la actividad que puede provocar.
Junto al ransomware, otras formas de ingeniería social, como el phishing (52,6%) y la exfiltración de datos (53,1%), generan un elevado nivel de preocupación. Estos ataques, basados en técnicas de engaño para obtener acceso a información o sistemas, siguen afectando a organizaciones de todos los tamaños y sectores.
El informe destaca también el impacto de la situación geopolítica internacional, que ha pasado a influir directamente en la percepción del riesgo de ciberataques; un 64,3% de las empresas considera que este contexto incrementa su exposición a ciberamenazas, especialmente aquellas que operan en mercados sensibles o políticamente inestables.
Nuevas normativas europeas y su impacto en las estrategias de ciberseguridad
Durante el último año, el marco normativo europeo ha experimentado una evolución significativa en materia de ciberseguridad. Regulaciones como el Reglamento de Resiliencia Operativa Digital (DORA), la Ley de Ciberresiliencia (CRA) y, de forma más destacada, la Directiva NIS2, están redefiniendo los requisitos de seguridad a los que deben adaptarse las organizaciones.
Según Secure&IT, estas normas están obligando a muchas compañías, especialmente de sectores críticos, a replantear su enfoque de ciberseguridad para alinearse con las nuevas exigencias legales. No obstante, el estudio detecta incertidumbre entre las empresas en lo relativo a la aplicación concreta de estas normas y la implementación efectiva de las medidas exigidas.
Estas exigencias incluyen no solo aspectos técnicos, sino también elementos organizativos y de gobernanza, con un creciente énfasis en la ciberresiliencia como concepto transversal.
Las prioridades de inversión son cumplimiento, nube y ciberseguridad industrial
Ante este panorama, la inversión en ciberseguridad por parte de las empresas españolas se está reorientando hacia proyectos que garanticen conformidad normativa y protección integral de la infraestructura digital. Las áreas prioritarias identificadas en el estudio son la consultoría de cumplimiento y procesos de seguridad (45,8%), la seguridad en la nube (42,3%) y la segmentación de redes (38,7%).
Así mismo, un 32,8% de las compañías indica que está dando mayor relevancia a la ciberseguridad industrial, lo que revela una mayor concienciación sobre la necesidad de proteger sistemas operativos y entornos críticos frente a ataques que pueden tener consecuencias materiales.
Por otro lado, el 85,3% de las empresas destaca la concienciación y la formación de los usuarios como pilar fundamental de su estrategia, seguida por la gestión de la privacidad y el cumplimiento normativo (82,3%). El estudio también muestra una adopción significativa de planes directores de seguridad (56,3%) y de formación especializada en materia de ciberseguridad (58,3%).
Fortalecer la cultura de seguridad ante una amenaza persistente
Los datos revelan un cambio de enfoque que va más allá de la simple prevención de ataques: se trata de construir una cultura organizativa orientada a la ciberresiliencia, en la que todos los niveles de la empresa —desde la dirección hasta los empleados— estén alineados en torno a la protección de los activos digitales.
La combinación de mayor inversión tecnológica, el cumplimiento de regulaciones más exigentes y una formación continua son los pilares que las organizaciones están empezando a consolidar para responder a un entorno en el que la amenaza del ransomware y otros ciberataques sigue siendo elevada y persistente.
