-La inteligencia artificial representa hoy un doble desafío para las empresas. Actualmente, no es solo una herramienta para impulsar su crecimiento, sino también una significativa amenaza para la ciberseguridad, especialmente para la pequeña y mediana empresa. De hecho, el 57% de las pymes españolas cree haber sufrido ciberataques derivados de  la IA en los últimos 12 meses. Es una de las conclusiones principales del Informe de Ciberpreparación 2025 de Hiscox, compañía aseguradora que ofrece productos innovadores y especializados para empresas y profesionales, que lanza este estudio por noveno año consecutivo para continuar analizando el cambiante panorama de la ciberseguridad en las empresas españolas, en esta ocasión poniendo el foco en las pymes.

En este sentido, el informe revela que la pequeña y mediana empresa española considera haber sufrido un ciberataque derivado de esta tecnología – incluyendo ciberataques de ingeniería social creados con IA, vulnerabilidades de herramientas de IA o la gestión autónoma de los datos de la empresa por parte de la IA – un promedio de 1,74 veces en los últimos 12 meses.

Las herramientas y softwares de IA, nuevas puertas de entrada de los ciberataques

Como cada año, el estudio destaca los factores más vulnerables por los que se producen los ciberataques. Así, la inteligencia artificial emerge este año como una creciente vulnerabilidad, ya que para el 19% de las pymes españolas, los ciberataques llegaron a través de herramientas y software de IA en el último año.

En paralelo, el informe de este año revela una novedad significativa. A diferencia del año pasado, en el que el compromiso del correo electrónico fue la principal vía de entrada de los ciberataques para un 53% de las empresas, este año y en el caso de las pymes, la lista la lideran los dispositivos de Internet de las Cosas (39%), seguidos por la cadena de suministro (33%) y dispositivos móviles de empleados y servidor corporativo en la nube (30%). A ellos les siguen los empleados a través de phishing o suplantación de la identidad (28%), el compromiso del correo electrónico empresarial, dispositivos móviles propiedad de la empresa y servidor corporativo propio (26%) y, finalmente, los ataques de denegación de servicio (DDoS) (19%).

Las principales amenazas emergentes de la IA

Más allá de las principales vías de entrada de los ciberataques, la irrupción de la IA ha dado lugar también a un nuevo abanico de riesgos empresariales. Así, el informe también pone de manifiesto las amenazas emergentes vinculadas con la IA para las pymes españolas, que se centran principalmente en el uso de los datos por parte de la IA y las propias vulnerabilidades de la IA. En primer lugar, la pequeña y mediana empresa española destaca las vulnerabilidades de herramientas de IA de terceros (por ejemplo, ChatGPT) para un 22%; seguido de los ciberataques de ingeniería social impulsados por IA (21%); la gestión indebida de la información corporativa (20%); el uso de datos comprometidos o modelos de IA (19%) y, finalmente, el malware y ataques de phishing de IA (17%).

Las pymes españolas prevén invertir en medidas de respuesta a los riesgos asociados a la IA

Con todo lo anterior, el estudio revela que las pymes españolas planean adoptar diferentes estrategias de negocio para hacer frente a este nuevo escenario, especialmente respecto a la gobernanza y gestión de la IA, así como la externalización y apoyo especializado. Según el informe, el 38% de estas empresas señala como medidas principales la realización de auditorías periódicas del uso de la IA en la empresa, así como de seguridad, y la externalización o internalización de parte del trabajo de IA, como el desarrollo de software.

Sin embargo, tal y como indica el informe, también ganan peso otras medidas relacionadas con la capacitación y talento, como la adopción de un enfoque de contratación de empleados con conocimientos de IA (37%), y sesiones de formación y concienciación para los empleados (35%). Finalmente y en línea con esta mayor concienciación frente a los riesgos, el 37% de las pymes españolas indican la necesidad de asegurar que las pólizas de ciberseguro incluyan los riesgos de esta tecnología.

“El informe de este año muestra cómo la IA se ha convertido en una herramienta con un gran potencial para las pymes españolas, pero también en una nueva amenaza para su ciberseguridad. Y es que hemos visto cómo no solo está abriendo puertas de entrada a los ciberataques, sino que también está dando lugar a la evolución de las ciberamenazas, como el “phishing” potenciado por IA. Por ello, nosotros, como aseguradora especializada y siempre atenta al complejo y cambiante panorama de ciberseguridad, reafirmamos nuestro compromiso de ofrecerles protección ante estos riesgos”, afirma Ana Silva, Cyber Lead de Hiscox España y Portugal.

No obstante y, a pesar de los datos, el informe muestra que las pymes españolas, en cualquier caso, se muestran optimistas frente a la dualidad de la Inteligencia Artificial. Y es que para la mayoría de estas empresas (62%) esta tecnología representa un activo, frente al 29% que cree que es más una vulnerabilidad.