Informe del Foro Económico Mundial: El fraude es ahora la mayor preocupación cibernética de los directores ejecutivos, pero no es la única

Por Phil Muncaster • 3 de Febrero de 2026

Cinco años es mucho tiempo en ciberseguridad. Sin embargo, ese es el tiempo que el Foro Económico Mundial (FEM) lleva encuestando a directores ejecutivos para su... Perspectiva de ciberseguridad global Informes. Se espera que la información resultante capacite a los líderes empresariales para ajustar su estrategia y navegar por un panorama de amenazas en rápida evolución. La oferta de este año sitúa el fraude, la IA y la geopolítica firmemente en la cima de una creciente lista de preocupaciones. Y, como ocurrió el año pasado, la ciberresiliencia es el objetivo al que todos aspiran.

Sin embargo, como comentamos en el IO (anteriormente ISMS.online) Informe sobre el estado de la seguridad de la información 2025A menudo hay una gran diferencia entre diagnosticar el problema y hacer algo al respecto.

Lo que encontró el WEF

Encuesta del Foro Económico Mundial El informe de este año incluyó a poco más de 800 ejecutivos de alto nivel. Entre sus principales hallazgos se encuentran los siguientes:

El fraude ocupa el primer lugar

Los directores ejecutivos y los directores de seguridad de la información (CISO) discreparon ligeramente en cuanto a sus dos principales preocupaciones. Si bien los CISO se mantuvieron constantes respecto al año pasado al mencionar (en orden) el ransomware y la interrupción de la cadena de suministro, sus homólogos directores ejecutivos situaron el fraude cibernético en primer lugar, seguido de las vulnerabilidades de la IA. Por fraude, se refieren a amenazas empresariales como el phishing, el smishing y el vishing, el fraude de facturas (como el BEC) y el fraude interno, pero también a delitos más comúnmente asociados con pérdidas para los consumidores, como el robo de identidad e incluso el fraude de inversiones y las estafas con criptomonedas.

El informe de IO parece coincidir. Reveló que el 30 % de los encuestados sufrió phishing en los últimos 12 meses, frente a tan solo el 12 % en 2024.

Como titular de su informe más reciente Según Microsoft, existe una infraestructura global sofisticada y resiliente que facilita ciertos tipos de fraude, como el BEC, que afectan a las empresas. Pero incluso las campañas aparentemente centradas en el consumidor y centradas en cuestiones como el robo de identidad pueden afectar al mundo corporativo.

As Check Point argumentó En un artículo reciente, cuando los estafadores logran recopilar información personal y de dispositivos, incluyendo selfis de personas con signos vitales, podrían usar esta información más allá del fraude de identidad. En concreto, podría utilizarse para eludir los sistemas de autenticación corporativos y suplantar la identidad de empleados al restablecer contraseñas de soporte técnico de TI. Además, si las personas pierden grandes sumas en estafas de inversión, podrían ser más vulnerables a la coerción o el chantaje como miembros maliciosos de la organización.

La IA está potenciando el riesgo cibernético

Los encuestados del Foro Económico Mundial (WEF) también destacaron la IA como un factor clave del riesgo cibernético. Sin embargo, curiosamente, su influencia se redujo en su capacidad para impulsar el phishing, las deepfakes y el malware (que afectó al 28 %), y aumentó en la filtración de datos que podría derivar del uso indebido de GenAI (30 %). Esto pone de manifiesto la preocupación por el creciente uso de la IA en las empresas, que amplía la superficie de ciberataque. De hecho, el 87 % de los encuestados cree que las vulnerabilidades de la IA están aumentando (frente al 77 % que opina lo mismo sobre el fraude y el 65 % que opina lo mismo sobre la interrupción de la cadena de suministro).

Los datos de IO arrojan más luz sobre el problema. Un tercio (34%) de los encuestados nos expresó su preocupación por la IA en la sombra, y el 54% admitió haber adoptado GenAI demasiado rápido y ahora enfrenta desafíos para implementarla de forma más responsable. El riesgo tiende a proliferar en la sombra: lo que las organizaciones no pueden ver, no pueden gestionar.

La geopolítica es un factor clave en la estrategia de seguridad

Casi dos tercios de los encuestados indicaron al WEF que los ciberataques con motivos geopolíticos son un factor clave al diseñar sus estrategias de gestión de riesgos cibernéticos. La volatilidad en este ámbito ha obligado a casi todas las grandes organizaciones (91 %) a ajustar su enfoque de seguridad, según el informe. Esto coincide con la opinión de IO, que reveló que el 88 % de las empresas estadounidenses y británicas temen ataques patrocinados por estados, y casi una cuarta parte (23 %) afirma que su mayor preocupación para el próximo año es la falta de preparación ante una escalada geopolítica o ciberoperaciones en tiempos de guerra. Un tercio (32 %) afirma que la gestión del riesgo geopolítico es su principal motivación para una seguridad de la información y un cumplimiento normativo sólidos.

Aún más preocupante es que el 31 % de los encuestados del Foro Económico Mundial (WEF) manifestó poca confianza en la capacidad de su país para responder a incidentes cibernéticos graves, frente al 26 % del año pasado. La cifra asciende al 40 % en Europa. El gobierno debe acelerar la implementación de las medidas de su Proyecto de Ley de Ciberseguridad y Resiliencia y su Plan de Acción contra el Ciberterrorismo.

Las cadenas de suministro siguen siendo una barrera para la resiliencia

Las cadenas de suministro siguen siendo una fuente importante de ciberriesgo, difícil de gestionar. Dos tercios (65%) de los encuestados afirmaron al WEF que su mayor reto es lograr la resiliencia cibernética, cifra que representa un aumento con respecto al 54% del año pasado, justo por encima del cambiante panorama de amenazas (63%) y los sistemas heredados (49%).

Tienen razón en estar preocupados. Alrededor del 61 % de las organizaciones del Reino Unido y EE. UU. informaron a IO que su negocio se vio afectado por un incidente de seguridad causado por un proveedor externo durante el último año. Muchas afirmaron que esto provocó filtraciones de datos de clientes/empleados (38 %), pérdidas financieras (35 %), interrupciones operativas (33 %), pérdida de confianza (36 %) y un mayor escrutinio de los socios (24 %).

Hacia la resiliencia

En este contexto, los líderes empresariales y de seguridad saben que no pueden mantenerse 100 % a prueba de vulnerabilidades. Por lo tanto, el enfoque debe centrarse en la resiliencia: cómo anticipar, resistir y recuperarse rápidamente de los incidentes, manteniendo la mayor normalidad posible. JLR y M&S Las infracciones han demostrado que es más fácil decirlo que hacerlo.

Según el Foro Económico Mundial (WEF), las mayores barreras para la ciberresiliencia son la rápida evolución del panorama de amenazas y las tecnologías emergentes (61%); las vulnerabilidades de terceros (46%); y la escasez de habilidades y experiencia en ciberseguridad (45%). El legado y la financiación también se mencionaron como factores clave. Entonces, ¿cómo pueden las organizaciones superar estos desafíos?

Curiosamente, el informe descubrió que las organizaciones más resilientes tenían más probabilidades de:

Hacer que los miembros de la junta directiva sean personalmente responsables en caso de incumplimiento
Tener una visión positiva de las regulaciones relacionadas con el ámbito cibernético
Tener las habilidades adecuadas para lograr sus objetivos cibernéticos
Evaluar la seguridad de las herramientas de IA antes de su implementación
Involucrar a la seguridad en las adquisiciones
Simular incidentes y planificar ejercicios de recuperación con socios
Evaluar la madurez de seguridad de los proveedores.

Muchas de estas cosas están exigidas por estándares de mejores prácticas como ISO 27001 e ISO 42001. Este último es particularmente adecuado para ayudar a las organizaciones cerrar la brecha de gobernanza y gestionar el riesgo (incluida la fuga de datos) en una superficie de ataque de IA en expansión.

Según IO, el 80 % de las organizaciones del Reino Unido y EE. UU. se han alineado con estándares como este para desarrollar resiliencia de forma estructurada y basada en el riesgo. En un contexto de negocios volátil y un panorama de amenazas, quienes no lo hacen se encuentran en una situación de desventaja cada vez mayor.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 12 de Febrero de 2026

¿Es el Plan de Acción Cibernética del Gobierno adecuado para su propósito?

No es frecuente que el gobierno admita que se equivocó. Sin embargo, a principios de año, tuvimos el privilegio de presenciar un inusual mea culpa: el reconocimiento de que un...

Phil Muncaster

La seguridad cibernética 27 de enero de 2026

La privacidad importa: Qué pueden esperar los equipos de cumplimiento en 2026

El 28 de enero es el Día Mundial de la Privacidad, una ocasión para celebrar el derecho a la privacidad y protección de datos que muchos damos por sentado hoy en día. Fue...

Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster