La IA desborda a las empresas y redefine las prioridades del CISO

El informe “El estado de la ciberseguridad en España 2026”, elaborado por Deloitte, confirma un cambio de paradigma en la gestión del riesgo digital, en el que la inteligencia artificial se convierte por primera vez en el principal desafío para los CISO, superando a la gestión de terceros y al cumplimiento normativo.

El documento refleja un avance sostenido en la integración de la ciberseguridad en la agenda directiva, impulsado por un entorno regulatorio más exigente. Sin embargo, persisten brechas críticas en talento, resiliencia operativa y alineamiento entre negocio y seguridad.

 

La IA, un acelerador del riesgo y un reto operativo sin precedentes

El 77% de los CISO identifica la IA como su principal preocupación en 2026, un salto histórico que evidencia el impacto transversal de esta tecnología en la superficie de riesgo. Según el informe, la adopción acelerada de la IA por parte del negocio está superando la capacidad de control de muchas organizaciones.

Deloitte subraya que la IA no sustituye las amenazas tradicionales, sino que las amplifica. El ransomware continúa siendo el riesgo más crítico, mientras emergen ataques específicos basados en IA y técnicas de prompting malicioso. Los atacantes, además, parecen estar capitalizando estas capacidades con mayor rapidez que los equipos defensivos.

Aunque la IA ofrece oportunidades para automatizar tareas y mejorar la respuesta a incidentes, la protección de modelos y sistemas sigue siendo incipiente. Solo las organizaciones más maduras están desplegando salvaguardas específicas para evitar exfiltraciones o manipulación de modelos.

 

La presión regulatoria eleva la ciberseguridad al máximo nivel directivo

El informe confirma que la regulación se consolida como uno de los grandes vectores de transformación. La entrada en vigor de marcos como NIS2 y la convivencia con normativas sectoriales han convertido el cumplimiento en un proceso continuo, no en un ejercicio puntual.

Tres de cada cuatro organizaciones consideran que el patrocinio de la Alta Dirección es la palanca con mayor impacto cualitativo en su postura de seguridad. En las compañías más maduras, este apoyo evoluciona hacia un modelo claro de accountability, con mayor conciencia sobre responsabilidades civiles y penales.

Aun así, la mayoría de las empresas se sitúa en niveles intermedios de cumplimiento, reflejo de la complejidad creciente y de la dificultad para integrar la regulación en la toma de decisiones del negocio.

La escasez de profesionales especializados continúa siendo un freno estructural. El 38% de los CISO señala la dependencia de perfiles críticos como uno de los principales retos, en un mercado donde la demanda supera ampliamente a la oferta.

El modelo evoluciona hacia esquemas híbridos, en los que el 60% del personal de ciberseguridad es externo, lo que evidencia la apuesta por la flexibilidad y la especialización. Sin embargo, Deloitte advierte de que la externalización solo es eficaz si existe un núcleo interno sólido capaz de coordinar un ecosistema cada vez más distribuido.

En 2026, el 76% de los CISO reporta ya a un miembro del CxO, frente al 53% del año anterior. En las organizaciones más maduras, la cifra asciende al 89%. Este movimiento garantiza una presencia más activa en comités de Seguridad, Crisis e incluso Dirección.

Sin embargo, el informe detecta un gap creciente entre negocio y ciberseguridad: disminuye la percepción de la seguridad como palanca estratégica, lo que sugiere dificultades para traducir el riesgo en valor tangible. Figuras como los BISO o LISO están ayudando a cerrar esta brecha en las compañías más avanzadas.

 

La gestión de terceros: más visibilidad, menos confianza

La falta de visibilidad sobre las capacidades reales de los proveedores sigue siendo la principal preocupación en la gestión del riesgo de terceros. La revisión de la ciberseguridad de los partners continúa siendo mayoritariamente documental y basada en autodeclaraciones, mientras que los enfoques continuos o automatizados siguen siendo minoritarios.

Las organizaciones más avanzadas están migrando hacia modelos basados en segmentación por criticidad, concentrando recursos en los proveedores con mayor impacto potencial. Este enfoque mejora la eficiencia y eleva el nivel de exigencia donde realmente importa.

Aunque la resiliencia no encabeza las presiones inmediatas del CISO, sí es una prioridad para la Alta Dirección, especialmente por el impacto económico y reputacional de incidentes como el ransomware o la fuga de información.

El informe alerta de un punto crítico: solo una minoría de organizaciones ha probado de forma real sus planes de recuperación ante una caída total. Muchas desconocen cuánto tardarían en restablecer la actividad, lo que dificulta la alineación con las tolerancias del negocio.