El apoyo de la alta dirección en materia de ciberseguridad en la mediana empresa ha crecido en un 30% respecto el año pasado, lo que resulta indispensable para alinear la estrategia de seguridad con los objetivos de la empresa e integrar la ciberseguridad en la cultura de la organización. Esta es una de las conclusiones del II Barómetro de la Ciberseguridad en la Mediana Empresa, que acaba de publicar Cylum, la unidad de negocio de Factum que ofrece servicios gestionados de ciberseguridad adaptados a las necesidades de este tipo de compañías.

Sin embargo, este dato no se ve acompañado un aumento de la inversión, ya que, en la actualidad, el 70% dedica menos del 5% de su presupuesto general de TI a ciberseguridad, solo un 1% más que el año anterior. Si bien, a lo largo de este 2026, un 60% de estas empresas planea incrementar el presupuesto destinado a proteger los activos, el 10% restante piensa disminuirlo.

Una de las razones de la falta de inversión en ciberseguridad está relacionada con el nivel de madurez en ciberseguridad, a la que el 4 de cada 10 responsables de TI apuntan como nivel intermedio, lo que significa una implementación de medidas básicas, sin procesos formalizados, por lo que requieren capacitación, inversión en infraestructura y mejores prácticas de seguridad.

En un nivel de protección intermedio se encuentran el 30%. Estas empresas cuentan con estrategias definidas, pero con áreas de mejora, como la necesidad de centrarse en fortalecer sus políticas, la monitorización y la capacidad de respuesta ante incidentes, para avanzar a un nivel superior de protección.

Otra de las conclusiones es que, aunque parte de las empresas optan por la externalización de servicios de TI, casi un tercio (30%) cuenta con 1 o 2 proveedores

especializados en ciberseguridad, con un 10% que tiene más de 5. Es decir, crece el número de empresas que cuenta con partners especializados en este ámbito y disminuyen aquellas que se apoyaban en terceros no especializados o en personal interno exclusivamente.

El 62% de las medianas empresas aún tienen dificultades para cumplir con regulaciones clave como GDPR y NIS2. Esto puede deberse, tal y como señala el 80% de estos profesionales, a la falta de recursos económicos y a la escasez de personal cualificado. En este punto, los expertos de Cylum recomiendan la adopción de marcos como ISO 270001 para estandarizar la seguridad y minimizar riesgos de sanciones.

Entre los principales riesgos identificados por los responsables de TI destacan los ataques de phishing y la ingeniería social, que se sitúan como la amenaza más señalada. Junto a ellos, el ransomware continúa siendo una de las ciberamenazas más críticas para las empresas. Otro riesgo relevante identificado en el estudio son las vulnerabilidades en sistemas y aplicaciones, que reflejan dificultades que muchas organizaciones siguen teniendo para gestionar la seguridad en infraestructuras cada vez más complejas y distribuidas.

“Los resultados muestran que existe una creciente concienciación sobre los riesgos, pero muchas organizaciones tienen todavía dificultades para traducir esa preocupación en capacidades reales de defensa”, explica David López, director de operaciones y preventa de Cylum.

*El informe completo del II Barómetro de Ciberseguridad en la Mediana Empresa puede consultarse y descargarse a través de la web de Cylum. Además, el estudio ha contado con la colaboración de partners tecnológicos de referencia como Cato Networks y Sophos.