La exposición de España a las amenazas cibernéticas continúa creciendo año tras año. De acuerdo con los últimos datos del Instituto Nacional de Ciberseguridad (INCIBE), durante 2025 se gestionaron 122.223 incidentes de ciberseguridad, lo que representa un incremento del 26% respecto al ejercicio anterior. Además, el equipo de respuesta ante incidentes INCIBE-CERT identificó 237.028 sistemas vulnerables de especial relevancia, susceptibles de ser aprovechados por actores maliciosos para llevar a cabo ataques.
Por sectores, la actividad delictiva tuvo un mayor impacto en el ámbito financiero. La banca concentró el 34% de los incidentes registrados, seguida por el sector del transporte (14%), la energía (8%), las infraestructuras de los mercados financieros (7%) y las compañías aseguradoras y fondos de pensiones (6%).
Este escenario de amenaza permanente, unido a la escasez de recursos que muchas organizaciones siguen denunciando, está ejerciendo una presión creciente sobre los responsables de ciberseguridad. Según datos de Proofpoint, los directores de seguridad de la información (CISO) afrontan niveles de estrés cada vez más elevados como consecuencia de la sofisticación de los ataques y del aumento de las obligaciones regulatorias.
La situación se refleja en las percepciones de los propios profesionales. Un 40% de los CISOs españoles considera que se enfrenta a expectativas difíciles de alcanzar, mientras que el 56% reconoce haber experimentado síntomas de desgaste profesional o burnout en los últimos meses.
Aunque aproximadamente la mitad de los directivos señala que sus organizaciones han adoptado medidas para reducir su exposición a responsabilidades personales derivadas de incidentes de ciberseguridad, muchos continúan percibiendo una falta de recursos y apoyo suficiente para responder eficazmente a los desafíos actuales y cumplir con los objetivos que se les exigen.
Los datos siguen desprotegidos
Los CISOs se enfrentan en España a un panorama de amenazas cada vez más fragmentado, con el malware, el ransomware, las amenazas internas y la apropiación de cuentas en la nube como las principales preocupaciones. La mayoría de estos ataques, pese a que la variedad de tácticas, desemboca en el mismo resultado: la pérdida de datos.
Un tercio de las organizaciones españolas sufrió una pérdida importante de datos en los últimos meses. El 55% de los CISOs asegura que sus datos siguen sin protegerse adecuadamente, y ahora que la IA generativa se acelera, consideran que la protección y la gobernanza de la información son una prioridad máxima para impulsar el cambio hacia una seguridad dinámica y sensible al contexto.
El factor humano como vulnerabilidad
Las soluciones tecnológicas tampoco resultan suficientes para contener la situación. El 49% de los responsables de seguridad en España identifica el error humano como el riesgo más importante para sus organizaciones, mientras que el 46% de las empresas señala la falta de recursos dedicados específicamente al riesgo interno.
Existe una contradicción entre la percepción y la realidad operativa dentro de las organizaciones: mientras que el 55% de los responsables de seguridad cree que los empleados conocen las buenas prácticas de ciberseguridad, el informe Data Security Landscape 2025 de Proofpoint revela que el 58% de las compañías españolas atribuye sus incidentes más graves a la falta de atención del propio personal.
Crece el mercado global de formación en ciberseguridad
Ante esta problemática, la demanda de concienciación sobre ciberseguridad experimenta un crecimiento acelerado a nivel global. El mercado mundial de formación en ciberseguridad, valorado en 4.500 millones de dólares en 2023 por la digitalización y el aumento de las áreas de exposición a ataques, se prevé que alcance los 13.700 millones de dólares para 2030.
Los expertos de Proofpoint señalan la necesidad urgente de un cambio de estrategia que complemente la tecnología con un enfoque centrado en las personas, los datos y la IA. Esto implica fomentar una cultura de seguridad interna, facilitar herramientas que protejan a los usuarios sin dificultar sus tareas diarias, e implementar sistemas de prevención de pérdida de datos y de gestión de riesgos internos para reducir la brecha entre el conocimiento de las normas y el comportamiento real de los empleados.

