El ransomware es la ciberamenaza que más preocupa a las empresas españolas

El 'Estudio de la Ciberseguridad en España 2024', elaborado por Secure&IT, revela que el 95,4% de las empresas considera el ransomware como el principal riesgo para su organización. Junto con este tipo de ataque, la exfiltración de datos y el phishing preocupan especialmente al sector empresarial. El informe también destaca el impacto de la coyuntura geopolítica en la ciberseguridad, así como la incertidumbre generada por la normativa europea. A pesar de estos desafíos, las compañías están incrementando su inversión en protección de datos, seguridad en la nube y formación especializada, con el objetivo de fortalecer sus defensas ante un entorno digital cada vez más hostil.

La ciberseguridad se ha convertido en una prioridad estratégica para las empresas en España. Así lo confirma el 'Estudio de la Ciberseguridad en España 2024', elaborado por Secure&IT, que pone de manifiesto las principales amenazas y preocupaciones del sector. Según el informe, el 95,4% de las organizaciones identifica el ransomware como el mayor peligro para su operativa. Esta amenaza, que se ha mantenido en primera posición durante los últimos tres años, representa un riesgo grave debido a la posible pérdida de datos, el impacto económico y la interrupción de la actividad empresarial.

Además del ransomware, otras técnicas de ataque están adquiriendo protagonismo. La exfiltración de datos (53,1%) y el phishing (52,6%) preocupan de manera significativa a las empresas. Estos métodos, basados en la ingeniería social, explotan la vulnerabilidad humana para acceder a información confidencial y comprometer la seguridad de los sistemas corporativos.

El informe también señala que el 64,3% de las empresas considera que la situación geopolítica afecta directamente a su ciberseguridad. Las tensiones internacionales han convertido a determinadas organizaciones en objetivos prioritarios para los ciberdelincuentes. "Es probable que veamos un aumento en los ataques derivados de las tensiones geopolíticas. Las empresas que operan en mercados marcados por conflictos entre países, diferencias ideológicas, religiosas o culturales podrían convertirse en el blanco de ciberataques", advierte Francisco Valencia, director general de Secure&IT.

El marco normativo en materia de ciberseguridad ha evolucionado significativamente en los últimos años. En 2024, la Unión Europea ha expresado su preocupación ante el incremento de la cibercriminalidad y ha implementado nuevas regulaciones para reforzar la protección digital de las organizaciones. Entre estas medidas destacan el Reglamento de Resiliencia Operativa Digital (DORA), la Ley de Ciberresiliencia (CRA) y, especialmente, la Directiva NIS2, que tiene un impacto notable en sectores críticos.

"Se han producido importantes avances en la regulación en Europa con DORA, la CRA y la Directiva NIS2, que es la que más está impactando. Esta norma va a ser, probablemente, una de las que más transformará el modo en el que las organizaciones abordan la seguridad en los sectores más críticos de la sociedad", señala Francisco Valencia.

Sin embargo, el estudio refleja que muchas empresas aún tienen dudas sobre la aplicación de estas normativas. A pesar de reconocer la necesidad de cumplir con ellas, la falta de claridad sobre su implementación efectiva está generando incertidumbre en el sector.

Ante el incremento de las amenazas y la creciente presión regulatoria, las empresas están reforzando sus estrategias de ciberseguridad. Según el informe, el 45,8% de las compañías está invirtiendo en consultoría de cumplimiento y procesos de seguridad, lo que refleja una clara intención de alinear sus estrategias con la normativa vigente. Además, un 42,3% prioriza proyectos de seguridad en la nube, mientras que el 38,7% destina recursos a la segmentación y protección de redes.

La ciberseguridad industrial también está ganando relevancia, con un 32,8% de las empresas enfocándose en la protección de infraestructuras críticas. Esto indica un enfoque más integral, que abarca tanto los sistemas de información como los procesos productivos.

El informe subraya la importancia de la formación y la concienciación en materia de ciberseguridad. El 85,3% de las empresas encuestadas considera esencial mejorar la capacitación de sus empleados para prevenir ataques y minimizar riesgos. Asimismo, el 82,3% destaca la necesidad de reforzar la gestión de la privacidad y el cumplimiento normativo.

Entre las medidas adoptadas, un 58,3% de las organizaciones está invirtiendo en formación especializada y un 56,3% ha implementado un Plan Director de Seguridad. Estas cifras reflejan un cambio en la mentalidad empresarial, que apuesta por una cultura de seguridad digital sólida y proactiva.