Lo último de IO Informe sobre el estado de la seguridad de la información Destaca un sector estructuralmente expuesto y plenamente consciente de ello. Las organizaciones de transporte y viajes se encuentran en la intersección de la infraestructura física, las plataformas digitales y las cadenas de suministro estrechamente interconectadas. Cuando algo sale mal, el impacto es inmediato y muy visible, desde flotas en tierra y paradas de producción hasta clientes varados y una disrupción generalizada de los proveedores.

Los resultados de este año muestran que los líderes de seguridad en transporte y viajes trabajan para mantener el ritmo de las amenazas impulsadas por la IA, la aceleración regulatoria y la fragilidad de la cadena de suministro, mientras luchan con limitaciones presupuestarias, escasez de habilidades y participación desigual de la junta.

Entre nuestros encuestados se encontraban líderes sénior en ciberseguridad y seguridad de la información del ecosistema de transporte y viajes del Reino Unido y Estados Unidos. Sus respuestas revelan dónde es más aguda la presión, cómo se están desarrollando los incidentes en la práctica y dónde se está centrando el sector para fortalecer su resiliencia.

A continuación, analizamos 11 estadísticas clave que todo líder de transporte y viajes debe comprender del Informe de este año.

Estadísticas clave sobre seguridad de la información para el sector del transporte y los viajes

  1. El 57% afirma que la naturaleza de la industria del transporte y los viajes hace que sea particularmente difícil implementar medidas efectivas de seguridad de la información.
  2. El 46% dice que los altos directivos aún tratan el cumplimiento de la seguridad de la información como algo secundario, a pesar de que el 86% tiene una estrategia de seguridad clara y el 89% respalda la responsabilidad a nivel de junta directiva.
  3. Las limitaciones presupuestarias son el desafío más citado (48%), mientras que el 34% lucha con una brecha de habilidades en seguridad de la información y el 33% con la rotación y retención del personal.
  4. El 44% dice que la falta de concienciación de los empleados es un desafío clave, y que los errores más comunes incluyen clics de phishing (29%), shadow IT (26%) y uso inseguro de dispositivos personales (23%).
  5. Más del 74% de las organizaciones de transporte y viajes informaron haber sufrido incidentes de seguridad en los últimos 12 meses.
  6. El 54% informa haber recibido al menos una multa por una violación de datos o protección de datos durante el último año, y la mayoría de las multas costaron entre £101 000 y £250 000.
  7. El 37% se ha visto afectado por un incidente relacionado con un tercero o un proveedor en los últimos 12 meses: el 17% varias veces y el 20% una vez.
  8. El 77% ha adoptado nuevas tecnologías como IA, aprendizaje automático o blockchain, pero el 54% dice que adoptó la IA demasiado rápido y el 33% informa que las tareas están siendo reemplazadas por IA sin controles de cumplimiento humano.
  9. El 94% se siente preparado para el phishing y la suplantación de identidad generados por IA, y el 89% para los deepfakes y el malware impulsado por IA; sin embargo, el 20% todavía informa sobre el uso no autorizado de herramientas GenAI por parte de los empleados.
  10. El 40% dice que tiene dificultades para determinar qué procesos de seguridad se pueden automatizar de forma segura.
  11. El 46% cita la infraestructura de seguridad optimizada como el mayor retorno de la inversión (ROI) de sus esfuerzos en seguridad de la información, seguida de mejores decisiones comerciales (43%), un mayor atractivo para los inversores (40%) y un aumento de las ventas o nuevas oportunidades (37%).

Seguridad de terceros y de la cadena de suministro

Pocas industrias sienten el impacto de la interrupción de la cadena de suministro tan fuertemente como el transporte y los viajes. Jaguar Land Rover (JLR) El ciberataque lo dejó claro: un solo incidente detuvo la producción, suspendió los sistemas de TI y generó un shock que repercutió en miles de proveedores y economías locales.

Nuestros datos demuestran que esto no es un caso aislado. Más de un tercio de las organizaciones se han visto afectadas por incidentes de terceros durante el último año. Cuando estos ocurren, las consecuencias se extienden más allá del punto de entrada original: el robo de datos que afecta a clientes, empleados o socios es común, al igual que los costos financieros imprevistos, los retrasos en la cadena de suministro, las interrupciones temporales y, en algunos casos, la pérdida de colaboraciones o contratos clave.

Como respuesta, las expectativas de los proveedores se están endureciendo. Muchas organizaciones ahora requieren ISO 27001,, ISO 27701, y/o ISO 42001, de socios, junto con marcos como Cyber ​​Essentials, SOC 2, NIST y regulaciones como NIS 2 y TISAX. Solo una pequeña minoría no exige ningún estándar de seguridad.

Los planes de gasto refuerzan este cambio. Casi la mitad planea aumentar la inversión en la cadena de suministro y seguridad de terceros durante los próximos 12 meses, y ninguna planea recortes. La estrategia se aleja de los cuestionarios puntuales y las auditorías puntuales y se orienta hacia una supervisión continua, estructurada y basada en la evidencia de los proveedores, alineada con los mismos marcos e informes utilizados internamente.

El cambiante panorama de amenazas

El panorama de incidentes en el transporte y los viajes es amplio y persistente. Las amenazas tradicionales, como el phishing, el malware y las intrusiones en la red, siguen arraigadas. Alrededor de un tercio de las organizaciones reportan incidentes de phishing o vishing, y casi la misma cantidad reporta infecciones de malware. Un porcentaje menor, pero significativo, reporta ransomware, DDoS, filtraciones de IoT/móviles, envenenamiento de datos de IA, deepfakes y vulneraciones de la cadena de suministro.

Las filtraciones de datos no son un fenómeno abstracto. Datos de clientes, empleados, financieros, de investigación, de productos y de propiedad intelectual se han visto comprometidos en cantidades significativas. En el caso particular de la información de identificación personal, las consecuencias son graves: la mayoría de las organizaciones afectadas denuncian multas regulatorias, y la mitad afirma que las filtraciones de información personal (PII) contribuyeron al cierre de la empresa o a un cambio estratégico.

A esto se suma un panorama de amenazas en constante evolución impulsado por la IA. El phishing generado por IA es ahora la principal preocupación emergente, seguido de la desinformación, la suplantación de identidad mediante deepfakes en reuniones virtuales y la IA oculta. La vulneración de la cadena de suministro y el ransomware siguen siendo una preocupación, pero el foco se ha desplazado hacia los ataques que utilizan la IA para escalar y personalizar las técnicas tradicionales.

El riesgo no es solo la sofisticación de estos ataques, sino la realidad operativa de que pequeñas fallas en un contratista, socio logístico o proveedor de software especializado pueden propagarse rápidamente a través de redes interconectadas.

Habilidades, agotamiento y sobrecarga operativa

El Informe también destaca un sector sometido a una presión operativa constante. Las limitaciones presupuestarias se suman a una persistente brecha de habilidades y a la dificultad de retener al personal. Incluso cuando el agotamiento no se reporta explícitamente, la expansión de responsabilidades, las nuevas tecnologías, las nuevas regulaciones y las complejas cadenas de suministro hacen que la capacidad sea una preocupación constante.

Esta presión trasciende los roles especializados. Los equipos se enfrentan a la proliferación de herramientas, la superposición de paneles de control y la incoherencia de los flujos de trabajo. Muchos planean priorizar la consolidación, y una parte significativa tiene dificultades para decidir qué procesos pueden automatizarse de forma segura. El exceso de herramientas, la falta de integración y la incertidumbre sobre los límites de la automatización dificultan mantener una visión única y fiable del riesgo y el cumplimiento normativo.

En un entorno donde el tiempo y la seguridad son cruciales, esta falta de coherencia puede traducirse en deficiencias en la supervisión, evidencia incompleta y una gran dependencia de la experiencia individual. Con el tiempo, este no es un modelo operativo sostenible.

Presión regulatoria y complejidad del cumplimiento

Las expectativas regulatorias en torno a la protección de datos, la gobernanza de la IA, la resiliencia operativa y la seguridad de la cadena de suministro son cada vez más estrictas. Seis de cada diez líderes del sector del transporte y los viajes afirman que el ritmo y el volumen de los cambios dificultan el cumplimiento normativo.

Sin embargo, la capacidad es desigual. Alrededor de un tercio se siente plenamente capacitado para gestionar internamente marcos y regulaciones como el RGPD, el NIS 2 y la DORA, y otro tercio se siente prácticamente capacitado, pero aún depende de ayuda externa. El resto reporta deficiencias en tiempo, competencias especializadas o apoyo de la junta directiva.

Los resultados lo confirman: más de la mitad de las organizaciones del sector han recibido multas por protección de datos en el último año, muchas de ellas de seis cifras.

Cuando el cumplimiento normativo se ejecuta correctamente, los beneficios son evidentes. Los líderes destacan como beneficios tangibles una infraestructura optimizada, una mejor toma de decisiones, un mayor atractivo para los inversores, una mejor reputación y nuevas oportunidades comerciales. Los datos respaldan un cambio de mentalidad: para muchas organizaciones, el cumplimiento normativo se está convirtiendo en una vía hacia un crecimiento disciplinado y la resiliencia, en lugar de una respuesta reactiva a los reguladores.

Comportamiento de los empleados y riesgos internos

La cultura de seguridad sigue siendo un punto débil recurrente. Si bien algunas organizaciones no reportan errores comunes de sus empleados, muchas otras observan un patrón constante: clics de phishing, uso de redes wifi públicas para trabajar, TI en la sombra, dispositivos personales sin gestión e intercambio de archivos sin seguridad. El incumplimiento de la normativa y las prácticas de contraseñas débiles también son un problema.

Estos comportamientos son especialmente riesgosos en el transporte y los viajes, donde el personal puede tener acceso a sistemas operativos, datos de clientes, plataformas logísticas o portales de proveedores. Cuando los procesos son confusos, engorrosos o están fragmentados entre múltiples herramientas, los empleados recurren naturalmente a soluciones alternativas que les resulten más rápidas, incluso si ello supone un nuevo riesgo.

El desafío para los líderes de seguridad no es solo generar conciencia, sino también diseñar y aplicar procesos que hagan que la ruta segura sea la predeterminada, integrada en los sistemas que la gente ya usa.

Liderazgo y Dirección Estratégica

Hay indicios alentadores de que la seguridad está cobrando importancia. La mayoría de las organizaciones afirman tener una estrategia de seguridad clara y bien comunicada, y casi nueve de cada diez coinciden en que toda empresa debería contar con un responsable de seguridad de la información en su junta directiva.

Sin embargo, casi la mitad de los encuestados aún considera que sus altos directivos tratan el cumplimiento normativo como algo secundario. Esta discrepancia es importante. Cuando las señales de liderazgo son contradictorias, los equipos deben conciliar objetivos ambiciosos de seguridad y cumplimiento normativo con un presupuesto y una capacidad limitados.

En un sector en el que el riesgo operativo está estrechamente vinculado a la seguridad, la continuidad del servicio y la confianza en la marca, quienes estén mejor posicionados para tener éxito serán las organizaciones cuyos directorios traten la seguridad de la información como una dependencia central del negocio, no como un ejercicio de cumplir requisitos.

Mantenerse a la vanguardia mediante la resiliencia estructurada

El sector del transporte y los viajes se enfrenta a cadenas de suministro globales, amenazas impulsadas por la IA, un endurecimiento de la normativa y una capacidad interna limitada. Sin embargo, el rumbo es claro. Las organizaciones están incrementando la inversión en defensas basadas en IA, respuesta a incidentes, seguridad de la cadena de suministro y cumplimiento normativo. Están planificando la consolidación de herramientas, el fortalecimiento de los requisitos de los proveedores y la formalización de la gobernanza.

El hilo conductor de los hallazgos de este año es que los enfoques manuales, fragmentados y dependientes del personal están llegando a sus límites. Las organizaciones mejor posicionadas para los próximos 12 meses serán aquellas que adopten sistemas integrados y repetibles para la gestión de la seguridad y el cumplimiento normativo, integrando a las personas, los procesos, los controles y los datos de los proveedores en un único modelo operativo.

Al hacerlo, las organizaciones de transporte y viajes pueden reducir el riesgo, mejorar su capacidad de absorber y recuperarse de incidentes y construir una base más estable para la innovación y la conectividad que sus clientes ahora esperan como estándar.

Lea el Informe completo sobre el estado de la seguridad de la información.