• Distribuidor

El 95% de las empresas no confía en su proveedor de ciberseguridad

  • Juanma Criado
  • 27/05/2026
  • Proveedor ciberseguridad

Un estudio con 5.000 empresas de 17 países acaba de revelar algo que muchos directivos ya intuían pero nadie decía en voz alta: casi ninguna empresa confía de verdad en quien la protege digitalmente.

Imagina que contratas a un guardia de seguridad para tu oficina, pero en el fondo no estás seguro de que vaya a reaccionar si pasa algo. Eso es, casi literalmente, lo que le ocurre hoy al 95% de las empresas con sus proveedores de ciberseguridad. El informe Cybersecurity Trust Reality 2026 de Sophos lo confirma con datos. Y la pregunta que debes hacerte ahora mismo es: ¿tu empresa es parte de ese 95%?

Guardia de seguridad dormido frente a monitores con alertas rojas, representando la falta de confianza en un proveedor de ciberseguridad mientras una amenaza accede al sistema desprotegido.

¿Qué dice exactamente el informe que tiene en alerta al sector?

El informe es muy claro: el 95% de las empresas reconoce no confiar plenamente en su proveedor de ciberseguridad. No es una queja puntual. Es el resultado de analizar a 5.000 organizaciones de 17 países distintos, lo que convierte este dato en una señal de alarma global.

  • El 95% de empresas no confía en su proveedor de ciberseguridad. 
  • El 79% tiene dificultad para evaluar a proveedores nuevos.
  • El 62% tampoco puede evaluar bien a su proveedor actual.
  • El 51% siente más miedo a sufrir un ataque grave por esta razón

Piénsalo un momento: más de la mitad de las empresas tiene más miedo de sufrir un ciberataque precisamente porque no confía en quien la protege. Es como tener un seguro que no sabes si va a funcionar el día que lo necesitas.

¿Por qué las empresas no saben si su proveedor es bueno o malo?

Aquí está el problema de raíz: la ciberseguridad es un mundo muy técnico y muy opaco. A diferencia de otros servicios donde los resultados son evidentes (si contratas una empresa de limpieza, ves si la oficina está limpia), en ciberseguridad los resultados suelen ser invisibles. Si no pasa nada malo, ¿es porque el proveedor lo está haciendo bien, o simplemente porque no ha habido ataques?

El informe revela que el 79% de las empresas tiene dificultades para evaluar a proveedores nuevos, y que el 62% tampoco sabe cómo valorar a su proveedor actual. Esto no significa que las empresas sean descuidadas; significa que el sector no les está dando las herramientas para tomar decisiones informadas.

La confianza no es un concepto abstracto en ciberseguridad, sino un factor de riesgo cuantificable. Cuando no puedes verificar la madurez de un proveedor, esa duda impacta directamente en tu estrategia empresarial.

— Ross McKerchar, responsable de seguridad de la información en Sophos

McKerchar lo dice de forma muy sencilla: no poder verificar a tu proveedor no es un problema de desconfianza personal, es un riesgo de negocio real y medible. Cuando no sabes si tu protección funciona, tomas peores decisiones, tardas más en actuar y, en el peor de los casos, bajas la guardia.

¿Qué consecuencias tiene esto para tu empresa en el día a día?

Esta desconfianza no se queda en el papel. Tiene efectos muy concretos que probablemente ya estás viviendo sin relacionarlos con este problema. Cuando tu equipo técnico y tu dirección no se ponen de acuerdo sobre si el proveedor es de fiar, las decisiones se retrasan. Cuando no hay criterios claros para comparar opciones, se termina cambiando de proveedor más de lo necesario, con el coste y la inestabilidad que eso conlleva.

Pero hay algo más preocupante: esa sensación de incertidumbre hace que las empresas reduzcan su nivel de alerta. Si no confías en tu sistema de protección, psicológicamente tiendes a pensar «de todas formas, si pasa algo, tampoco estaremos preparados». Y eso lleva a tomar menos medidas preventivas, no más.

El informe también apunta a que la desconfianza genera fricciones internas importantes entre los equipos de tecnología (que son quienes conocen mejor al proveedor) y la dirección (que es quien toma las decisiones de inversión). Cuando estos dos grupos no comparten la misma visión, la estrategia de seguridad queda paralizada.

¿Qué está empujando este problema hacia arriba? La IA y las nuevas leyes

Si ya era difícil evaluar a un proveedor de ciberseguridad hace cinco años, ahora es todavía más complicado. La razón principal tiene dos nombres: inteligencia artificial y regulación.

Los ataques informáticos de hoy usan inteligencia artificial para ser más rápidos, más personalizados y más difíciles de detectar. Los correos de phishing ya no tienen faltas de ortografía. Los ataques se adaptan en tiempo real a las defensas de cada empresa. Esto obliga a los proveedores de seguridad a utilizar también inteligencia artificial en sus herramientas, lo que añade una nueva capa de opacidad: las empresas no solo no saben si la herramienta funciona, sino que tampoco entienden cómo funciona.

A esto se suman las nuevas regulaciones como NIS2 en Europa, que obligan a las empresas a documentar y justificar sus decisiones en materia de ciberseguridad, incluida la elección de proveedores. Esto lo cambia todo. Phil Harris, experto en gobernanza y cumplimiento, explica que «la confianza está pasando de ser un mensaje de marketing a convertirse en un requisito legal». Ya no puedes elegir un proveedor porque te pareció convincente en una presentación. Tienes que poder demostrar por qué lo elegiste.

¿Qué medidas preventivas puede tomar tu empresa para no quedarse expuesta?

Buenas noticias: este problema tiene solución. No una solución mágica, pero sí una serie de pasos claros que cualquier empresa, grande o pequeña, puede empezar a dar hoy mismo.

  • Pide evidencias, no presentaciones. Antes de contratar o renovar con cualquier proveedor, exige datos objetivos: ¿cuántos incidentes han gestionado? ¿Cuánto tardaron en detectarlos? ¿Tienen certificaciones de terceros independientes? Si no pueden responder estas preguntas con números reales, eso ya te dice mucho.
  • Haz auditorías externas periódicas. No le preguntes a tu proveedor si hace bien su trabajo. Contrata a alguien externo que lo evalúe. Es como hacerse una revisión médica aunque te encuentres bien. La tranquilidad que aporta vale lo que cuesta.
  • Establece métricas concretas desde el primer día. ¿Cuánto tiempo máximo puede pasar hasta que detectan una amenaza? ¿Cuánto hasta que la bloquean? Si no tienes esos números por escrito en el contrato, no tienes manera de saber si se están cumpliendo.
  • Forma a tu equipo, no solo a los técnicos. El 85% de los ciberataques exitosos empiezan con un error humano: alguien que hace clic donde no debe. Una empresa con buen proveedor pero sin empleados formados sigue siendo vulnerable.
  • Diversifica tus capas de protección. Depender de un solo proveedor para todo es un riesgo. Plantéate tener diferentes herramientas o servicios para distintos aspectos: detección, respuesta, gestión de identidades, etc.
  • Desarrolla un plan de respuesta ante incidentes. ¿Qué hace tu empresa si mañana os atacan? Si no tienes la respuesta clara, ese plan debe ser tu prioridad número uno.

🛡️ Y cuando todo lo demás falla: el ciberseguro

Incluso con las mejores medidas preventivas, ninguna empresa está al cien por cien a salvo. Los ataques de ransomware, las brechas de datos o las interrupciones del servicio pueden costar cientos de miles de euros, independientemente de cuánto hayas invertido en protección. Por eso, cada vez más empresas están incorporando una póliza de ciberseguro como parte de su estrategia de ciberseguridad estratégica empresarial.

Una póliza de ciberseguro no es un sustituto de la protección técnica, sino su complemento natural. Cubre los costes de recuperación, las posibles multas regulatorias, la asistencia jurídica y la restauración de sistemas cuando ocurre lo que nadie quiere que ocurra. Si aún no tienes una, o quieres comparar opciones, este es un buen punto de partida:

Estas son las mejores opciones de ciberseguro.

¿Qué debería exigir tu empresa a un proveedor de ciberseguridad para confiar en él?

Esta es la pregunta práctica que muchos directivos se hacen y que rara vez tienen respondida. La respuesta corta es: exige lo mismo que exigirías a cualquier socio de negocio crítico: transparencia, resultados medibles y comunicación continua.

Concretamente, un proveedor de ciberseguridad en el que se pueda confiar debería ser capaz de explicarte en lenguaje normal (sin tecnicismos) qué está haciendo para protegerte, qué amenazas ha detectado este mes, y qué pasaría si ocurriese un ataque. Si no puede explicarlo de forma sencilla, probablemente él mismo no lo tiene claro.

Además, debería contar con certificaciones reconocidas y auditadas por terceros, como ISO 27001, SOC 2 o ENS (Esquema Nacional de Seguridad en España). Estas certificaciones no son garantía absoluta de nada, pero sí son una señal de que el proveedor ha pasado por un proceso de verificación externo.

Por último, la velocidad de respuesta y comunicación en momentos de crisis es otro indicador fundamental. Pregunta a tu proveedor qué pasó en su último incidente importante y cómo lo comunicaron a sus clientes. La respuesta a esa pregunta te dirá más que cualquier presentación comercial.

La ciberseguridad estratégica empresarial no es cuestión de tener el proveedor más caro o la herramienta más avanzada. Es cuestión de saber exactamente qué tienes, por qué lo tienes y qué harás cuando lo necesites de verdad.

Compartir:
Etiquetas:
, ,
Imagen de Juanma Criado

Juanma Criado

CEO de Xeoris, la empresa más innovadora del sector de la ciberseguridad y en el asegurador. Sabemos lo que necesitan las empresas para luchar contra el riesgo más grave que hoy tenemos en los negocios.

Últimas entradas

Temas

Suscríbase a nuestra newsletter

Descargar Guías

Guía de uso Xeoris - Web Partners
Guía Flujo de Procesos

Descargar Formularios

Formulario 1: Solicitud de presupuesto
Envíanos el formulario relleno a partner@xeoris.com o
adjúntalo aquí

¿Tienes que salir?, perfecto, si nos da tu correo te mantenemos informado de las novedades

Enviar formulario

Haz clic o arrastra un archivo a esta área para subirlo.