Comunicado de prensa
El 78 % de los CISO afirman que los directivos de alto nivel
no comprenden plenamente los riesgos cibernéticos derivados de la actuación de los empleados
Publicado el: 9 Jul 2026
Casi la mitad de los CISO que se muestran menos seguros respecto a la ciberresiliencia de su organización señalan la ingeniería social basada en la inteligencia artificial como la razón principal.
El 79 % afirma que el apoyo de la dirección a las iniciativas de sensibilización en materia de seguridad se va diluyendo con el tiempo
El 68 % considera que los empleados son el mayor riesgo de seguridad de su organización, ya que la inteligencia artificial potencia los ataques dirigidos contra personas.
Londres, 9 de juliode 2026 – Más de tres cuartas partes de los directores de seguridad de la información (CISO) de toda Europa afirman que los responsables de la toma de decisiones de alto nivel no comprenden plenamente el riesgo cibernético que plantean los empleados, según un nuevo estudio, en un momento en el que la inteligencia artificial está haciendo que los ataques dirigidos contra personas sean más sofisticados, escalables, convincentes y cada vez más frecuentes.
La encuesta realizada a 200 responsables de seguridad de la información (CISO) del Reino Unido, Francia, Alemania y Suecia, llevada a cabo por MetaCompliance, la empresa especializada en la gestión de riesgos cibernéticos relacionados con el factor humano, revela una creciente desconexión entre los riesgos a los que se enfrentan las organizaciones en el ámbito humano y el nivel de comprensión, coordinación y apoyo por parte de la alta dirección que se requiere para gestionarlos de forma eficaz.
Estas conclusiones se producen en un momento en el que los ataques basados en la inteligencia artificial se centran cada vez más en el criterio de los empleados, en lugar de en las vulnerabilidades técnicas. El estudio revela que, entre los directores de seguridad de la información (CISO) que se sienten menos seguros respecto a la ciberresiliencia de su organización que hace 12 meses, casi la mitad señala como motivo principal los ataques de ingeniería social cada vez más sofisticados y basados en la inteligencia artificial.
Al mismo tiempo, los empleados siguen siendo una fuente importante de riesgo cibernético. Más de dos tercios de los CISO siguen considerando a los empleados como el mayor riesgo de seguridad de su organización, lo que pone de relieve cómo la inteligencia artificial está agravando los retos que ya existen en el ámbito humano.
Sin embargo, la investigación sugiere que muchos CISO están intentando abordar esta cuestión sin contar con un respaldo constante por parte de la alta dirección. Casi cuatro de cada cinco CISO afirman que el apoyo de la dirección a las iniciativas de formación en materia de seguridad se va diluyendo con el tiempo, mientras que el 76 % señala que tiene dificultades para satisfacer las exigencias contrapuestas de las distintas partes interesadas en cuanto a los indicadores de riesgo humano.
Casi una cuarta parte también señala que la coordinación entre las partes interesadas de las distintas áreas funcionales es uno de los aspectos en los que se sienten menos seguros a la hora de gestionar el riesgo cibernético relacionado con el factor humano, lo que pone de relieve el reto que supone desarrollar un enfoque coordinado en toda la empresa.
James Mackay, director ejecutivo de MetaCompliance, ha declarado: «La inteligencia artificial ha cambiado el panorama de los riesgos para las personas. Los atacantes ya no recurren a estafas evidentes ni a correos electrónicos de phishing mal redactados. Ahora pueden crear a gran escala intentos de suplantación de identidad, ataques de ingeniería social y comunicaciones fraudulentas sumamente convincentes».
«Esto hace que la coordinación con la alta dirección sea más importante que nunca. El riesgo cibernético humano ya no es solo una cuestión de concienciación o de formación; es un riesgo estratégico para la empresa. Sin embargo, nuestra investigación revela que muchos CISO siguen intentando impulsar el cambio sin contar con un apoyo constante por parte de la alta dirección, sin una responsabilidad clara ni una visión compartida del riesgo en toda la empresa».
«Si el apoyo de los dirigentes se desvanece tras el impulso inicial, las organizaciones quedan desprotegidas. Para desarrollar la resiliencia frente a las amenazas relacionadas con la inteligencia artificial se requiere un respaldo ejecutivo sostenido, una mayor coordinación entre las partes interesadas y un enfoque más inteligente y basado en el comportamiento a la hora de gestionar el riesgo cibernético humano».
Los resultados también ponen de manifiesto cómo la inteligencia artificial está transformando el panorama de amenazas para las organizaciones:
- Más de cuatro de cada diez responsables de seguridad de la información (CISO) están preocupados por el hecho de que la inteligencia artificial aumente la velocidad y el impacto de los ataques de ingeniería social
- Si bien el 40 % teme que los empleados estén compartiendo información confidencial con plataformas de IA generativa
- Otro 41 % está preocupado por la posibilidad de que personas malintencionadas de dentro de la propia empresa utilicen la IA para facilitar el fraude, la ciberdelincuencia o el robo de datos
- En el Reino Unido, la preocupación por los ataques de suplantación de identidad mediante «deepfakes» es especialmente elevada, ya que más de la mitad de los directores de seguridad de la información (CISO) los consideran una amenaza importante para su organización, lo que supone el nivel más alto registrado en todos los mercados analizados.
A medida que resulta cada vez más difícil distinguir el contenido generado por IA de las comunicaciones legítimas, las organizaciones están prestando mayor atención al refuerzo de sus defensas frente a los ataques dirigidos contra personas. Mejorar la resiliencia frente a los ataques de ingeniería social basados en IA se está convirtiendo en una prioridad cada vez mayor, y casi una cuarta parte de los CISO la identifican como un aspecto clave para los próximos 12 meses.
James Mackay añade: «Las organizaciones mejor preparadas para responder serán aquellas que consideren el riesgo cibernético humano como un reto de gestión continuo, y no como un ejercicio de formación periódico».
«Los empleados necesitan apoyo en los momentos en que el riesgo se materializa. Esto implica recurrir al análisis del comportamiento, la segmentación en tiempo real y la orientación contextual para ayudar a las personas a tomar mejores decisiones en materia de seguridad, a medida que los ataques basados en la inteligencia artificial se vuelven más difíciles de detectar».
ENDS
Metodología
La investigación fue llevada a cabo por Censuswide, sobre una muestra de 200 responsables de seguridad de la información (CISO) de empresas con más de 250 empleados (mayores de 30 años) de Francia, Alemania, Suecia y el Reino Unido (50 CISO en cada mercado). Los datos se recopilaron entre el 17 de febrero de 2026 y el 23 de febrero de 2026. A nivel nacional Es miembro de la Market Research Society (MRS) y del British Polling Council (BPC), y ha suscrito el Compromiso Global de Calidad de los Datos. Nos regimos por el Código de Conducta de la MRS y los principios de ESOMAR.
Acerca de MetaCompliance
MetaCompliance es la empresa especializada en la gestión del riesgo humano que está transformando la forma en que las organizaciones crean culturas de seguridad resilientes. Su plataforma inteligente, diseñada para empresas, combina formación personalizada en ciberseguridad, análisis del comportamiento y automatización para medir, mitigar y gestionar el riesgo humano a gran escala. Cuenta con la confianza de más de seis millones de usuarios en todo el mundo, MetaCompliance ayuda a las empresas internacionales a reducir el riesgo y a implantar cambios de comportamiento duraderos. www.metacompliance.com
***
Contactos de prensa
- MetaCumplimiento
- Liz Adams, Vicepresidenta de Marketing - [email protected]