Seguridad en 2026: el riesgo real está mucho más cerca de lo que parece
Durante años hablamos de delitos informáticos como algo excepcional, casi anecdótico. Pero esa percepción ya no se sostiene.
En Galicia, uno de cada cuatro delitos que se cometen hoy tiene origen digital. La cifra es lo suficientemente contundente como para entender que el problema ya no está en un “entorno virtual” separado del mundo real. Está aquí, en nuestro día a día, afectando a empresas, administraciones y personas ciudadanas por igual.
La ingeniería social sigue siendo el arma favorita
Aunque cada temporada aparezcan nuevos términos y nuevas amenazas, la mayoría de ataques se basa en lo mismo: engañar a una persona.
El phishing, el smishing o el vishing no son más que versiones modernas de estafas de toda la vida, pero ahora amplificadas por la tecnología y por la confianza excesiva que depositamos en lo que recibimos por correo o por móvil.
Podemos repetir que “desconfiamos de la tecnología”, pero la realidad es que solemos hacer clic donde no deberíamos. Y ahí es donde los atacantes encuentran el hueco.
Un escenario nuevo impulsado por la inteligencia artificial
La llegada de la IA generativa ha elevado el nivel del fraude de forma preocupante. Ya no hablamos solo de correos falsos:
- Clonar una voz con unos segundos de audio.
- Generar vídeos en tiempo real con caras sustituidas.
- Crear identidades digitales que parecen totalmente reales.
Hoy, una llamada o una videoconferencia ya no son garantías de autenticidad. Y eso supone un desafío enorme para las personas usuarias y para cualquier organización.
Man in the middle: un ataque sencillo con un impacto gigantesco
Uno de los fraudes más dañinos de los últimos años ha sido el clásico man in the middle aplicado a facturas. Interceptar un envío, cambiar el número de cuenta y reenviar el documento. Nada más. El perjudicado paga convencido de que todo es correcto y el dinero desaparece.
Este esquema ha provocado pérdidas millonarias en toda España y un quebradero de cabeza constante para empresas de todos los tamaños.
Desde octubre de 2025, el Reglamento (UE) 2024/886 obliga a los bancos a mostrar alertas cuando el titular de la cuenta no coincide con el beneficiario declarado. Es un paso adelante. Pero como siempre, si alguien acepta el aviso sin mirar, la estafa se consuma igual.
Mucha normativa, poca práctica
Europa dispone de un marco regulatorio muy amplio (RGPD, NIS2, DORA, Esquema Nacional de Seguridad, etc.), pero la realidad es que la tecnología avanza más rápido que la legislación. NIS2, por ejemplo, sigue sin transponerse en España cuando debería llevar más de un año aplicada.
La normativa existe y no es poca. Lo que falta es implementarla de forma consistente y asumir que el cumplimiento legal no es un trámite: es un elemento esencial de la seguridad.
La tecnología no sustituye a las personas
Una tendencia preocupante en muchas empresas es la confianza ciega en la tecnología. Se invierte en firewalls, antivirus avanzados o EDRs (herramientas de detección y respuesta en los propios equipos), que luego nadie monitoriza ni configura con rigor. Además de generar una falsa sensación de seguridad, termina saliendo más caro: se paga por soluciones sofisticadas que no se aprovechan y, cuando llega un incidente, hay que invertir de nuevo para reconstruir lo que no estaban preparados para defender.
Por otro lado, se invierte muy poco en formar a las personas usuarias. Paradójicamente, ellas son quienes reciben aquello que los sistemas no han podido detener. Culparles por caer en una trampa es injusto si antes no se les preparó.
El riesgo dentro de casa: redes familiares y dispositivos mezclados
Hoy ya no existe una frontera clara entre lo personal y lo profesional. El portátil del trabajo se conecta a la misma red doméstica que los móviles de los niños y niñas, los dispositivos de personas invitadas o la consola. La superficie de ataque crece sin que seamos conscientes.
Además, muchos menores usan dispositivos configurados con las cuentas de sus propios padres, replicando historiales, intereses y contenido personalizado sin entender las implicaciones. La inocencia y la creatividad propias de la edad, unidas a herramientas que no fueron diseñadas para ellos, generan escenarios inesperados… y peligrosos.
En definitiva, la ciberseguridad no es un catálogo de productos ni una lista de obligaciones legales. Es una forma de entender cómo vivimos y trabajamos en un entorno que ya es completamente digital. Requiere tecnología, por supuesto, pero también criterio, formación, responsabilidad y una cultura que atraviese tanto a las organizaciones como a los hogares. Solo cuando asumamos esa mirada amplia podremos hablar de verdadera seguridad.