Las pymes españolas lideran la adopción de IA a nivel global, pero casi cuatro de cada diez no regulan su uso

Team working with laptops, virtual reality, and data analytics screens in a modern office

ESET, compañía líder en ciberseguridad, ha publicado su SMB Cyber Readiness Index 2026, un estudio elaborado a partir de las respuestas de 4.400 responsables de pymes de 13 países, entre ellos 400 de España, que analiza el nivel de preparación de estas organizaciones ante los principales desafíos de ciberseguridad. Los datos muestran que el 45% de las pymes sufrió al menos un incidente de ciberseguridad durante los últimos 12 meses, mientras que un 14% experimentó más de uno. A pesar de ello, las empresas muestran una creciente confianza en su capacidad de protección: el 68% confía en poder prevenir ataques y el 75% considera que está preparada para responder ante un incidente.

Esta confianza convive, sin embargo, con un elevado nivel de preocupación. El 61% de las organizaciones teme sufrir un ataque durante el próximo año y el 75% considera que la ciberguerra y los conflictos geopolíticos representan amenazas reales capaces de afectar a su actividad.

La IA concentra el temor, pero las amenazas tradicionales siguen detrás de los incidentes

El malware impulsado por inteligencia artificial se sitúa como la amenaza que más preocupa a las pymes, mencionada por el 31% de los encuestados. Sin embargo, el estudio revela una brecha significativa entre la percepción y la realidad.

Las principales causas de los incidentes siguen siendo el phishing, citado por el 26% de las empresas afectadas, las vulnerabilidades sin parchear, con un 23%, la falta de monitorización de seguridad, con un 22%, y las contraseñas débiles, con un 20%. Además, el conjunto de datos de los servicios MDR de ESET no registró ningún incidente en el que la inteligencia artificial generativa desempeñara un papel significativo.

“A día de hoy, el principal impacto de la IA no reside tanto en la aparición de malware plenamente autónomo como en su capacidad para acelerar y escalar amenazas ya conocidas”, señala Josep Albors, responsables de investigación y concienciación de ESET España“Los atacantes están utilizando estas herramientas para automatizar tareas, generar mensajes de phishing más convincentes, producir nuevas variantes de malware y crear campañas de ingeniería social a mayor velocidad y menor coste. Esto permite que incluso actores con conocimientos técnicos limitados puedan lanzar ataques más sofisticados y creíbles”.

España lidera la adopción de IA entre las pymes

España destaca especialmente en el estudio por su rápida adopción de la inteligencia artificial. El 87% de las pymes españolas ya ha integrado aplicaciones de IA, el porcentaje más alto de todos los países analizados, frente al 73% de la media global y el 71% registrado en EMEA.

Las empresas españolas también presentan el mayor nivel de concienciación sobre los riesgos de seguridad asociados al uso de estas tecnologías. No obstante, esta adopción no siempre va acompañada de una gobernanza suficiente. Cerca de cuatro de cada diez pymes españolas (38%) todavía no dispone de políticas para restringir el uso de aplicaciones de IA fuera de los procesos o plataformas aprobados, una práctica conocida como shadow AI.

El riesgo también afecta a aquellas organizaciones que aún no han adoptado formalmente estas tecnologías. A escala global, el 73% de las empresas que no integra oficialmente herramientas de IA tampoco dispone de políticas específicas, pese a que sus empleados pueden estar utilizando servicios públicos sin conocimiento de la dirección.

España se sitúa, además, como el tercer país con mayor porcentaje de pymes que sufrieron uno o más incidentes de ciberseguridad durante el último año, solo por detrás de Alemania y Estados Unidos.

Las pymes aumentan su preparación y apuestan por la formación

El informe también identifica una evolución positiva en la madurez de las empresas. El 80% considera que su presupuesto de ciberseguridad es suficiente o más que suficiente y el 40% prevé aumentarlo durante el próximo año.

Las principales prioridades de inversión son la formación y concienciación de los empleados, señalada por el 41% de las empresas, la seguridad cloud, con un 33%, y las soluciones de copia de seguridad y recuperación, con un 26%.

La formación se consolida como uno de los principales pilares de la resiliencia. El 87% de las pymes considera que la educación de los empleados es muy importante o crítica y el 67% imparte formación más de una vez al año. Solo el 6% se limita a programas básicos de concienciación, mientras que un 2% no ofrece ningún tipo de formación en ciberseguridad.

También mejora la capacidad de reacción. El 41% de las empresas investigó los incidentes sufridos en menos de dos semanas y otro 34% tardó entre dos y seis semanas.

Presupuesto, complejidad y falta de talento, los principales obstáculos

Pese a los avances, las pymes siguen encontrando barreras para mejorar su protección. Las limitaciones presupuestarias son el principal obstáculo para el 24% de las empresas, seguidas de la complejidad y los problemas de integración, con un 21%, y la falta de talento y competencias especializadas, con un 20%.

El estudio también advierte de una baja percepción del riesgo asociado a la cadena de suministro. Solo el 15% de las empresas la sitúa entre sus principales preocupaciones, pese a que un ataque a un proveedor puede extenderse rápidamente a numerosos clientes y generar un impacto operativo considerable.

“En un país como España, donde las pymes sostienen buena parte de la actividad económica y del empleo, la ciberseguridad no puede entenderse únicamente como una cuestión técnica”, concluye Josep Albors“Un incidente grave puede detener la operativa, romper la confianza de clientes y proveedores y comprometer la continuidad de empresas que cuentan con menos margen para absorber el impacto. El reto no consiste en desplegar todas las herramientas posibles, sino en identificar los riesgos que realmente pueden paralizar el negocio, establecer prioridades claras y construir una protección proporcionada, sencilla de gestionar y capaz de evolucionar al mismo ritmo que las amenazas”.   

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.