Las Claves #Hiscox

Mantener la seguridad de las pymes (pequeñas y medianas empresas) no es precisamente una tarea sencilla. Este fundamental grupo impulsa la mitad de la economía mundial, y quienes las dirigen se enfrentan a un amplio abanico de retos, en muchos casos, compaginando responsabilidades en todos los ámbitos, desde las operaciones, las ventas, el marketing, la marca, la tecnología y los recursos humanos, entre otros. Una de sus tareas más complicadas es la de evaluar los riesgos, lo que les exige comprender la constante evolución de las amenazas a las que se enfrentan las empresas. La complejidad de estas amenazas sigue en aumento a medida que los avances tecnológicos, como los agentes de inteligencia artificial, transforman el mundo que nos rodea. 

Por eso la 9ª edición del Informe sobre ciberpreparación de Hiscox coloca el foco en el impacto de estos riesgos digitales en rápida evolución, lo que implican y cómo las pequeñas empresas pueden tomar medidas para atenuar su exposición. El 94% de las pymes espera aumentar sus inversiones en ciberseguridad y protección de datos en los siguientes 12 meses, actualizar la ciberformación de sus empleados (70%) y contratar personal adicional para aumentar la ciberresiliencia (60%). 

Se evidencia, por tanto, la determinación de las pymes de no solo invertir en software y formación, sino también de mantenerse al día con evaluaciones de riesgos y comprobaciones de vulnerabilidad frecuentes, además de contratar ciberseguros. Gracias a este enfoque proactivo, las empresas están mostrando una mayor confianza, y el 83% afirma haber mejorado la ciberresiliencia de su empresa en los últimos 12 meses. 

La complejidad de los riesgos digitales sigue aumentando. Las empresas se enfrentan al reto de gestionar las secuelas de los ataques de ransomware, entre los que encontramos los cambios normativos, como una nueva ley en Australia que obliga a las empresas a revelar las cantidades pagadas en concepto de rescate. Se trata de una norma que también podría adoptarse en otros países, y el 71% de las empresas considera que estas revelaciones deberían ser obligatorias, aunque la tasa baja al 53% en caso de estar implicada una compañía privada. 

El 60% considera que la ingeniería social y el malware basados en IA, y los ataques de phishing serán las principales amenazas que surgirán en los próximos cinco años.

Las pequeñas y medianas empresas continúan enfrentándose a un entorno de riesgo, cada vez más alto, en materia de ciberseguridad. En los últimos meses, los ciberataques no solo han aumentado en frecuencia, sino que también han tenido un impacto significativo en la operativa y la estabilidad financiera de las organizaciones. Según el Informe de Ciberpreparación de Hiscox 2025, solo el 1% de las pymes españolas afectadas logró evitar cualquier tipo de consecuencia derivada de los ciberataques en los últimos 12 meses.

La pérdida financiera por fraude de desvío de pagos sigue siendo la principal consecuencia para el 53% de las empresas afectadas (55% en 2024). Los ataques de denegación de servicios distribuido (DDoS) han afectado al 49% de las organizaciones (51% en el ejercicio precedente). El uso indebido de recursos de TI, como el minado de criptomonedas o la creación de botnets, ha impactado al 43% de las empresas, y el ransomware, incluyendo la extorsión cibernética, ha afectado al 31% de las compañías, frente al 38% del año anterior.

Las brechas de datos también siguen siendo una preocupación relevante. Un 30% de las empresas reporta pérdida de datos no encriptados, frente al 35% de 2024, mientras que el 26% sufrió pérdida de datos encriptados (33% en 2024). Los brotes de virus (excluyendo ransomware) bajan en un año desde el 46% al 20%, desde el 46% en 2024.

Ante este escenario, las empresas españolas están reforzando sus estrategias de prevención mediante la realización de verificaciones de vulnerabilidad cibernética, como pruebas de penetración o simulacros de ataque. El 18% de las organizaciones realiza estas comprobaciones al menos una vez a la semana, un 26% lo hace un par de veces al mes y un 28% aproximadamente una vez al mes. Además, un 19% lleva a cabo estas evaluaciones de forma trimestral. El 72% de las empresas realiza verificaciones al menos mensualmente, y el 91% lo hace como mínimo una vez al trimestre, lo que evidencia un alto grado de concienciación en torno a la identificación de vulnerabilidades. El 99% afirma haber realizado este tipo de pruebas en alguna ocasión.

Por otro lado, las empresas también están preocupadas por la entrada de atacantes a través de sus proveedores o socios. El 64% de las empresas evalúa los riesgos de sus proveedores al menos una vez al mes, mientras que el 88% lo hace como mínimo trimestralmente, lo que pone de manifiesto que la gran mayoría mantiene algún tipo de control regular sobre su cadena de suministro. Además, el hecho de que el 99% de las empresas haya llevado a cabo este tipo de análisis en alguna ocasión refleja una preocupación prácticamente generalizada por los riesgos derivados de terceros y su impacto potencial en la seguridad global de la organización.

Cisco: el ciberdelincuente es vertiginoso en explotar vulnerabilidades

Talos, la división de ciber-inteligencia de Cisco, ha detectado un aumento significativo de los ataques perpetrados por ciberdelincuentes durante 2025. El Cisco Talos Year in Review identifica tres vectores de ataque principales: la explotación generalizada de vulnerabilidades a lo largo de todo el ciclo de vida (desde fallos recién revelados hasta problemas heredados de hace décadas); los ataques dirigidos a la ‘arquitectura de confianza’ (identidad y autenticación); y la explotación de frameworks centralizados y ampliamente utilizados para maximizar el impacto.

“Los adversarios se mueven a una velocidad vertiginosa para explotar vulnerabilidades -a menudo en cuestión de horas-, sin dejar prácticamente tiempo a los equipos de seguridad para reaccionar entre la detección y la infiltración”, afirma Ángel Ortiz, Director de Ciberseguridad en Cisco España. “En esta peligrosa carrera contrarreloj, observamos una gran dependencia de infraestructuras heredadas y obsoletas, que suponen una ‘puerta abierta’ para los atacantes. Si a esto le sumamos el vertiginoso incremento de ataques basados en la identidad, las organizaciones deben reemplazar el antiguo modelo de parcheo reactivo por una estrategia de seguridad proactiva y centrada en la identidad”, advierte.

Entre las conclusiones del informe de Talos:

• La identidad es el objetivo principal. Las técnicas de compromiso de dispositivos dirigidas a la autenticación multi-factor (MFA) y la infraestructura de identidad aumentaron un 178% durante 2025. Al comprometer las credenciales, los atacantes logran extender sigilosamente su alcance mediante el phishing interno y el abuso de los controles de identidad, obteniendo -en la práctica- el control de todo el entorno y facilitando un movimiento lateral persistente.
• Explotación en todo el espectro de vulnerabilidades. Aunque los atacantes utilizan rápidamente vulnerabilidades nuevas y de alto perfil (como React2Shell, que se convirtió en la vulnerabilidad más atacada del año tan sólo tres semanas después de su divulgación), continúan explotando sistemáticamente vulnerabilidades antiguas.
• El riesgo de sistemas heredados persiste. El 32 % de las 100 vulnerabilidades más atacadas tenían más de una década de antigüedad.
• Exposición a sistemas obsoletos. Casi el 40 % de las vulnerabilidades más atacadas afectan a sistemas que ya no pueden recibir parches de seguridad.
• Riesgo de frameworks compartidos. Aproximadamente el 25% de las 100 vulnerabilidades más atacadas afectaban a frameworks y bibliotecas de uso generalizado, permitiendo a los atacantes aprovechar una única vulnerabilidad en múltiples sectores.
• Ransomware industrializado: Qilin fue la variante de ransomware más frecuente en 2025, con alrededor de 40 víctimas al mes. El sector fabricación ha seguido siendo el más atacado.

Cisco recomienda a los equipos de seguridad ir más allá de las medidas reactivas y centrarse en los pilares que realmente detienen a los atacantes. Como concluye Ortiz, “para construir una defensa sólida, las organizaciones deben priorizar tres acciones clave: parchear rápidamente las nuevas vulnerabilidades para adelantarse al cada vez menor margen de explotación, fortalecer la infraestructura de identidad con autenticación MFA resistente al phishing y desmantelar los sistemas obsoletos que actúan como puertas traseras permanentes para los atacantes”.

Miguel Ángel Valero

No es de extrañar que el 83% de los directivos de las empresas admita haber sufrido estrés en 2025, frente al 24% registrado en 2024, según la II Radiografía del Ecosistema Empresarial Español de Hiscox. Porque el Global Risks Report 2026, presentado por Marsh y Zurich en el Foro de Davos, muestra que la mitad de los directivos globales vislumbra un futuro tormentoso o turbulento a dos años vista, el 57% % a 10 años.

José María Carulla, Líder Risk Consulting Marsh en Iberia y Turquía, destaca que, a corto plazo, la lista de preocupaciones de los responsables de las empresas está encabezada por la confrontación geoeconómica, seguida de la desinformación, la polarización social, el clima extremo, los conflictos armados entre Estados, la inseguridad cibernética, la desigualdad, el deterioro de los derechos humanos y de la libertad, la contaminación, y las migraciones involuntarias.

A largo plazo, la relación cambia radicalmente: en primer lugar, las consecuencias extremas del cambio climático, la pérdida de biodiversidad y el colapso del ecosistema, y un cambio crítico en los sistemas de la Tierra que complicara la vida allí. Luego, la desinformación, las amenazas de la inteligencia artificial, la falta de recursos naturales, la desigualdad, la inseguridad cibernética, la polarización social, y la contaminación. 

"Todos los riesgos terminan confluyendo en la desigualdad en la sociedad", subraya Carulla, que destaca que la creciente incertidumbre complica la toma de decisiones, tanto de las empresas como de los Gobiernos, que necesitan estructuras más ágiles. Además, una conmoción en un área se propaga rápidamente, amplificando la inestabilidad global.

Todo esto conduce a una presión sobre las democracia, con un auge de los extremismos por la polarización política y social. Al mismo tiempo, retrocede el multilateralismo, ante el empuje de soluciones nacionales, lo que perjudica la capacidad de abordar problemas globales compartidos, como el cambio climático, la inestabilidad económica o las amenazas a la seguridad.

Y las preocupaciones medioambientales quedan relegadas mientras se intensifican los riesgos económicos por una deuda que ya supone el 235% del PIB mundial y por las posibles burbujas de activos, que llevan a una mayor vulnerabilidad financiera que, a su vez, facilita disrupciones más amplias.

Como si el cóctel no fuera suficientemente explosivo, los riesgos tecnológicos parecen estar sin control. Por un lado, la desconfianza hacia lo digital penetra ya en el mundo físico. Por otro, facilitan la desinformación, un palanca para agravar la polarización social, y los avances en la inteligencia artificial (IA) y en la computación cuántica disparan as amenazas a la ciberseguridad.

En el caso de la IA, la incógnita sobre su evolución estimula el miedo a la posible pérdida del control sobre ella, lo que plantea la necesidad de una cooperación global para lograr una gobernanza proactiva y humana sobre esta tecnología.

Los directivos españoles señalan, como principales riesgos para hacer negocios, la polarización social, los problemas para captar y retener talento, servicios públicos y sociales insuficientes (sobre todo la educación y las infraestructuras), la deuda (tanto pública como la corporativa y la de las familias), y la falta de oportunidades y el paro.

Visión a largo plazo de los riesgos

Ante este panorama, el Global Risks Report 2026 propone cinco recomendaciones:

• test de estrés de escenarios futuros, que desemboque en una estrategia para anticiparse a los cambios
• identificar y mitigar los cuellos de botella en las cadenas de suministro, con información en tiempo real del riesgo que se tiene con los proveedores
• usar la IA y la analítica de datos para generar evaluaciones e información
• fomentar la adaptabilidad de la fuerza laboral a las transformaciones
• invertir en resiliencia de las infraestructuras para apoyar un crecimiento sostenible

José María Carulla alerta de la desinformación y de los ciberataques generados por IA, del impacto negativo en la cohesión social y en la confianza en la democracia, de su capacidad para provocar disrupciones en el mercado laboral, interrupciones en el suministro de energía, y para facilitar eventos climáticos extremos. Pero también resalta su potencial en análisis de datos, en mejora de la productividad, en la predicción, prevención y gestión de los riesgos.

Ante unas cadenas de suministro sobrecargadas y unas infraestructuras envejecidas, que facilitan interrupciones y suplantaciones, "datos mejorados y capacidad de análisis en tiempo real para la toma de decisiones".

En definitiva, una visión a largo plazo de los riesgos para mejorar la resiliencia, identificar oportunidades de colaboración, y más agilidad en las organizaciones, con empoderamiento de directivos y empleados, para una conexión entre las personas y las estrategias que faciliten los ajustes necesarios.

Hiscox: se deteriora la salud mental de los directivos de las empresas

En una línea similar a la de Marsh, el informe de Hiscox coloca el foco en el estado de la salud mental de los directivos y responsables de las empresas en España. La presión derivada de la gestión diaria, la incertidumbre económica y regulatoria, y el aumento de las responsabilidades está teniendo un impacto directo en su bienestar emocional, hasta el punto de que el estrés se ha disparado: el 83% reconoce haberlo sufrido en 2025, frente al 24% registrado el año anterior.

Este fuerte incremento del estrés se suma al alza en otros síntomas relacionados con la salud mental, y que han sufrido el 74% de directivos y gestores de empresas: problemas para dormir (60%, frente al 21% en 2024), ansiedad (49% vs. 21%), depresión (28% frente al 11% del año anterior), baja autoestima e inseguridad (25%), déficit de atención o dificultad para concentrarse (20%).

Los directivos que declaran haber sufrido alguno de estos síntomas presentan, de media, 2,66 afecciones simultáneas, lo que evidencia un impacto acumulativo en su bienestar. 

Los síntomas son más frecuentes entre quienes dirigen pymes de 1 a 250 empleados (82%), aunque también afectan de forma relevante a los que no tienen trabajadores a su mando (69%).

El deterioro de la salud mental de los directivos se enmarca en un contexto económico complicado, marcado por la constante evolución y multiplicación de riesgos, entre ellos el legal. Pero, sorprendentemente, el 26% de los directivos reconoce no ser consciente de los riesgos legales que asume en el desempeño de su actividad, un porcentaje que se reduce al 22% entre aquellos que cuentan con empleados. 

Cuando el 18% afirma haberse visto afectado por algún problema grave o reclamación de terceros. Entre quienes han sufrido este tipo de situaciones, los problemas administrativos (54%) y laborales (52%) son los más habituales, seguidos de los medioambientales (17%). En cuanto a las demandas recibidas, predominan también las relacionadas con cuestiones administrativas (36%), laborales (19%) y medioambientales (14%), aunque el 45% asegura no haber sido nunca demandado.

Miguel Ángel Valero

En España, el reciente sistema de cotización de ingresos reales, impulsado por la Administración con el objetivo de ajustar las cuotas a los ingresos declarados y hacer más equitativo el sistema de Seguridad Social, está generando un intenso debate sobre la sostenibilidad del modelo y su impacto en el crecimiento del tejido empresarial autónomo. 

De hecho, si bien un 60% de los autónomos no ha percibido cambios significativos en su negocio, un tercio de estos afirma haber experimentado un impacto negativo, tal y como se desprende de los datos de 2025 del II Informe de Pymes y Autónomos de España de Hiscox.

Este sistema, que se implementa de manera progresiva, establece que los autónomos con mayores ingresos contribuyan con cuotas más elevadas, mientras que quienes perciben menores ingresos paguen menos. 

El 8,7% de los autónomos asegura haberse beneficiado del sistema de cotización basado en ingresos reales. El 59,9% afirma que no les ha afectado. Pero el 30,2%, prácticamente uno de cada tres, señala sentirse perjudicados.

Ante este escenario, para los autónomos afectados, la medida ha supuesto una doble adversidad. Por un lado, la reducción de los beneficios netos limita su capacidad de ahorro, inversión y planificación financiera; y por otro, el incremento de la carga fiscal añade presión económica en un entorno ya competitivo.  Entre el tercio de autónomos perjudicado, el 66,3% señala que la principal causa es la subida de la cuota, destacando pagos más elevados, mayores gastos y un incremento de los impuestos.

Otro 16,5% afirma sufrir impacto económico, aunque sin concretarlo. De esta forma, el 82,8% de los autónomos afectados por el sistema de cotización basado en ingresos reales subraya que paga más cuota, tiene más, sufre más impuestos, y logra menos beneficios.