El malware con IA se convierte en la mayor amenaza para el 31% de las pymes españolas

  • Seguridad
Allianz siniestros ciberamenazas

Un estudio de ESET revela que el 87% de las pymes españolas ya utiliza aplicaciones de inteligencia artificial, y que el 45% sufrió al menos un incidente de seguridad en el último año. Aunque la IA genera preocupación, las causas reales de la mayoría de incidentes siguen siendo el phishing y las vulnerabilidades sin parchear.

Las pymes españolas se sitúan a la vanguardia mundial en adopción de inteligencia artificial, pero todavía muestran importantes carencias en gobernanza y seguridad. Así lo confirma el SMB Cyber Readiness Index 2026 de ESET, que revela que el 87% de las pymes españolas ya ha integrado aplicaciones de IA, frente al 73% de la media global y el 71% de EMEA, lo que posiciona a España como líder absoluto en implantación.

Sin embargo, esta adopción acelerada convive con un nivel de riesgo creciente. El 45% de las pymes españolas sufrió al menos un incidente de ciberseguridad en los últimos 12 meses, y un 14% experimentó más de uno. España se sitúa así como el tercer país con mayor porcentaje de empresas afectadas, solo por detrás de Alemania y Estados Unidos. A pesar de ello, el 68% cree poder prevenir ataques y el 75% considera estar preparada para responder ante un incidente.

 

El phishing sigue siendo la principal causa de incidentes 

La inteligencia artificial se ha convertido en el principal foco de preocupación. El 31% de las pymes señala el malware impulsado por IA como la amenaza más inquietante. No obstante, el estudio muestra una brecha entre percepción y realidad: las causas más frecuentes de los incidentes siguen siendo el phishing (26%), las vulnerabilidades sin parchear (23%), la falta de monitorización (22%) y las contraseñas débiles (20%). Los servicios MDR de ESET no registraron ningún incidente en el que la IA generativa desempeñara un papel significativo.

“El impacto de la IA no reside tanto en la aparición de malware autónomo como en su capacidad para acelerar amenazas ya conocidas”, explica Josep Albors, responsable de investigación y concienciación de ESET España. “Los atacantes están utilizando estas herramientas para automatizar tareas, generar mensajes de phishing más convincentes y producir variantes de malware a mayor velocidad y menor coste”.

El informe también alerta sobre la falta de regulación interna. El 38% de las pymes españolas no dispone de políticas para controlar el uso de aplicaciones de IA fuera de los procesos aprobados, lo que incrementa el riesgo de shadow AI. A escala global, el 73% de las empresas que no han adoptado formalmente estas tecnologías tampoco cuentan con políticas específicas, pese a que sus empleados pueden estar utilizando servicios públicos sin supervisión.

La madurez en ciberseguridad, no obstante, muestra signos de mejora. El 80% de las pymes considera que su presupuesto es suficiente y el 40% prevé aumentarlo. La formación y concienciación de los empleados es la principal prioridad de inversión (41%), seguida de la seguridad cloud (33%) y las soluciones de copia de seguridad y recuperación (26%). El 87% considera la educación de los empleados crítica y el 67% imparte formación más de una vez al año.

Pese a estos avances, persisten obstáculos relevantes, como las limitaciones presupuestarias (24%), la complejidad tecnológica (21%) y la falta de talento especializado (20%). Además, solo el 15% de las empresas identifica la cadena de suministro como un riesgo prioritario, a pesar del impacto potencial de un ataque a un proveedor.

“En un país donde las pymes sostienen buena parte de la actividad económica, la ciberseguridad no puede entenderse únicamente como una cuestión técnica”, concluye Albors. “El reto consiste en identificar los riesgos que realmente pueden paralizar el negocio y construir una protección proporcionada, sencilla de gestionar y capaz de evolucionar al ritmo de las amenazas”.