El estado de la ciberseguridad en España 2026

Por séptimo año consecutivo, este estudio ofrece una visión actualizada del estado de la ciberseguridad en España en 2026, a partir del análisis de un conjunto representativo de organizaciones y de la visión experta de Deloitte y de responsables de ciberseguridad de las principales entidades del país.

El informe confirma la consolidación de la ciberseguridad como una función crítica para la continuidad y resiliencia del negocio, cada vez más integrada en la agenda de la Alta Dirección y reforzada por un entorno regulatorio más exigente. No obstante, persisten retos relevantes en la alineación entre negocio y seguridad y en la traducción de los riesgos cibernéticos en decisiones estratégicas claras.

Además, la irrupción de la Inteligencia Artificial marca un punto de inflexión: abre oportunidades para transformar y automatizar la función, pero también introduce nuevos riesgos y fortalece las capacidades de los atacantes. A ello se suman desafíos estructurales como la escasez de talento, la gestión del ecosistema de terceros y la capacidad de recuperación ante incidentes críticos, que siguen condicionando la madurez global de las organizaciones.

El nuevo informe de Deloitte revela seis insights clave sobre el estado actual del sector, que reflejan tanto avances como áreas de mejora.

1. La IA, el principal reto de los CISO en 2026 que requiere de un nuevo enfoque operativo

En 2026, la Inteligencia Artificial se convierte por primera vez en el principal reto de ciberseguridad para los CISO (77%), por delante de la gestión de terceros o el cumplimiento normativo. Más que una tendencia puntual, refleja una preocupación estructural: la adopción acelerada de la IA por parte del negocio está ampliando la superficie de riesgo y superando, en muchos casos, la capacidad de control de las organizaciones.

La IA no sustituye las amenazas tradicionales, sino que las potencia. El ransomware sigue siendo el riesgo más crítico, mientras crecen las amenazas específicamente vinculadas a la IA, que actúa como amplificador transversal de ataques ya conocidos. Además, los atacantes parecen estar capitalizando esta tecnología con mayor rapidez que los propios equipos de ciberseguridad.

Aunque la IA ofrece oportunidades para automatizar tareas, mejorar la respuesta a incidentes y reducir carga operativa, la preparación sigue siendo desigual. La protección específica de modelos y sistemas de IA es todavía incipiente en muchas organizaciones, que confían en controles tradicionales o en los propios proveedores cloud. Solo las más maduras están desplegando salvaguardas específicas y medidas para evitar riesgos como la exfiltración o los ataques vía prompting. En definitiva, la IA se percibe al mismo tiempo como palanca de eficiencia y como factor de intensificación del riesgo, lo que podría derivar en una mayor necesidad de inversión en talento especializado.

2. La regulación eleva la ciberseguridad al plano directivo, demandando patrocinio y accountability por parte de los Órganos de Dirección.

El análisis de los retos a medio plazo confirma que la presión regulatoria se consolida en 2026 como uno de los grandes vectores en la agenda del CISO. El cumplimiento normativo gana peso de forma significativa, impulsado por la entrada en vigor de marcos como NIS2 y por la convivencia con otras regulaciones sectoriales. La regulación deja así de ser un ejercicio puntual de adecuación para convertirse en un driver estructural de transformación, que amplía el perímetro de responsabilidad del CISO y exige mayor capacidad de coordinación y gobierno, especialmente en ámbitos como la cadena de suministro.

En este contexto, la implicación directa de la Alta Dirección se posiciona como la principal palanca de avance. Tres de cada cuatro organizaciones identifican el patrocinio ejecutivo como el factor con mayor impacto cualitativo en su postura de ciberseguridad, al elevarla a la agenda estratégica, priorizar iniciativas críticas y acelerar su ejecución. En las compañías más maduras, esta implicación evoluciona hacia un marco más claro de accountability, con mayor conciencia sobre la responsabilidad civil y penal y un mayor foco en el control efectivo de los riesgos y de los mecanismos de supervisión desplegados.

No obstante, cuando se analiza el grado de cumplimiento, la mayoría de las organizaciones se sitúa en niveles intermedios. Esto refleja que, aunque el esfuerzo inicial de adecuación puede estar avanzado, el cumplimiento exige ahora una evolución continua: consolidar capacidades de gobierno, cerrar brechas y mantener prácticas estables en el tiempo. La coexistencia de múltiples marcos normativos incrementa la complejidad y la presión sobre el CISO, dificultando todavía una integración plena del cumplimiento en la toma de decisiones del negocio. Con todo, la regulación no solo actúa como desafío, sino también como palanca para elevar la madurez y reforzar una visión más holística de la ciberresiliencia.

3. La escasez del talento ciber siguen siendo un freno crítico para la evolución del sector.

La visión agregada de 2026 confirma que la escasez de talento especializado sigue siendo un freno estructural para la evolución de la ciberseguridad. Cerca del 38% de los CISO identifica la dependencia de perfiles escasos como un reto significativo, reflejando una brecha persistente entre la creciente demanda de capacidades y la limitada oferta del mercado. No se trata de una dificultad puntual de contratación, sino de una limitación que condiciona la capacidad de las organizaciones para escalar y sostener modelos maduros en el tiempo.

El foco, además, se desplaza de la mera captación a una problemática más compleja. Aunque atraer profesionales continúa siendo el principal desafío, ganan peso cuestiones como el engagement y la retención.

Ante este escenario, los modelos evolucionan hacia esquemas híbridos, donde la externalización se consolida como respuesta estratégica. En 2026, el 60% del personal de ciberseguridad es externo, lo que evidencia una apuesta por ganar flexibilidad y especialización. Sin embargo, el apoyo en terceros solo resulta eficaz cuando se sustenta en equipos internos sólidos, capaces de liderar y coordinar un modelo cada vez más distribuido y exigente.

4. Invertir en mayor visibilidad sobre los terceros es un game changer que incrementa el confort de los CISO en la gestión de estos.

La gestión del riesgo en terceros sigue marcada por una idea central: falta visibilidad. La principal preocupación es no contar con garantías suficientes sobre las capacidades reales de los proveedores, especialmente en su respuesta ante incidentes y en el cumplimiento efectivo de los controles comprometidos. En las organizaciones más maduras, el control de la cadena de suministro se consolida como el reto prioritario, reflejando que el perímetro del riesgo ya no se limita a la propia compañía, sino que se extiende a todo su ecosistema.

Pese a ello, la revisión de la ciberseguridad de los proveedores continúa siendo mayoritariamente documental y auto declarativa, basada en cuestionarios, evidencias puntuales y herramientas de scoring externo. Los enfoques continuos, automatizados o con simulaciones son todavía minoritarios. El cuestionario actúa como estándar mínimo: útil para ordenar expectativas, pero con un efecto más disuasorio que realmente garantista.

La tendencia, no obstante, apunta a una mayor madurez. Más organizaciones están evaluando anualmente a una parte relevante de sus proveedores, aunque el foco ya no está en ampliar cobertura indiscriminadamente, sino en segmentar por criticidad y concentrar recursos en aquellos terceros cuyo impacto potencial sobre el negocio es mayor. Las compañías más avanzadas aplican este enfoque de forma selectiva, logrando mayor eficiencia presupuestaria y controles más exigentes donde realmente importa.

El nivel de confort del CISO sigue siendo, en general, medio o bajo, especialmente en proveedores críticos. Sin embargo, las organizaciones más maduras muestran un salto significativo en confianza, evidenciando que aumentar la visibilidad y la capacidad de seguimiento es la palanca más directa para reforzar la gestión de terceros. Todo ello en un contexto donde el coste de control es elevado y donde maximizar el retorno de la inversión en seguridad exige, necesariamente, segmentar antes de invertir.

5. La continuidad de las operaciones sigue siendo una gran preocupación para las organizaciones, donde el CISO juega un papel clave para la supervivencia de las compañías.

La resiliencia continúa siendo un eje central de los programas de ciberseguridad en 2026, aunque no ocupa el primer lugar entre las presiones inmediatas del CISO. Garantizar la continuidad operativa sigue siendo un reto relevante, pero queda por detrás de desafíos emergentes como la disrupción asociada a la IA, que genera mayor incertidumbre en el corto plazo.

Para la Dirección, sin embargo, la resiliencia sí es prioritaria. La continuidad del negocio lidera su agenda, junto con el impacto económico, regulatorio y reputacional. No es casual: las amenazas que más preocupan —como el ransomware, la fuga de información o los riesgos vinculados a terceros— son precisamente las que pueden paralizar la actividad.

Aunque los CISO declaran sentirse, en general, “bastante” o “ligeramente” cómodos con su entorno de control, el nivel de confianza plena es residual. Parte de este confort puede apoyarse en una percepción optimista que no siempre refleja la complejidad real del entorno, especialmente ante retos persistentes como el shadow IT, los sistemas legacy o los flujos de datos fuera de su visibilidad directa.

El punto más crítico se sitúa en la capacidad de recuperación ante una caída total. Solo una minoría ha probado de forma efectiva sus planes de recuperación y ha medido el tiempo real necesario para restablecer la actividad, mientras que una parte significativa no lo ha ensayado o lo ha estimado sin pruebas reales. En la práctica, esto implica que muchas organizaciones podrían enfrentarse a una interrupción severa sin tener claro cuánto tardarán en recuperarse, dificultando la alineación con el negocio en términos de tolerancias, impacto y prioridades.

6. Las empresas más maduras estratégicamente sitúan al CISO más cerca de la Dirección. En cambio, persiste un gap de alineamiento entre negocio y ciberseguridad.

En 2026 se consolida una tendencia clara: el CISO se acerca al Comité de Dirección. El 76% ya reporta a un miembro del CxO, frente al 53% del año anterior, y en las organizaciones más maduras la cifra alcanza el 89%. Este movimiento garantiza representación directa de la ciberseguridad en los órganos de decisión y agiliza respuestas en un entorno de mayor presión regulatoria y exposición. Además, el CISO incrementa su presencia en comités clave —Seguridad, Crisis e incluso Dirección—, reflejo de una mayor integración en la gobernanza corporativa.

En las compañías más avanzadas, también ganan peso las tensiones geopolíticas dentro de la agenda directiva, señal de que el contexto internacional ya forma parte estructural de la gestión del ciberriesgo. La implicación activa de la Dirección continúa siendo, según los propios CISO, la principal palanca para impulsar sus programas.

Sin embargo, persiste una brecha en la conexión con el negocio. Disminuye la percepción de esta relación como palanca estratégica, lo que sugiere dificultades para traducir la ciberseguridad en valor tangible para las unidades operativas. Las organizaciones más maduras parecen haber avanzado en este punto mediante figuras como los BISO o LISO, que facilitan la alineación continua y hacen posible un enfoque real de security by design.

En paralelo, crece la presión sobre el CISO para explicar con claridad la postura de riesgo, justificar la inversión y asegurar la ciberseguridad desde el diseño, consolidando su rol no solo como responsable técnico, sino como interlocutor estratégico dentro de la organización.