No obstante, esta transformación digital no siempre va acompañada de una planificación estratégica en ciberseguridad: menos de la mitad de las empresas (42,9%) dispone de una estrategia de ciberseguridad. Es uno de los datos recogidos por el último Observatorio de Competitividad Empresarial de la Cámara de España, dedicado en esta edición a la ciberseguridad.

Según este Observatorio se dibuja una relación directa entre la existencia de una estrategia de ciberseguridad y la dimensión empresarial: el 58,8% de las empresas de más de 50 trabajadores dispone de una política de ciberseguridad, frente al 36,4% de las empresas de 1 a 9 asalariados.

El informe desvela, además, que una de cada diez empresas (11,4%) ha sufrido algún ciberataque en los últimos dos años. Entre los incidentes más frecuentes destaca el phishing (63%), seguido del malware (34,8%) y los ataques de denegación de servicio (13%).

Los efectos directos más frecuentes entre las empresas que han sufrido un ciberataque son la suplantación de identidad (39,1%) y el robo de información (21,7%). Entre las afectadas, un 39,1% señala como consecuencia, un incremento de costes y un 13% reconoce pérdida reputacional.

Según el Observatorio, casi la mitad de las empresas españolas (48,1%) permite el teletrabajo y es además una modalidad compatible con la seguridad digital. Así, el 98,4% de las empresas que han implantado el teletrabajo afirma que el número de ciberataques no ha variado, y solo un 1% percibe un aumento de la vulnerabilidad.

Presupuesto
Solo una de cada cuatro empresas prevé incrementar su presupuesto en ciberseguridad en los próximos 12 meses, una proporción que se eleva al 52,9% en las grandes compañías. Los principales motivos para aumentar la inversión son los objetivos internos de mejora (84,7%) y las exigencias normativas (25,5%).

Entre los principales obstáculos para mejorar la ciberseguridad destacan el desconocimiento sobre qué soluciones implementar (31,3%), la complejidad tecnológica (28,3%) y las limitaciones presupuestarias (29%).

Paralelamente, la mayoría de las empresas se perciben como poco atractivas para los ciberdelincuentes. En 2025, el 53,1% de las empresas encuestadas consideran que son nada o poco atractivas para los ciberdelincuentes, ligeramente inferior a la encuesta anterior (55,1%). Un 22,1% de las empresas percibe que son un atractivo alto o muy alto en 2025, similar al 23,1% de 2024.

El principal motivo por el que las empresas se consideran poco atractivas para los ciberdelincuentes sigue siendo su tamaño reducido (66,9%). También destaca la percepción de no disponer de información relevante o sensible, que se mantiene estable (52,5% en 2025 frente a 51,6% en 2024).

Las medidas básicas de protección, como antivirus y copias de seguridad, están prácticamente universalizadas (más del 95%), pero la adopción de soluciones avanzadas, como cortafuegos, VPN o sistemas de autenticación multifactorial, sigue siendo minoritaria, especialmente en las empresas más pequeñas. Solo un 10,7% ha implementado medidas específicas frente a amenazas emergentes basadas en inteligencia artificial.

La tendencia a externalizar la gestión de la ciberseguridad se consolida: el 62,8% de las empresas delega esta función en personal externo especializado, mientras que la presencia de equipos internos disminuye al 16,4%. Las pymes dependen casi exclusivamente de proveedores externos, mientras que las grandes empresas apuestan por la internacionalización y la creación de equipos propios.