Resiliencia, automatización y gestión del riesgo marcarán la ciberseguridad en 2026

La ciberseguridad afronta un cambio estructural en 2026. Las empresas españolas, inmersas en la transposición de la Directiva NIS2 y la entrada en vigor de marcos como DORA, eIDAS2 y las políticas del Esquema Nacional de Seguridad (ENS), deberán enfrentarse a un escenario de amenazas más rápidas, autónomas y difíciles de detectar.

El auge de la inteligencia artificial, la escasez de talento especializado y la necesidad de coordinar tecnología, cumplimiento y negocio bajo un mismo marco de gobierno configuran un entorno en el que la resiliencia será tan importante como la prevención.

El mercado español de ciberseguridad superará los 5.000 millones de euros en 2026, impulsado por la demanda de servicios gestionados, la automatización defensiva basada en inteligencia artificial y la presión normativa. A nivel global, el gasto alcanzará los 213.000 millones de dólares, un 14% más que en 2025. En este contexto, Factum ha identificado ocho tendencias que marcarán el rumbo del sector:

-     De la seguridad técnica al gobierno del riesgo. La presión normativa obligará a las empresas a pasar de una seguridad puramente técnica a una seguridad gobernada. El reto será coordinar la ciberseguridad con el negocio mediante modelos GRC (Governance, Risk & Compliance), impulsando la creación de oficinas de seguridad internas o externalizadas que garanticen trazabilidad, control y comunicación directa con la dirección.

-     El auge de la ciberseguridad como servicio. Ante la falta de talento especializados y el elevado coste de mantener equipos internos llevarán a más empresas a externalizar la gestión completa de la ciberseguridad bajo modelos as a Service (CaaS). Estos servicios integrarán detección, respuesta, gobierno, formación y vigilancia 24/7, aunque, con ello, deben mantener la visibilidad y soberanía del dato sin perder alineación con la estrategia corporativa.

-     Automatización defensiva con inteligencia artificial. En 2026, la IA pasará de ser un apoyo para convertirse en protagonista, siendo el estándar de los centros de operaciones (SOC). Permitirá detectar anomalías en tiempo real, automatizar respuestas y predecir amenazas antes de que se materialicen. La IA defensiva se consolidará como un gran aliado para frenar ataques impulsados por IA ofensiva.

-     Convergencia entre IT y OT: el riesgo industrial se digitaliza. La transformación digital en entornos industriales, sanitarios y logísticos ha difuminado las fronteras entre IT y OT, lo que conlleva un aumento en la exposición a ciberataques dirigidos a sistemas de control y dispositivos IoT. Por ello, la tendencia será integrar el threat hunting OT dentro de los SOC unificados y aplicar arquitecturas Zero Trust que segmenten redes y operaciones críticas.

-     Ciberresiliencia y continuidad del negocio. Sin duda, el ransomware seguirá siendo la principal amenaza, pero el foco se desplazará hacia la resiliencia operativa para garantizar la continuidad de servicios críticos incluso bajo ataque. Las empresas deberán contar con planes de respuesta probados y protocolos de comunicación de crisis.

-     Seguridad de la identidad y trabajo distribuido. Con el trabajo híbrido consolidado, la identidad digital se convierte en el nuevo perímetro corporativo. La autenticación adaptativa, la gestión de accesos privilegiados (PAM) y el control de dispositivos personales serán críticos. La experiencia del usuario debe mantenerse fluida sin comprometer la protección.

-     Cultura y formación continua en ciberseguridad. El factor humano sigue siendo el punto de entrada más común de los ataques. En 2026, las empresas priorizarán programas de concienciación continua, simulaciones personalizadas y métricas de madurez real de los equipos. La formación dejará de ser un curso puntual para integrarse en la operativa diaria, con indicadores vinculados al desempeño.

-     Transparencia y reporte a la alta dirección. Las nuevas normativas exigirán a los CIO y CISO reportar incidentes, niveles de madurez y métricas de riesgo al consejo de administración. Surge así la necesidad de adoptar KPI y KRI unificados, paneles de control en tiempo real y una narrativa que traduzca datos técnicos en lenguaje de negocio y reputación.

Los expertos advierten que los ataques serán más inteligentes y automáticos: el ransomware 4.0 combinará robo, cifrado y extorsión; el phishing con IA generativa y los deepfakes pondrán a prueba incluso sistemas biométricos; y los ataques a la cadena de suministro digital crecerán en sectores industriales, sanitarios y energéticos.