La exposición de España ante los ciberataques aumenta de manera constante. El Instituto Nacional de Ciberseguridad (INCIBE) gestionó 122.223 incidentes en 2025, un 26% más que en 2024. Su equipo de respuesta de incidentes, INCIBE-CERT, también detectó 237.028 sistemas vulnerables relevantes, susceptibles de ser explotados por ciberdelincuentes. Por sectores empresariales, la banca (34%), el transporte (14%), la energía (8%), las infraestructuras de los mercados financieros (7%), así como las aseguradoras y los fondos de pensiones (6%) fueron los más afectados.
La combinación de una amenaza constante, junto con la falta de recursos denunciada por las organizaciones, genera un fuerte impacto en los responsables de la ciberseguridad en España. Según Proofpoint, estos profesionales se enfrentan a unos niveles de estrés sin precedentes debido a la sofisticación de los ataques y a las exigencias regulatorias. El 40% de los CISOs españoles afirma enfrentarse a expectativas poco realistas y el 56% asegura haber sufrido desgaste profesional o burnout en los últimos meses. Aunque la mitad de los directivos dice que sus organizaciones han tomado medidas para protegerlos de la responsabilidad personal, todavía notan que carecen de los recursos necesarios para cumplir con sus objetivos.
Los datos siguen desprotegidos
Los CISOs se enfrentan en España a un panorama de amenazas cada vez más fragmentado, con el malware, el ransomware, las amenazas internas y la apropiación de cuentas en la nube como las principales preocupaciones. La mayoría de estos ataques, pese a que la variedad de tácticas, desemboca en el mismo resultado: la pérdida de datos.
Un tercio de las organizaciones españolas sufrió una pérdida importante de datos en los últimos meses. El 55% de los CISOs asegura que sus datos siguen sin protegerse adecuadamente, y ahora que la IA generativa se acelera, consideran que la protección y la gobernanza de la información son una prioridad máxima para impulsar el cambio hacia una seguridad dinámica y sensible al contexto.
El factor humano como vulnerabilidad
Las soluciones tecnológicas tampoco resultan suficientes para contener la situación. El 49% de los responsables de seguridad en España identifica el error humano como el riesgo más importante para sus organizaciones, mientras que el 46% de las empresas señala la falta de recursos dedicados específicamente al riesgo interno.
Existe una contradicción entre la percepción y la realidad operativa dentro de las organizaciones: mientras que el 55% de los responsables de seguridad cree que los empleados conocen las buenas prácticas de ciberseguridad, el informe Data Security Landscape 2025 de Proofpoint revela que el 58% de las compañías españolas atribuye sus incidentes más graves a la falta de atención del propio personal.
Crece el mercado global de formación en ciberseguridad
Ante esta problemática, la demanda de concienciación sobre ciberseguridad experimenta un crecimiento acelerado a nivel global. El mercado mundial de formación en ciberseguridad, valorado en 4.500 millones de dólares en 2023 por la digitalización y el aumento de las áreas de exposición a ataques, se prevé que alcance los 13.700 millones de dólares para 2030.
Los expertos de Proofpoint señalan la necesidad urgente de un cambio de estrategia que complemente la tecnología con un enfoque centrado en las personas, los datos y la IA. Esto implica fomentar una cultura de seguridad interna, facilitar herramientas que protejan a los usuarios sin dificultar sus tareas diarias, e implementar sistemas de prevención de pérdida de datos y de gestión de riesgos internos para reducir la brecha entre el conocimiento de las normas y el comportamiento real de los empleados.