La ciberseguridad vuelve a chocar con un problema conocido: faltan profesionales, faltan perfiles sénior y la inteligencia artificial está elevando todavía más el listón de lo que las empresas necesitan saber. El informe global 2026 Cybersecurity Skills Gap de Fortinet, basado en una encuesta a 2.750 responsables de IT y ciberseguridad en 32 países, muestra una paradoja incómoda: las organizaciones sufren más brechas, confían cada vez más en herramientas con IA, pero siguen teniendo dificultades para contratar, formar y retener talento especializado.
El dato más directo es difícil de ignorar. El 86 % de las organizaciones encuestadas afirma haber sufrido una o más brechas de seguridad en los últimos 12 meses, y un 29 % reconoce haber sufrido cinco o más. Además, el 52 % asegura que esos incidentes le costaron más de 1 millón de dólares. No es solo una cuestión técnica. El informe señala que, por tercer año consecutivo, los responsables de IT citan la falta de habilidades en ciberseguridad como una de las principales causas de las brechas, por delante incluso de muchos debates sobre herramientas concretas.
La IA ayuda, pero también agranda la brecha de talento
Fortinet dibuja un mercado en el que la IA ya forma parte del día a día de los equipos defensivos. El 91 % de los encuestados dice que su organización está usando o experimentando con soluciones de ciberseguridad basadas en IA, y el 84 % afirma que estas herramientas están haciendo a los equipos de IT y seguridad más efectivos y eficientes. La adopción, por tanto, ya no parece una tendencia incipiente, sino una práctica extendida.
La lectura fácil sería pensar que la IA compensará la falta de profesionales. El propio informe sugiere que puede ayudar en tareas repetitivas, análisis de grandes volúmenes de datos, detección de anomalías y respuesta más rápida ante incidentes. Pero también advierte de que la tecnología no elimina la necesidad de criterio humano. Al contrario: crea nuevas demandas de supervisión, gobierno y conocimiento técnico.
El 60 % de los responsables encuestados afirma que su principal reto de contratación es encontrar talento de ciberseguridad con experiencia específica en IA. Además, el 63 % espera necesitar más perfiles de supervisión y gobernanza de IA en sus equipos durante los próximos tres años. Es decir, la IA no solo automatiza parte del trabajo; también obliga a crear nuevos roles y a reciclar a profesionales que hasta ahora no tenían que evaluar modelos, automatizaciones, riesgos de uso interno o ataques potenciados por IA.
| Indicador del informe | Dato destacado |
|---|---|
| Organizaciones que usan o prueban IA en ciberseguridad | 91 % |
| Equipos que dicen ser más efectivos gracias a IA | 84 % |
| Organizaciones con una o más brechas en 12 meses | 86 % |
| Brechas con coste superior a 1 millón de dólares | 52 % |
| Brechas atribuidas a falta de habilidades | 56 % |
| Dificultad para encontrar talento con experiencia en IA | 60 % |
| Organizaciones que prevén invertir en formación IA-ciberseguridad | 92 % |
| Preferencia por candidatos con certificaciones técnicas | 91 % |
La preocupación por la IA no se limita a la contratación. El 45 % de los encuestados cita la fuga de datos e información confidencial como una de las áreas que más preocupan en sus planes de ciberseguridad vinculados a IA, y el 44 % menciona la defensa frente a ataques potenciados por IA. La tecnología se convierte así en herramienta defensiva y, al mismo tiempo, en superficie de riesgo.
El consejo de administración mira, pero no siempre financia
Uno de los puntos más sensibles del informe está en el papel de los consejos de administración. El 73 % de los encuestados afirma que la ciberseguridad es una prioridad de negocio para su consejo, pero solo el 59 % dice que también es una prioridad financiera con presupuesto detrás. La diferencia importa. Muchas empresas ya hablan de ciberseguridad en clave estratégica, pero no siempre convierten esa preocupación en inversión suficiente en personas, procesos y tecnología.
El informe también recoge que solo el 50 % de los líderes considera que sus consejeros están plenamente al tanto de los riesgos asociados al uso de IA. Otro 42 % cree que tienen una conciencia moderada. En una etapa en la que los empleados usan herramientas de IA, los atacantes automatizan campañas y los equipos defensivos dependen cada vez más de modelos y automatización, esa falta de comprensión en la alta dirección puede convertirse en un problema de gobierno corporativo.
La responsabilidad tampoco es abstracta. Fortinet señala que el 50 % de los encuestados afirma que miembros del consejo o ejecutivos han sufrido sanciones tras un ciberataque, desde multas hasta pérdida de cargo o empleo. La ciberseguridad ya no queda encerrada en el departamento técnico. Cuando una organización falla de forma grave, la repercusión puede llegar a la dirección.
Las organizaciones sí están reaccionando tras los incidentes. El informe indica que, después de un ataque, las respuestas más habituales son ampliar el equipo de IT o seguridad, introducir programas de concienciación para empleados, exigir certificaciones al personal técnico y comprar soluciones de seguridad mejores o con IA. Pero esa reacción posterior no siempre sustituye a una estrategia preventiva bien financiada.
El talento sénior se convierte en el recurso más buscado
La escasez de talento no afecta por igual a todos los perfiles. El 51 % de los encuestados dice que necesita sobre todo habilidades sénior en ciberseguridad, frente al 32 % que necesita perfiles intermedios y el 13 % que busca perfiles de entrada. Esto refleja una realidad del mercado: las empresas no solo necesitan más manos, sino profesionales capaces de tomar decisiones complejas, diseñar arquitecturas, coordinar respuesta ante incidentes, gobernar riesgos de IA y traducir amenazas técnicas a lenguaje de negocio.
El problema es que esos perfiles son caros, escasos y difíciles de retener. El 56 % de las organizaciones afirma que tiene problemas para reclutar talento de ciberseguridad, y el 52 % también reconoce dificultades para retenerlo. La falta de formación y oportunidades de mejora aparece como un factor de desgaste: el 48 % señala que la ausencia de programas de capacitación puede afectar negativamente a la retención.
Las certificaciones siguen teniendo un peso muy alto. El 91 % de los responsables de IT prefiere contratar candidatos con certificaciones tecnológicas, y el 92 % estaría dispuesto a pagar una certificación a sus empleados. Además, el 92 % afirma que probablemente invertirá en formación o certificaciones relacionadas con IA y ciberseguridad en los próximos 12 meses.
Esto indica un cambio práctico en la forma de cerrar la brecha. Contratar desde fuera ya no basta. Las empresas tendrán que formar a sus equipos actuales, crear itinerarios internos, combinar certificaciones con experiencia real y usar la IA para reducir tareas repetitivas, no para sustituir el conocimiento experto que falta.
Más diversidad, pero resultados todavía lentos
Fortinet también insiste en ampliar las fuentes de contratación. El 71 % de las organizaciones dice tener objetivos formales para contratar talento en ciberseguridad procedente de grupos infrautilizados, y el 92 % utiliza prácticas, programas de aprendizaje, alianzas y colaboraciones para atraer perfiles infrarrepresentados. Sin embargo, la composición de la plantilla no cambia tan rápido como las iniciativas sugieren.
El 26 % de los empleados de IT o ciberseguridad en las organizaciones encuestadas son mujeres, prácticamente en línea con el año anterior. El 20 % procede de minorías, el 16 % son veteranos y el 14 % cónyuges de veteranos. El informe advierte además de que encontrar candidatas cualificadas se ha vuelto más difícil para un 31 % de las organizaciones, frente al 20 % del año anterior.
La conclusión es clara: abrir la puerta a más perfiles no puede limitarse a fijar objetivos. Hace falta formación, acompañamiento, certificaciones, mentorización y oportunidades reales de progresión. En ciberseguridad, donde la experiencia pesa mucho, las empresas que no construyan cantera seguirán compitiendo por los mismos profesionales escasos.
El informe de Fortinet deja una advertencia de fondo. La ciberseguridad no se resolverá solo comprando más herramientas, ni siquiera si esas herramientas llevan IA. Las brechas siguen siendo frecuentes, los costes se mantienen altos y el factor humano aparece una y otra vez como causa y como solución. La diferencia entre una empresa vulnerable y una empresa resiliente estará cada vez más en su capacidad para combinar tecnología, formación, gobierno y liderazgo.
La IA puede acelerar la defensa. También puede acelerar los errores si se usa sin supervisión, sin talento y sin presupuesto. Esa es la tensión que el informe pone sobre la mesa: las empresas ya saben que la ciberseguridad importa, pero todavía no siempre invierten como si realmente lo creyeran.
Preguntas frecuentes
¿Qué revela el informe de Fortinet sobre brechas de seguridad?
El 86 % de las organizaciones encuestadas sufrió al menos una brecha en los últimos 12 meses, y el 52 % afirma que esos incidentes costaron más de 1 millón de dólares.
¿La IA está ayudando a los equipos de ciberseguridad?
Sí. El 84 % de los encuestados dice que las herramientas de seguridad con IA hacen a sus equipos más eficientes y efectivos, aunque también generan nuevas necesidades de supervisión y formación.
¿Cuál es el mayor reto de contratación en ciberseguridad?
El 60 % de los responsables señala como principal reto encontrar profesionales de ciberseguridad con experiencia específica en IA.
¿Por qué siguen siendo importantes las certificaciones?
Porque el 91 % de los responsables de IT prefiere candidatos con certificaciones tecnológicas y el 92 % estaría dispuesto a pagar certificaciones a sus empleados.
vía: fortinet
