Este año parece estar destinado a grandes cambios, sobre todo en lo que respecta a la ciberseguridad; el “phishing” sigue siendo, a día de hoy, la amenaza cibernética más dañina a la que puede enfrentarse una empresa, a pesar de las numerosas medidas adoptadas para combatirlo.

Esta amenaza y otros incidentes pueden provocar tiempos de inactividad críticos: el informe Kaseya Cybersecurity Outlook Report de 2026 reveló que el 37 % de las empresas afirman haber sufrido al menos un día completo de inactividad tras un incidente. Solo el 21 % evitó el tiempo de inactividad, lo que supone un ligero descenso con respecto al 27 % de 2024. Además, cerca del 20 % de las empresas afirman haber sufrido pérdidas económicas de 100 000 dólares o más.

Este documento surge de haber encuestado tanto a pymes (pequeñas y medianas empresas) como proveedores de servicios de TI y MSPs (managed service providers, por sus siglas en inglés) para conocer su opinión sobre los retos de la ciberseguridad, los cambios en los presupuestos y el aumento de las expectativas.

Los seres humanos siguen representando la mayor amenaza para la ciberseguridad

• La vulnerabilidad número uno es el error humano, provocado por las malas prácticas de los usuarios y una formación inadecuada, lo que lo convierte en la amenaza más temida para los próximos 12 meses.
• Solo el 12% de las empresas confían plenamente en que la IA actúe de forma autónoma.
• El “phishing” sigue siendo el desafío de ciberseguridad más dañino y persistente: ha afectado a más empresas que cualquier otro tipo de ataque, con un 56% afectado hasta la fecha y casi la mitad (49%) solo en el último año.
• Aunque el 76% de las empresas realizan pruebas de penetración anuales, casi una de cada cuatro sigue sin hacerlo de forma sistemática o las omite por completo.
• Los incidentes cibernéticos son más que simples contratiempos técnicos, ya que paralizan por completo las operaciones comerciales.

Concienciación sobre seguridad: una cultura fragmentada

La cultura de concienciación sobre seguridad está fragmentada, ya que un tercio de las empresas solo ofrece formación una vez al año o menos. La buena noticia es que la mayoría de las organizaciones al menos realizan ejercicios proactivos, y el 86 % afirma que sus programas de formación incluyen simulaciones de phishing.

Sin embargo, la escasa frecuencia de estas iniciativas demuestra que aún faltan hábitos de seguridad sólidos entre los trabajadores. Los MSPs que puedan ofrecer programas de formación atractivos y continuos y reforzar una verdadera cultura de la seguridad se diferenciarán de sus competidores.

Principales preocupaciones y obstáculos para la adopción de la IA

Más del 80 % de los encuestados afirmó que es necesaria la supervisión humana, mientras que sólo algo más del 10 % de las empresas afirma confiar plenamente en la IA para actuar de forma autónoma. Las principales preocupaciones citadas por los encuestados son la precisión (29 %), que incluye el temor a los falsos positivos o negativos, seguida de la privacidad de los datos (27 %) y el coste (19 %).

Situación actual de la ciberseguridad

Aunque una clara mayoría de los encuestados (59%) confía en un equipo interno de TI dedicado a gestionar sus necesidades, una parte significativa ha optado por un enfoque colaborativo. Alrededor del 30 % de las empresas tiene una relación de gestión conjunta con un MSP o MSSP, mientras que el 6 % opta por externalizar toda su función de TI. Estos datos ponen de relieve un mercado en el que no existe una solución única para todos. Las empresas buscan el equilibrio adecuado entre el control interno y la experiencia externa.