Europa muestra incoherencias en sus estrategias de seguridad. Imagen: cortesía.
Tres de cada cuatro organizaciones europeas no tiene visibilidad completa sobre las identidades que operan dentro de sus propios sistemas. Así lo concluye el informe State of Workforce Password Security 2026, elaborado por Tigon Advisory Corp por encargo de Zoho Corporation a partir de 3.322 respuestas recogidas en nueve regiones de todo el mundo. Los datos para Europa dibujan un panorama marcado por una paradoja: más inversión en ciberseguridad, pero persistentes carencias estructurales en la gestión de identidades y accesos. O lo que es lo mismo, la digitalización avanza a mayor velocidad que los marcos de gobernanza diseñados para controlarla.
El 69% de las organizaciones consultadas en la región tiene previsto incrementar su presupuesto en seguridad durante 2026, lo que refleja una voluntad de mejora que, sin embargo, no siempre se traduce en un control real. Una cifra que pone de manifiesto que la digitalización avanza a mayor velocidad que los marcos de gobernanza diseñados para controlarla.
Uno de los datos más llamativos del informe es que el 61% de las empresas europeas todavía no ha desplegado una estrategia de seguridad de tipo Zero Trust, un enfoque que parte de no otorgar confianza automática a ningún usuario o dispositivo, independientemente de si opera dentro o fuera de la red corporativa. Esta ausencia deja expuestas a organizaciones que, en paralelo, gestionan entornos cada vez más complejos: más de la mitad de los empleados europeos utiliza quince o más aplicaciones corporativas a diario, en modalidades presenciales, híbridas y en remoto.
Te puede interesar: España se posiciona como referente europeo en uso de IA corporativa
Sridhar Iyengar, director general de Zoho en Europa, señala que los puntos de acceso se han multiplicado y que el verdadero problema no es la falta de inversión. En sus propias palabras, "el problema no es la falta de inversión, sino invertir sin una coherencia arquitectónica clara, dejando a muchas organizaciones europeas con una importante brecha entre su intención de protegerse y el control real sobre identidades y accesos". Iyengar también subraya que en Europa más de la mitad de los empleados utiliza quince o más aplicaciones empresariales y que la mayoría de organizaciones sigue sin tener visibilidad completa sobre quién accede a qué.
A escala global, una de cada tres empresas declaró haber sufrido un ciberataque confirmado en el último año, y un 7% adicional reconoció no poder determinar si había sido atacada. En Europa, la tasa se situó en el 31%, en línea con la media internacional.
El informe también analiza la relación entre inteligencia artificial y ciberseguridad, y aquí aparece otra brecha significativa. El 88% de los encuestados europeos cree que la IA reforzará su postura de seguridad, pero solo el 8% de las organizaciones a nivel global afirma estar en condiciones de desplegar soluciones de seguridad basadas en IA en este momento. Los principales obstáculos identificados son las infraestructuras tecnológicas heredadas, mencionadas por el 52% de los encuestados globales, seguidas de la complejidad de las migraciones (48%) y el coste (41%). Esta jerarquía lleva a los autores a concluir que la madurez en seguridad no está limitada por el presupuesto, sino por la arquitectura tecnológica disponible.
La situación es especialmente preocupante en las pequeñas y medianas empresas. Más de la mitad de los encuestados pertenecientes a organizaciones con menos de 250 empleados afirma no contar con un equipo de seguridad dedicado, y recurre en cambio a prácticas manuales, hojas de cálculo compartidas y políticas informales para gestionar sus credenciales. El informe los identifica como "el punto ciego de credenciales en las pymes".
Recomendaciones del informe
Frente a este escenario, el estudio propone seis líneas de actuación prioritarias para 2026: implantar un gestor de contraseñas centralizado, cerrar la brecha de visibilidad sobre identidades, combinar esa gestión con autenticación multifactor, desarrollar una hoja de ruta hacia el Zero Trust, tratar la integración de sistemas como un requisito de seguridad en sí mismo y comenzar a pilotar soluciones de seguridad basadas en IA en los próximos doce meses.
Iyengar concluye que "la infraestructura heredada sigue siendo el principal obstáculo para cualquier uso efectivo de la IA, incluida la seguridad basada en IA", y añade que situar identidades, accesos y aplicaciones sobre una misma base arquitectónica "reduce oportunidades de vulnerabilidad, mejora la visibilidad sobre identidades y facilita la incorporación de IA para ayudar en la detección de amenazas".
