Las empresas españolas operan en un entorno cada vez más complejo, marcado por la ampliación de su superficie de exposición digital, la aceleración tecnológica y una creciente dependencia de terceros. A este escenario se suma el incremento de los ciberataques, impulsados por la automatización y el uso de la inteligencia artificial, así como una presión regulatoria en aumento con normativas como NIS2, DORA o la Ley de Ciberresiliencia (CRA). Todo ello, junto al actual contexto geopolítico, eleva de forma significativa la percepción de riesgo y convierte la ciberseguridad en un reto estructural para las organizaciones.
Según el Estudio de Ciberseguridad en España 2025 elaborado por Secure&IT, las organizaciones han avanzado en los últimos años, aunque a distintas velocidades. “La mayoría de las empresas ha consolidado su base tecnológica, pero todavía existe un gap importante en ámbitos como la monitorización, la regulación o la seguridad industrial”, explica Francisco Valencia, director general de Secure&IT, compañía especializada en seguridad de la información.
Mayor inversión y foco en identidad, nube y protección del dato
El informe refleja una tendencia clara hacia el refuerzo de la inversión en ciberseguridad. El 44,2 % de las organizaciones prevé aumentar su presupuesto en los próximos meses, mientras que un 43 % lo mantendrá estable, confirmando el carácter estratégico de la seguridad digital. Las principales prioridades de inversión se centran en identidad, seguridad en la nube y protección del dato, con especial protagonismo de la autenticación robusta, los servicios de SOC, la formación y los proyectos de DLP e IRM.
Las empresas españolas han asentado, en general, las bases del gobierno de la ciberseguridad, con una amplia implantación de políticas formales, análisis de riesgos y programas de concienciación. No obstante, la madurez sigue siendo desigual, con carencias relevantes en la respuesta a incidentes, la creación de comités de seguridad y la adopción de certificaciones como ISO 27001 o el Esquema Nacional de Seguridad (ENS).
Desconcierto ante la regulación europea
Uno de los principales retos detectados por el estudio es el desconocimiento generalizado sobre las grandes regulaciones europeas en materia de ciberseguridad. Muchas organizaciones no tienen claro si están obligadas a cumplir normativas como NIS2, DORA o la CRA, y una parte significativa aún no ha iniciado procesos de adaptación. Esta situación afecta especialmente a pymes y proveedores tecnológicos, que afrontan crecientes exigencias regulatorias sin disponer de equipos de seguridad o compliance suficientemente dimensionados.
“Las empresas están haciendo un esfuerzo notable para adaptarse al marco normativo, pero la velocidad a la que evoluciona la regulación plantea importantes retos. No se trata solo de cumplir, sino de entender el impacto real en el negocio y utilizar la regulación como una oportunidad para profesionalizar la seguridad y mejorar la gestión del riesgo”, subraya Valencia.
Ransomware, la principal amenaza
En el ámbito de las amenazas, el ransomware continúa siendo la mayor preocupación para el 59,8 % de las empresas, seguido del phishing (53,6 %), la exfiltración de datos y el robo de credenciales. La adopción de tecnologías de protección presenta un panorama heterogéneo: aunque la mayoría de las organizaciones cuenta con seguridad de endpoint, autenticación robusta o protección avanzada del correo, la implantación de soluciones más avanzadas como MDR, XDR o SASE avanza de forma desigual.
La monitorización es otro de los puntos críticos. Solo el 23 % de las empresas dispone de un SOC 24×7 completamente operativo, mientras que un 17,4 % reconoce no contar con ningún servicio de vigilancia. “La monitorización continua es hoy un elemento clave de la ciberseguridad. Sin visibilidad permanente, la capacidad de detección y respuesta se ve seriamente comprometida”, advierten desde Secure&IT.
De cara a 2025, el director general de Secure&IT concluye que España avanza en ciberseguridad, pero necesita acelerar. “Identidad, nube y regulación marcan el rumbo, pero la verdadera resiliencia solo llegará cuando la ciberseguridad deje de abordarse como proyectos aislados y se convierta en una cultura transversal en toda la organización”, afirma. Para ello, será clave adoptar una visión holística y 360 grados que integre cumplimiento legal, procesos, monitorización continua, formación y concienciación.
