La séptima edición del estudio ‘El estado de la ciberseguridad en España’ confirma un punto de inflexión: la inteligencia artificial se convierte en el principal desafío para los CISO
Poco podía imaginar el célebre estratega militar chino Sun Txu -cuando escribió allá en el siglo VI a.C. El arte de la Guerra-, que esa idea suya de que las batallas no tienen por qué librarse necesariamente en el campo físico tendría aplicación práctica siglos después en el ámbito empresarial, inmerso hoy en plena revolución digital. El desarrollo tecnológico ha abierto un universo de posibilidades, sí. Pero también ha multiplicado los riesgos que enfrentan las empresas más allá del plano físico.
Hoy la IA está presente (y lo estará) en todo. No es una afirmación al azar sino el punto de partida con el que arrancaba este martes el Observatorio Tecnológico de la Transformación de las Empresas, un encuentro que servía de marco para la presentación de la séptima edición del estudio El Estado de la ciberseguridad en España 2026. La cita, celebrada en el madrileño Espacio Bloke y organizada por Deloitte, con la colaboración de El Confidencial, ha puesto de manifiesto que la ciberseguridad ha dejado de ser un asunto técnico para convertirse en un eje estratégico de supervivencia empresarial.
En un entorno donde la inteligencia artificial acelera tanto la innovación como la sofisticación del cibercrimen, las organizaciones se ven obligadas a repensar sus modelos de gobierno, reforzar su resiliencia y asumir que la seguridad ya no es un área aislada, sino un componente estructural del negocio. Durante la presentación del informe, Xavi Gracia, socio responsable de Ciberseguridad de Deloitte, sintetizó el cambio de paradigma: “La inteligencia artificial está redefiniendo las reglas del entorno digital y, con ello, el papel de la ciberseguridad en las empresas”. El estudio revela que el 77% de los CISO sitúa la IA como su principal desafío. Sin embargo, solo un 27% ha desplegado controles específicos para proteger modelos de IA, lo que deja a la mayoría expuesta en un terreno donde los controles tradicionales ya no bastan
El 77% de los CISO identifica la IA como el mayor reto pero solo el 27% ha desplegado controles específicos
IA, regulación y resiliencia
“Este documento es una brújula imprescindible para entender la ciberseguridad” ha apuntado en su bienvenida al evento Angel Villarino, director adjunto de El Confidencial quien ha señalado, además, que la ciberseguridad es clave para la independencia de las organizaciones. Gracia ha subrayado que la IA se ha convertido en un elemento transversal que afecta a todos los sectores y su impacto se manifiesta en dos frentes: como herramienta de defensa y como arma de ataque.
«La cadena de suministro se ha convertido en un vector crítico y muy complejo de gestionar», Gracia (Deloitte)
Los ciberdelincuentes ya la utilizan con ventaja, reduciendo drásticamente los tiempos de preparación de un ataque. Esta aceleración obliga a las organizaciones a reforzar su capacidad de detección y respuesta en un entorno donde la superficie de riesgo crece sin pausa. El informe alerta sobre la brecha de resiliencia apuntando, entre otras cosas, que el 43% de las organizaciones desconoce cuánto tardaría en recuperarse tras una caída total de sistemas, y solo un 36% ha realizado simulacros reales. En lo relativo a las amenazas, las que más inquietan a la alta dirección son el ransomware (88%), la fuga de información (75%) y la exposición derivada de terceros (73%).
«Necesitamos un modelo de gobernanza corporativo que dé coherencia y evite sobrecargar a los equipos locales», Parra (Cellnex)
Precisamente, uno de los puntos que más inquietud genera entre los CISO es la gestión de proveedores. El informe recuerda que la cadena de suministro sigue siendo un vector crítico y difícil de controlar. “El número de proveedores es inmenso; abordar esto es muy difícil, pero es lo que les ocupa a la mayoría de compañías” ha explicado Gracia. Los datos lo confirman: la mayoría de organizaciones se limita a cuestionarios o revisiones documentales, mientras que solo un 10% llega a involucrar a sus proveedores más críticos en simulacros reales de ciberseguridad.
El talento es otro de los grandes cuellos de botella no en vano, los expertos coinciden en que encontrar perfiles con experiencia es altamente complicado e incluso, se advierte un creciente desgaste de los equipos. El informe de Deloitte apunta, además, que la complejidad de los ciberataques genera bastante frustración a los equipos que no pueden responder con la rapidez que les piden sus organizaciones. Esta tensión ha llevado a muchas compañías a apoyarse en modelos híbridos y hoy el 60% del personal de ciberseguridad es externo.
«Trasladar el riesgo tecnológico al consejo es complejo, porque es difícil de visualizar pero es prioritario», Rivera (Iberia Cards)
En este contexto, el documento constata que el rol del CISO ha evolucionado y, como apuntaba Gracia, en el momento presente “es el hombre o la mujer orquesta”, recordando que el 76% ya reporta a un miembro del comité de dirección. La función se ha vuelto más estratégica, más cercana al negocio y más expuesta a la presión regulatoria.
Del papel a la práctica, el papel de los CISO
Si la presentación del informe dibujó el mapa de riesgos, la mesa redonda permite recorrerlo con quienes lo viven cada día. Los CISOs de Cellnex, Iberia Cards y OHLA, junto al socio de Ciber de Deloitte, compartieron cómo están afrontando la irrupción de la IA, la presión regulatoria y la creciente complejidad operativa. Sus intervenciones mostraron un sector que avanza rápido, pero también consciente de que la transformación exige nuevas capacidades, nuevos modelos de gobierno y una visión mucho más integrada con el negocio.
«La IA está redefiniendo las reglas del entorno digital y, con ello, el papel de la ciberseguridad en las empresas», Gracia (Deloitte)
Más allá de las particularidades de cada sector, los CISO coincidieron en que la función vive un momento de transformación acelerada, marcado por la irrupción de la inteligencia artificial, la presión regulatoria y la necesidad de modelos de gobierno más maduros y conectados con el negocio. Los expertos coincidieron nada más empezar el debate en que la IA representa una oportunidad pero también un desafío operativo, y que su adopción ya no es opcional, pero sí exige un marco de control sólido. La IA permite automatizar tareas, mejorar la detección y absorber el crecimiento del negocio sin multiplicar equipos, pero requiere supervisión humana constante.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F14b%2F5f9%2F70d%2F14b5f970dd5d5e5e98c9157ba032dca1.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F14b%2F5f9%2F70d%2F14b5f970dd5d5e5e98c9157ba032dca1.jpg)
“Es una ayuda que todavía vemos extraña, pero la vamos a naturalizar y ya no va a ser ese ejército extraño, sino será nuestra nueva forma de trabajo» apuntaba Laura Parra, CISO de Cellnex. Una afirmación que matizaba José Manuel Rivera, su homólogo de Iberia Cards apuntando que su despliegue debe hacerse con cautela, subrayando la necesidad de establecer guardarraíles que eviten desviaciones o manipulaciones. En el ámbito de las infraestructuras, Luis Paredes, Global CISO de OHLA, destacó que la IA ya es un vector de diferenciación competitiva y explicó que la compañía ha creado una normativa de uso responsable que define principios, riesgos y límites.
«La ciberseguridad ya no puede verse como un área técnica aislada. El riesgo tecnológico es riesgo de negocio», Frieiro (Deloitte)
En este punto del debate, Rubén Frieiro, socio de Ciberseguridad de Deloitte, aportó una visión más amplia sobre cómo la IA está transformando el riesgo y obligando a las organizaciones a replantear sus modelos de defensa. Además, recordó que con un 70% de los incidentes afectando a pymes, la brecha de capacidades es evidente. “Existe una brecha de madurez muy evidente entre organizaciones que llevan años invirtiendo en ciberseguridad y otras que están empezando ahora a estructurar sus capacidades. Esa diferencia se nota en la velocidad de respuesta, en la resiliencia y en la capacidad de absorber nuevas tecnologías como la IA” argumentó. El experto insistió en que la digitalización debe ir acompañada de seguridad desde el diseño porque “sin seguridad no hay transformación posible; la IA acelera todo, también los riesgos, y eso exige que la seguridad avance al mismo ritmo que la innovación”.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc38%2Fe97%2F5f5%2Fc38e975f56b9af649418e15cd8a40240.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc38%2Fe97%2F5f5%2Fc38e975f56b9af649418e15cd8a40240.jpg)
La regulación también estuvo muy presente en el debate, con referencias a NIS2, DORA y otros marcos normativos como elementos que están elevando la ciberseguridad al plano directivo y obligando a las organizaciones a profesionalizar sus modelos de gobierno. Los expertos coincidieron en que la regulación, lejos de ser una carga, se ha convertido en una palanca de madurez. “Ha sido una palanca muy importante porque eleva la responsabilidad al Consejo”, explicaba Rivera. En su experiencia, la regulación está ayudando a que los órganos de gobierno entiendan el riesgo tecnológico en términos comparables a los riesgos legales o financieros.
A lo largo de la conversación, los CISO coincidieron en un mensaje transversal: la ciberseguridad ha dejado de ser un ámbito puramente técnico para convertirse en un elemento estructural del negocio. La IA, la regulación y la presión operativa están redefiniendo el rol del CISO y empujando a las organizaciones hacia modelos más híbridos, automatizados y estratégicos.
«No basta con un CISO fuerte, todas las áreas deben entender su papel en la protección del negocio», García Fau (Consejera)
La ciberseguridad como responsabilidad indelegable
Tras el análisis técnico y operativo de los CISO, las ponencias El impacto de la ciberseguridad en el ámbito corporativo, de la mano de Ana García Fau, consejera independiente de Cellnex Telecom y Acerinox; y La visión del supervisor: ciberseguridad y ciber resiliencia, Francisco del Olmo Fons, subdirector responsable de Fintech y Ciberseguridad de la CNMV, sirvieron para llevar al centro de la jornada una mirada más estratégica.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc2e%2Fbd8%2F6da%2Fc2ebd86dab789f9773d6d135026de92d.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc2e%2Fbd8%2F6da%2Fc2ebd86dab789f9773d6d135026de92d.jpg)
García Fau situó la ciberseguridad en el centro de la agenda del consejo. Su intervención subrayó que la seguridad digital ha dejado de ser un tema técnico para convertirse en un factor determinante de competitividad, reputación y continuidad operativa e insistió en que los órganos de administración deben comprender el riesgo tecnológico con la misma profundidad con la que analizan los riesgos financieros o legales. “Trasladar el riesgo tecnológico al consejo es complejo, pero es imprescindible”.
«Las entidades deben gestionar adecuadamente el riesgo de proveedores TIC que soportan funciones esenciales», Del Olmo (CNMV)
Del Olmo, por su parte, insistió en la importancia de la gobernanza, la gestión de terceros y la capacidad de recuperación operativa. “Es importante que los órganos de decisión se involucren en la estrategia de ciberresiliencia y no recaiga exclusivamente en las áreas TIC. Pueden delegar funciones, pero no responsabilidades” apuntó y subrayó que la supervisión será cada vez más exigente en materia de pruebas, evidencias y simulacros o, dicho de otro modo, la resiliencia deja de ser un concepto abstracto, para convertirse en un requisito operativo que debe demostrarse con hechos.
La jornada confirmó un cambio de paradigma evidenciando que la ciberseguridad ya no es un área técnica, sino un pilar estratégico que condiciona la capacidad de competir, de cumplir y de generar confianza, una responsabilidad compartida entre CISO, consejos y reguladores.
