La respuesta a incidentes (IR) ha sido durante años el pilar reactivo de la ciberseguridad. Su misión, contener el daño. Pero la velocidad y la escala de las amenazas actuales, impulsadas por la geopolítica y la tecnología, están rompiendo este modelo. El informe Global Digital Trust Insights 2026 de PwC no es solo un conjunto de estadísticas, es la confirmación de que operar bajo las viejas reglas de ciberseguridad es una negligencia estratégica.

Cuando solo un 6% de los ejecutivos se sienten "muy capaces" de resistir un ataque, el problema no es la confianza, es la competencia operativa.

La brecha entre inversión y madurez

Seamos claros: el dinero está fluyendo. Un 78% de las organizaciones planean aumentar su presupuesto de ciberseguridad este año, una cifra impulsada en gran medida por la inestabilidad geopolítica. El 60% de los líderes, de hecho, citan este factor como una de sus tres principales prioridades de inversión.

Sin embargo, aquí es donde el análisis se vuelve crítico. Invertir no es sinónimo de mejorar. El informe revela una peligrosa paridad en el gasto: dos tercios (67%) de las empresas gastan aproximadamente lo mismo en medidas proactivas (monitoreo, controles, pruebas) que en medidas reactivas (respuesta, multas, recuperación). Solo un 24% invierte significativamente más en prevención.

Esta paridad es una falacia. Confunde actividad con progreso. Gastar en recuperación es admitir un fracaso en la prevención, y los costos reactivos dispersos en áreas legales de comunicación y operativas siempre superan con creces a los proactivos.

La realidad es que una estrategia que equilibra la reacción con la prevención ya ha fallado. La prevención debe ser, por un margen abrumador, el foco principal.

Las nuevas reglas de ciberseguridad: encuesta Global Digital Trust Insights 2026 lo confirma

La superficie de ataque ya no es una simple red de IT. Es un ecosistema complejo de dependencias en la nube, dispositivos conectados y cadenas de suministro fracturadas. El análisis de la encuesta Global Digital Trust Insights 2026 demuestra que las organizaciones son plenamente conscientes de sus debilidades, aunque parecen incapaces de corregirlas de forma sistémica.

Las áreas donde se sienten menos preparadas no son triviales, sino fundamentales para la operación moderna:

• Amenazas en la nube (Cloud-related threats): El 33% de los líderes las citan como el área donde están menos preparados, a pesar de que la seguridad en la nube es la segunda prioridad de inversión. Esta desconexión apunta a una falta de talento y estrategia, no de presupuesto.
• Ataques a productos conectados (IoT/IIoT): Un 28% se siente vulnerable aquí. La convergencia IT/OT sigue siendo un punto ciego masivo, donde la falta de segmentación y gobernanza crea riesgos sistémicos.
• Brechas de terceros (Third-party breach): Con un 27%, la dependencia de la cadena de suministro sigue siendo un vector de entrada crítico y mal gestionado. Un modelo de defensa basado en Zero Trust no es opcional, es el único marco viable.
• Amenazas de computación cuántica: Aunque es vista como una amenaza a más largo plazo por un 26%, la inacción actual está creando la deuda técnica del mañana.

Estos datos confirman que las reglas de ciberseguridad han cambiado. Ya no basta con asegurar el perímetro; hay que gestionar el riesgo en un ecosistema del que no se tiene control total.

El factor humano y la promesa (aún no cumplida) de la IA

La industria ha depositado sus esperanzas en la Inteligencia Artificial para cerrar la brecha de capacidades. No es de extrañar que la IA sea la principal prioridad de inversión (36%). El objetivo es claro, usar Agentic AI y automatización para acelerar la detección, el threat hunting y la respuesta.

Pero el informe de PwC expone una paradoja fundamental. Los dos mayores desafíos para implementar IA en ciberdefensa son la "falta de conocimiento en su aplicación" (50%) y la "falta de habilidades relevantes" (41%). En otras palabras, necesitamos talento especializado para implementar la tecnología que supuestamente compensará la falta de talento.

Esto no es un callejón sin salida, sino una llamada a la pragmática. La tecnología no es un sustituto de la experiencia humana. Por eso, el 48% de las organizaciones que ya han sufrido un ataque grave están priorizando los servicios gestionados (managed services). No como un simple outsourcing, sino como un acelerador estratégico para inyectar experiencia, velocidad y escala donde la organización no puede o no debe construirla internamente.

El reloj cuántico: una deuda que ya estamos contrayendo

Pocos temas ilustran mejor la diferencia entre una estrategia reactiva y una proactiva que la preparación para la criptografía post-cuántica (PQC).

El riesgo es concreto: adversarios que practican el "harvest now, decrypt later", capturando datos cifrados hoy para descifrarlos con ordenadores cuánticos mañana.

La respuesta corporativa, según la encuesta, es alarmantemente laxa.

• Solo el 3% de las organizaciones han implementado todas las medidas clave de resistencia cuántica.
• Casi la mitad (49%) no ha comenzado o no tiene planes para implementar ninguna medida.
• Apenas un 8% de los líderes de seguridad la incluyen entre sus tres principales prioridades presupuestarias.

Esta inacción es una decisión activa de aceptar un riesgo futuro catastrófico. La transición a PQC es un proceso de años, no de meses. Requiere un plan metódico que debe comenzar hoy, basado en las directrices de entidades como el National Institute of Standards and Technology (NIST). Los pasos no son opcionales:

• Inventario criptográfico: Mapear todos los sistemas, algoritmos y dependencias criptográficas.
• Clasificación de datos: Identificar qué información tiene una vida útil lo suficientemente larga como para estar en riesgo.
• Pruebas piloto: Empezar a experimentar con los nuevos algoritmos estandarizados por el NIST en entornos controlados.
• Agilidad criptográfica: Construir la capacidad de actualizar algoritmos y certificados sin desmantelar la arquitectura.

Esperar a que la amenaza sea inminente es garantizar el fracaso.

Conclusión: La estrategia es la única regla que no cambia

El informe de PwC es un diagnóstico, no un pronóstico. Demuestra que la ciberseguridad ha superado el punto en que el aumento de presupuesto se traduce linealmente en una reducción del riesgo. Las organizaciones están atrapadas en un ciclo de gasto reactivo, invirtiendo en herramientas como la IA sin el talento para maximizarlas y posponiendo amenazas estratégicas como la computación cuántica.

Romper este ciclo exige un cambio fundamental de mentalidad. Las reglas de ciberseguridad, encuesta Global Digital Trust Insights 2026 mediante, no son sobre comprar más tecnología, sino sobre aplicar una estrategia coherente, proactiva y cuantificable al riesgo digital.