A medida que la inteligencia artificial remodela radicalmente los negocios, una amplia mayoría de organizaciones españolas (95%) no están adecuadamente preparadas para proteger sus sistemas y procesos impulsados por esta tecnología, según un nuevo informe de Accenture. A nivel global, casi dos tercios (63%) de las empresas se encuentran en la “zona expuesta”, mientras que en España la cifra sube hasta el 80%, lo que indica que carecen tanto de una estrategia de ciberseguridad cohesiva como de las capacidades técnicas necesarias.
La nueva edición del estudio “Estado de la resiliencia en ciberseguridad 2025” de Accenture, se basa en una encuesta a 2.286 ejecutivos de ciberseguridad y tecnología de grandes organizaciones de todo el mundo y revela que la rápida adopción de la IA ha acelerado drásticamente la velocidad, la escala y la sofisticación de las ciberamenazas, superando con creces las protecciones de ciberdefensa empresariales actuales. Por ejemplo, más de tres cuartas partes (84%) de las organizaciones a nivel nacional (77% global) carecen de las prácticas esenciales de seguridad de datos e IA necesarias para proteger modelos de negocio críticos, pipelines de datos e infraestructura en la nube.
A pesar del rápido crecimiento de la adopción empresarial de la IA, solo el 17% de las organizaciones en España (22% a nivel mundial) han implementado políticas y medidas de capacitación claras para el uso de la IA generativa. Además, muy pocas mantienen un inventario completo de los sistemas de IA, que es crucial para gestionar los riesgos de la cadena de suministro. Adicionalmente, la protección de datos sigue siendo inadecuada, con solo el 20% de las compañías españolas (25% a nivel mundial) aprovechando plenamente los métodos de cifrado y los controles de acceso para proteger la información sensible.
La investigación también revela una inmadurez generalizada en ciberseguridad en todas las regiones, destacando una brecha crítica entre la ambición y la preparación. Solo el 14% de las organizaciones norteamericanas y el 11% de las europeas tienen posiciones maduras. En América Latina, el 77% carece de estrategias y capacidades básicas, mientras que el 71% de las organizaciones de Asia-Pacífico permanecen en la llamada “zona expuesta”, enfrentando riesgos operativos y financieros.
La investigación identifica tres zonas distintas de madurez de seguridad basadas en la estrategia de ciberseguridad y las capacidades técnicas de una organización. El grupo superior, al que Accenture denomina la “zona lista para la reinvención” que incluye el 5% de las organizaciones españolas y el 10% a nivel mundial, tienen una postura de seguridad adaptable y resiliente que evoluciona continuamente para contrarrestar las amenazas emergentes. El 15% de las compañías españolas está en el puesto intermedio (27% a nivel global), en la denominada como “zona en progreso”, en la que se encuentran aquellas que muestran fortaleza, pero tienen dificultades para definir la dirección estratégica o implementar defensas. El grupo que afronta un mayor riesgo se ubica en la “zona expuesta”, que en nuestro país representan el 80% de las organizaciones, (y el 63% a nivel mundial), y que se caracterizan por una preparación cibernética limitada y una postura reactiva ante las amenazas. Estas condiciones se acrecientan por el complejo entorno actual de la IA y los factores de riesgo globales.
Las empresas a nivel mundial que están «listas para la reinvención», sin embargo, tienen un 69% menos de probabilidades de enfrentar ataques avanzados y son 1.5 veces más efectivas para bloquearlos. También tienen 1.3 veces mayor visibilidad en los entornos de TI y OT, han reducido la deuda técnica en un 8% y ven un 15% de aumento en la confianza del cliente, demostrando cómo las prácticas de ciberseguridad más sólidas impulsan tanto la resiliencia como el valor empresarial.
Cuatro claves imprescindibles
Las cuatro acciones necesarias para alcanzar la «zona lista para la reinvención» identificadas por Accenture son:
• Desarrollar e implementar un marco de gobernanza de seguridad y un modelo operativo adecuados para las realidades de un mundo alterado por la IA, a fin de establecer una responsabilidad clara y alinear la seguridad de la IA con los objetivos regulatorios y comerciales.
• Diseñar un núcleo digital seguro para la IA generativa desde el inicio, integrando la seguridad en el desarrollo, la implementación y los procesos operativos de la IA.
• Mantener sistemas de IA resilientes con bases seguras que aborden proactivamente las amenazas emergentes, mejoren las capacidades de detección, permitan las pruebas de modelos de IA y mejoren los mecanismos de respuesta.
• Reinventar la ciberseguridad con IA generativa, aprovechándola para automatizar los procesos de seguridad, fortalecer las defensas cibernéticas y detectar amenazas antes.
