La ciberseguridad se ha convertido en una prioridad estratégica para las empresas españolas, al menos en el plano del discurso. El aumento constante de los fraudes digitales, los accesos no autorizados y la suplantación de identidad ha situado el riesgo tecnológico en el centro de las preocupaciones corporativas.
Sin embargo, esta inquietud no siempre se traduce en acciones concretas, especialmente cuando se analiza el papel de la formación interna.
En 2025, el tejido empresarial se mueve entre la conciencia del problema y la falta de respuesta estructural. Aunque cada vez más compañías reconocen la gravedad de las amenazas digitales, una parte significativa sigue sin preparar adecuadamente a sus equipos, a pesar de que el factor humano continúa siendo uno de los principales puntos de entrada para los ataques.
La preocupación por la ciberseguridad crece en todo el tejido empresarial
Los datos más recientes muestran un incremento claro en el nivel de alerta de las empresas españolas frente a los riesgos digitales. La mitad de las compañías declara una preocupación elevada por la seguridad de sus sistemas, un avance notable respecto al año anterior.
Si se amplía la perspectiva, más de ocho de cada diez organizaciones sitúan su inquietud en niveles medios o altos, lo que confirma que la ciberseguridad ya no se percibe como un problema marginal.
Este cambio de percepción se produce en un contexto marcado por cifras muy relevantes. En 2024 se registraron en España más de 460.000 delitos vinculados al ámbito digital, de los cuales una amplísima mayoría estuvo relacionada con fraudes informáticos.
A ello se suma la gestión de más de 97.000 incidentes de ciberseguridad por parte de organismos especializados, lo que refleja una presión constante sobre empresas de todos los sectores.
Diferencias claras según el tamaño de la empresa
La forma en que se vive la ciberseguridad no es homogénea. El tamaño de la organización influye de manera directa tanto en la percepción del riesgo como en la experiencia real con los ataques. En las grandes compañías, la preocupación elevada alcanza a casi dos tercios de las empresas, mientras que en las microempresas esta proporción se reduce de forma significativa.
Este contraste también se observa en la exposición a incidentes. Cerca de la mitad de las organizaciones de mayor tamaño reconoce haber recibido algún intento de ataque, mientras que en las más pequeñas existe un mayor grado de desconocimiento sobre si han sido objetivo de acciones maliciosas.
Esta falta de visibilidad puede convertirse en un problema añadido, ya que dificulta la adopción de medidas preventivas eficaces.
El eslabón débil sigue siendo la formación
Pese al aumento de la preocupación, la respuesta en términos de capacitación interna sigue siendo insuficiente. Más de la mitad de las empresas no ha impartido formación ni ha facilitado información específica sobre ciberseguridad a sus empleados en el último año. Aunque esta cifra mejora respecto a ejercicios anteriores, continúa evidenciando una brecha preocupante entre la percepción del riesgo y las acciones reales.
La formación resulta especialmente relevante si se tiene en cuenta que muchos ataques se apoyan en errores humanos, como el uso de contraseñas débiles, la apertura de correos fraudulentos o la descarga de archivos maliciosos. Sin una base mínima de conocimientos, los trabajadores se convierten en un objetivo fácil, independientemente de las inversiones tecnológicas realizadas.
La experiencia cambia el comportamiento
Existe una relación directa entre haber sufrido un incidente y la adopción de medidas formativas. Las empresas que han sido objeto de intentos de ataque muestran una actitud mucho más proactiva, con cerca del 60% ofreciendo algún tipo de formación o información en ciberseguridad. En cambio, entre aquellas que no declaran haber sido atacadas, el porcentaje desciende de forma notable.
Este patrón sugiere que muchas organizaciones reaccionan solo cuando el problema ya se ha manifestado, en lugar de anticiparse. Esta estrategia reactiva puede implicar un coste elevado, tanto económico como reputacional, especialmente en un entorno donde los ataques son cada vez más rápidos y difíciles de detectar.
Dos velocidades en la protección digital
El avance de la concienciación en ciberseguridad es innegable, pero no se produce al mismo ritmo en todo el tejido empresarial. Las grandes compañías cuentan con más recursos, estructuras internas y capacidad para desplegar programas de formación continuada.
Por el contrario, las micro y pequeñas empresas afrontan mayores dificultades para dedicar tiempo y presupuesto a estas iniciativas, a pesar de que también son objetivo habitual de los ciberdelincuentes.
Esta diferencia genera un escenario de protección desigual, donde una parte importante del tejido productivo permanece expuesta. La ciberseguridad ya no depende únicamente de soluciones técnicas, sino de una cultura organizativa que integre la prevención como parte del trabajo diario. Sin una apuesta clara por la formación, la preocupación seguirá creciendo, pero el riesgo continuará intacto.
