El peligro oculto de la IA afecta a casi la mitad de las pymes españolas

El 87% de las pymes españolas ya ha integrado aplicaciones de inteligencia artificial en su actividad diaria, posicionando a España como líder mundial en la adopción de esta tecnología.

La irrupción de la inteligencia artificial en el tejido empresarial ha transformado radicalmente la forma en la que operan los negocios, posicionando a España como un referente indiscutible en este ámbito tecnológico. Según los últimos datos recabados por ESET, el 87% de las pequeñas y medianas empresas españolas ya ha integrado algún tipo de aplicación basada en inteligencia artificial en su día a día.

Esta cifra no solo refleja un salto tecnológico importante, sino que supone el porcentaje más alto de todos los países analizados a nivel global, superando holgadamente la media mundial del 73% y la europea continental que se sitúa en el 71%. Sin embargo, este entusiasmo tecnológico esconde una realidad operativa preocupante, ya que cerca de cuatro de cada diez pymes españolas, concretamente el 38%, todavía no dispone de políticas que restrinjan el uso de estas aplicaciones fuera de los procesos aprobados por la gerencia.

Publicidad

Esta práctica corporativa, conocida en el sector informático como ‘shadow AI’, genera una importante brecha de seguridad al permitir que los empleados utilicen servicios y plataformas de inteligencia artificial sin el conocimiento ni la supervisión directa de la dirección.

El análisis de este fenómeno se extrae del estudio SMB Cyber Readiness Index 2026, un exhaustivo informe publicado por la compañía de ciberseguridad ESET tras encuestar a 4.400 responsables de pymes de trece países distintos, incluyendo a 400 directivos en el territorio español. El riesgo de no regular esta tecnología afecta incluso a las organizaciones que han decidido no implementarla todavía de forma oficial, ya que a escala global el 73% de las empresas sin integración formal de inteligencia artificial carece de políticas específicas que regulen su utilización por parte de las plantillas de trabajadores.

La falta de gobernanza en el uso de las nuevas herramientas digitales choca frontalmente con el volumen de ataques informáticos que sufre el tejido productivo nacional. El escenario actual revela que el 45% de las pymes ha experimentado al menos un incidente de ciberseguridad a lo largo del último año. De hecho, la situación sitúa a España en una posición delicada dentro del panorama internacional, convirtiéndose en el tercer país con mayor porcentaje de pymes afectadas por este tipo de contingencias, quedando únicamente por detrás de potencias como Alemania y Estados Unidos. Dentro de este grupo de empresas vulneradas, un 14% de las compañías tuvo que hacer frente a más de un ataque a lo largo de los últimos doce meses.

Pyme revisando contratos del Ministerio de Defensa en tablet
Una persona trabajando | Fuente: Agencias

Curiosamente, existe una desconexión evidente entre las amenazas que más atemorizan a los directivos y las que realmente terminan comprometiendo sus sistemas informáticos. El malware impulsado por inteligencia artificial concentra la mayor parte de los miedos, siendo señalado como la principal preocupación por el 31% de los encuestados. No obstante, la realidad operativa demuestra que las causas principales de las brechas de seguridad continúan siendo métodos mucho más tradicionales. El phishing sigue liderando los ataques reales, afectando al 26% de las empresas, seguido por las vulnerabilidades de software sin parchear con un 23%, la falta de monitorización adecuada con un 22% y el uso de contraseñas débiles por parte del personal con un 20%.

La percepción de que la inteligencia artificial actúa de forma autónoma para destruir sistemas no concuerda con los registros reales de las compañías de protección. El conjunto de datos recopilados por los servicios de ESET no ha registrado hasta la fecha ningún incidente de seguridad en el que la inteligencia artificial generativa haya desempeñado un papel significativo. Josep Albors, responsable de investigación y concienciación de ESET España, subraya que el verdadero peligro actual reside en la capacidad de estas herramientas para acelerar y escalar amenazas informáticas que ya eran conocidas en el entorno corporativo. Los cibercriminales emplean los algoritmos para redactar mensajes de phishing mucho más convincentes, producir variantes de virus informáticos a gran velocidad y automatizar tareas. Todo esto permite que atacantes con conocimientos técnicos muy limitados puedan ejecutar campañas de ingeniería social sumamente sofisticadas y a un coste menor.

La confianza empresarial y los obstáculos presupuestarios

A pesar de la sofisticación de los ciberataques y del volumen de incidentes reportados, las organizaciones mantienen una fe inquebrantable en sus propios protocolos de defensa. El 68% de las empresas confía plenamente en su capacidad para prevenir incursiones externas, mientras que el 75% considera que se encuentra preparado para responder de forma efectiva en caso de sufrir un incidente cibernético. Esta seguridad contrasta con el nivel de alerta general, puesto que el 61% de las organizaciones teme sufrir un ciberataque el año próximo y el 75% ve la ciberguerra y los conflictos geopolíticos como amenazas tangibles para su negocio. Para afrontar estos retos, el 80% de las compañías evalúa su presupuesto de seguridad como suficiente y un 40% tiene previsto incrementarlo de cara al próximo ejercicio presupuestario.

Pese a estos planes de expansión financiera, la mejora de las defensas corporativas sigue encontrando importantes escollos estructurales en el seno de las organizaciones. Las limitaciones presupuestarias continúan siendo el principal obstáculo para el 24% de las firmas analizadas en el mercado. Muy de cerca le siguen los problemas derivados de la complejidad técnica y la integración de diferentes sistemas informáticos, que frenan al 21% de los negocios. Además, la acuciante falta de talento especializado y de competencias avanzadas en el mercado laboral supone un reto mayúsculo para el 20% de las empresas que buscan reforzar sus departamentos tecnológicos.

Uno de los puntos ciegos más alarmantes que revela el estudio actual es la escasa percepción del riesgo que existe en torno a la cadena de suministro corporativa. Apenas un 15% de las organizaciones la identifica como una de sus preocupaciones principales a la hora de diseñar estrategias de defensa. Esta falta de previsión ignora que una vulneración en los sistemas de un proveedor externo tiene el potencial de extenderse de forma vertiginosa hacia una multitud de clientes interconectados, generando un efecto dominó que puede desencadenar un impacto operativo de dimensiones incalculables.

La capacitación humana como escudo de resiliencia

Ante la democratización de las herramientas de ataque, la respuesta del tejido empresarial se orienta hacia el refuerzo del factor humano mediante inversiones focalizadas. La formación y la concienciación de los empleados se alzan como la prioridad de inversión número uno, siendo señalada por el 41% de las empresas encuestadas. Otras áreas de inversión clave incluyen la seguridad en la nube, respaldada por el 33% de los directivos, y el fortalecimiento de las soluciones de copia de seguridad y recuperación de datos, apoyada por el 26%. El valor de la educación se considera ya un pilar básico de la resiliencia operativa para el 87% de las pymes, y más de la mitad, un 67%, organiza cursos formativos varias veces al año. De hecho, tan solo un marginal 2% de organizaciones no ofrece ningún tipo de instrucción en ciberseguridad a su plantilla. Esta preparación se traduce en tiempos de reacción más ágiles, logrando que el 41% de los negocios consiga investigar los ataques en menos de dos semanas.

La trascendencia de blindar los sistemas va mucho más allá de salvaguardar servidores, especialmente en un país donde la pequeña y mediana empresa sostiene la mayor parte de la actividad económica y del empleo nacional . Como advierte el propio Albors, un incidente grave trasciende lo técnico para convertirse en un problema de viabilidad y reputación, ya que puede detener la operativa diaria y destruir la confianza depositada por clientes y proveedores. Un ataque exitoso amenaza la supervivencia misma de unas corporaciones que suelen operar con márgenes muy estrechos para absorber impactos financieros imprevistos. El objetivo no debe centrarse en acumular infinitas herramientas defensivas, sino en comprender qué riesgos particulares pueden detener realmente la actividad comercial, priorizando una protección que resulte fácil de gestionar y que pueda adaptarse a las nuevas dinámicas del mercado.


Publicidad