¿Cuál diría que es hoy la principal amenaza de ciberseguridad para las empresas españolas, grandes y pequeñas?
Hoy en día, tanto las grandes corporaciones como las pymes en España afrontan un escenario de ciberseguridad cada vez más complejo. El ransomware sigue siendo la amenaza más visible: se trata de un tipo de ataque en el que los ciberdelincuentes bloquean el acceso a los datos de una empresa y exigen un rescate para liberarlos. En muchos casos, además de secuestrar la información, la filtran públicamente para presionar aún más a la víctima.
El phishing —engaños por correo electrónico o mensajes que simulan ser legítimos para robar información— y el robo de credenciales mediante malware continúan siendo las puertas de entrada más habituales. También está creciendo el uso de spyware y troyanos, herramientas que permiten espiar la actividad de altos directivos o robar información confidencial, y que hoy en día cualquiera puede adquirir fácilmente en foros clandestinos de internet.
Otro riesgo crítico es la explotación de vulnerabilidades en la cadena de suministro (un ejemplo recientemente fue el ciberataque al aeropuerto de Heathrow): si un proveedor externo tiene una brecha de seguridad, los atacantes pueden usarla como vía de acceso a muchas otras empresas conectadas. Aunque las grandes compañías suelen contar con equipos especializados para gestionar estos riesgos, las pymes siguen siendo un objetivo atractivo precisamente por pensar que “no interesan a nadie” y por tener menos recursos para protegerse.
En este contexto, la democratización de la ciberseguridad se perfila como un factor decisivo: es decir, hacer accesibles las soluciones y buenas prácticas a todas las organizaciones, sin importar su tamaño. Solo así se puede construir una resiliencia efectiva en todo el tejido empresarial.
¿Cómo ha cambiado el riesgo con la adopción masiva del teletrabajo, la nube y la inteligencia artificial?
La transformación digital ha traído consigo ventajas evidentes en productividad y flexibilidad, pero también ha cambiado la forma en que las empresas se exponen al riesgo. El teletrabajo y la migración a la nube han multiplicado los puntos de entrada para los atacantes: ahora no basta con proteger una oficina o un servidor interno, sino que hay que asegurar conexiones remotas, dispositivos personales y servicios alojados en terceros. Pese a ello, la percepción del peligro no siempre acompaña a la realidad: un 92,4% de las empresas afirma que el teletrabajo no ha aumentado su vulnerabilidad, cuando en la práctica ha ampliado la superficie de exposición. A este escenario se suma la inteligencia artificial, que funciona como un arma de doble filo: por un lado, permite detectar y responder a incidentes con mayor rapidez; por otro, está al alcance de los ciberdelincuentes, que la utilizan para diseñar fraudes más convincentes, automatizar campañas de phishing o crear ataques con un grado de sofisticación inédito hasta ahora.
Muchas pymes creen que no son objetivo. ¿Por qué es un error y qué deberían priorizar con recursos limitados?
Pensar que una pyme “no interesa” a los ciberdelincuentes es un error que las deja aún más expuestas. En España, el 99% del tejido empresarial lo forman pymes, lo que las convierte en un blanco masivo. Además, los atacantes saben que la mayoría carece de grandes departamentos de TI y que sus principales barreras son la falta de presupuesto y de conocimiento especializado. De hecho, aunque reconocen esa carencia, solo un 34% invierte en capacitación en ciberseguridad.
Mi recomendación es que prioricen soluciones sencillas, automatizadas y asequibles que cubran lo esencial: protección frente a malware y phishing, análisis de vulnerabilidades y copias de seguridad. Por este motivo, en Vodafone tenemos paquetes enfocados a estas necesidades, que integran estas capas de protección con un coste muy competitivo y sin necesidad de grandes inversiones.
¿Qué impacto económico medio tiene un ciberataque sobre una empresa en España?
El coste de un ciberataque puede ser mucho mayor de lo que muchas empresas imaginan. No se trata solo del rescate que los delincuentes puedan exigir, que puede ir de decenas a cientos de miles de euros, sino también de las pérdidas de productividad, sanciones regulatorias y los gastos asociados a recuperar sistemas comprometidos.
El tiempo medio de inactividad tras un ataque ronda los 21 días, lo que en España se traduce en un impacto económico aproximado de 170.000 euros. Pero quizá lo más difícil de cuantificar, y a la vez lo más dañino, es la pérdida de confianza de clientes y socios: un golpe a la reputación que, en muchos casos, puede poner en riesgo la continuidad misma del negocio.
¿Cómo se consigue que los empleados se conviertan en el primer cortafuegos y no en la principal vulnerabilidad?
Los empleados son, en realidad, la primera barrera de seguridad de cualquier organización. Con la formación adecuada y programas de concienciación adaptadas a las nuevas amenazas, se convierten en un aliado esencial para detectar intentos de fraude, correos sospechosos o comportamientos anómalos antes de que escalen a un problema mayor. Cuando se les ofrece una práctica realista, los equipos no solo cumplen con su trabajo, sino que también refuerzan la protección de la empresa en su día a día. En este sentido, impulsar una cultura de ciberseguridad convierte a cada persona en un “sensor” capaz de anticipar riesgos y actuar como la mejor línea de defensa frente a los ciberataques.
¿Qué peso tienen normas como el NIS2 o el DORA en la estrategia de ciberseguridad de las compañías?
Normativas como NIS2 o DORA se han convertido en un motor de cambio para las empresas, porque no solo marcan un marco legal, sino que obligan a elevar el nivel de seguridad, a gestionar los riesgos de forma más profesional y a demostrar resiliencia frente a incidentes. Más allá del cumplimiento, estas normas impulsan a las compañías a adoptar buenas prácticas que refuerzan su protección y credibilidad ante clientes y socios. En nuestro caso, apoyamos este proceso con auditorías, servicios como CISO as a Service y soluciones específicas de cumplimiento que facilitan a las organizaciones adaptarse a estos requisitos de manera ágil y eficaz.
¿La inteligencia artificial es más una herramienta para reforzarla seguridad o una nueva fuente de amenazas?
La inteligencia artificial juega un doble papel. Por un lado, es una herramienta clave para reforzar la seguridad donde ayuda a anticipar ataques, detectar patrones anómalos y automatizar respuestas en tiempo real, lo que mejora la capacidad de defensa de las empresas. Pero al mismo tiempo, los ciberdelincuentes también la están usando para su beneficio, creando fraudes más creíbles, malware más sofisticado o incluso deepfakes. Un ejemplo reciente ocurrió en Hong Kong, donde un empleado transfirió 23 millones de dólares tras participar en una videollamada falsa que simulaba a su propio jefe. En este sentido, la IA no es buena ni mala por sí misma: su impacto dependerá de cómo la utilicemos.
La clave está en aprovechar todo su potencial defensivo, pero siempre bajo la supervisión de analistas de ciberseguridad que validen las decisiones y eviten que la automatización se convierta en un riesgo en sí misma.
¿Hasta qué punto los proveedores externos pueden convertirse en un eslabón débil crítico?
Los proveedores externos pueden convertirse en un punto de riesgo crítico porque, si uno de ellos es atacado, el problema se propaga fácilmente a toda su red de clientes, como una ficha de dominó que arrastra a las demás. Se calcula que alrededor del 43% de los ciberataques que sufren las pymes tienen su origen en la cadena de suministro, un canal muy utilizado por los delincuentes para llegar hasta compañías más grandes. Es más fácil atacar al más débil. Por eso, la seguridad de los socios externos no puede verse como algo secundario, sino como parte esencial de la estrategia de cualquier empresa. Exigir garantías, revisar periódicamente sus prácticas y monitorizar de forma continua las conexiones con terceros son pasos clave para reducir esta exposición y proteger tanto a la organización como al ecosistema en el que opera. Cómo comentábamos anteriormente hay ataques muy llamativos como el reciente ciberataque al aeropuerto de Heathrow a través de la compañía Collins Aerospace o el de Jaguar Land Rover (JLR) que sospecha que el ataque se originó a través de un proveedor externo, ambos en septiembre de 2025.
¿Por qué considera que la ciberseguridad ya no es un gasto, sino un activo estratégico para la competitividad?
La ciberseguridad ha dejado de ser solo una cuestión técnica para convertirse en un elemento clave de la estrategia empresarial. Hoy no se trata únicamente de proteger sistemas, sino de garantizar la continuidad del negocio, cumplir con normativas cada vez más exigentes y sobre todo generar confianza entre clientes, socios e inversores. Esa confianza digital es la que permite cerrar contratos, acceder a nuevos mercados y diferenciarse frente a la competencia. Por eso, más que un coste, la ciberseguridad debe entenderse como una inversión que aporta valor, credibilidad y ventaja competitiva. El verdadero cambio cultural que necesitan las organizaciones es asumirla como un activo estratégico, al mismo nivel que la innovación o la sostenibilidad.
Si tuviera que dar un consejo clave a los directivos para los próximos 3 años, ¿cuál sería?
El consejo más importante es que integren la ciberseguridad en la estrategia global de la empresa. Ya no puede considerarse un asunto exclusivo del área de TI, porque los riesgos digitales afectan directamente a la continuidad del negocio, a la confianza de los clientes y a la competitividad en el mercado. En los próximos años, la diferencia estará en las compañías que vean la seguridad como un pilar de su transformación digital y no como un añadido opcional. Para ello, es clave apostar por soluciones gestionadas que faciliten la protección sin sobrecargar a los equipos internos, invertir de forma constante en la formación de los empleados y apoyarse en socios estratégicos con experiencia y tecnología de primer nivel. Ese enfoque permitirá a las organizaciones ser más resilientes y aprovechar con confianza las oportunidades que ofrece un entorno cada vez más digital y exigente.
