La escasez de profesionales cualificados no es solo un problema de recursos humanos; es una vulnerabilidad estratégica que compromete la resiliencia de todo el tejido empresarial. Según el último estudio global de Kaspersky, titulado “Supply chain reaction: securing the global digital ecosystem in an age of interdependence”, el 42% de las organizaciones en España identifica la falta de expertos como el obstáculo número uno para mitigar los riesgos de terceros. Esta carencia de personal limita drásticamente la capacidad de las empresas para realizar una supervisión continua de sus ecosistemas, dejando puertas abiertas que los atacantes aprovechan con una precisión quirúrgica.
A esta realidad se suma la creciente complejidad del entorno digital. Como ha explicado Carlos Hernández, product manager de servicios de ciberinteligencia de Telefónica Tech, a industry TALKS, “la falta de talento especializado está dificultando la protección de la cadena de suministro, pero no es el único factor. También influye la creciente complejidad de los entornos, con más proveedores, más tecnología conectada y una mayor superficie de exposición”. En este sentido, añade que “muchas organizaciones tienen dificultades para identificar riesgos a tiempo, supervisar adecuadamente a terceros y responder con rapidez ante un incidente, especialmente cuando no cuentan con capacidades especializadas suficientes”.
En un mundo ideal, cada proveedor de una gran infraestructura debería ser auditado y monitorizado bajo estándares rigurosos, pero la realidad es que una de cada tres organizaciones ha sufrido un incidente relacionado con su cadena de suministro en el último año. Esta cifra es un reflejo directo de la incapacidad de gestión derivada de equipos infradotados. La complejidad de las relaciones comerciales modernas implica que un fallo de seguridad en un pequeño proveedor de servicios logísticos o de software puede escalar hasta comprometer la integridad de una multinacional, un fenómeno que los expertos denominan «efecto dominó digital».
Néstor Muñoz, CEO de Nacata Security, ha advertido a industry TALKS que existe una falta de perfiles «muy concretos» en áreas que son la columna vertebral de la defensa. Según explica el directivo, «existe una escasez de personal cualificado y, sobre todo, de perfiles especializados en evaluación de riesgos, supervisión de accesos, protección de operaciones y respuesta ante incidentes». Para Néstor Muñoz, esta carencia es determinante en el contexto actual: «Hoy en día, solo una pequeña parte de las organizaciones considera que dispone de las personas y capacidades necesarias para detectar y responder adecuadamente a las amenazas digitales».
Esta insuficiencia de talento especializado genera un vacío operativo que impide que todos los eslabones de la cadena puedan cubrir de forma completa sus necesidades de protección. El CEO de Nacata Security detalla que las carencias son especialmente críticas «en la supervisión de terceros, la gestión de accesos, la detección temprana de incidentes y la capacidad de respuesta ante ataques con impacto en cascada». Sin analistas capaces de interpretar las señales de alerta en tiempo real, las empresas quedan ciegas ante movimientos laterales de los atacantes que, aprovechando la confianza depositada en un socio de negocio, logran infiltrarse en los sistemas más sensibles sin ser detectados durante meses.
Esta dificultad para anticipar amenazas es especialmente crítica en los nuevos vectores de ataque. En palabras de Carlos Hernández, product manager de servicios de ciberinteligencia de Telefónica Tech, “están creciendo especialmente los ataques dirigidos a proveedores tecnológicos, el compromiso de software o servicios de terceros y las campañas de phishing orientadas al robo de credenciales”. Y añade que “la falta de especialistas complica tanto la evaluación preventiva de estos riesgos como la detección temprana de comportamientos anómalos”, especialmente cuando el acceso se produce a través de terceros de confianza.
Asimismo, tal y como ha señalado Néstor Muñoz, los ciberdelincuentes buscan siempre ejercer la mayor presión posible, y las cadenas de suministro son «un objetivo especialmente atractivo, ya que permiten provocar efectos en cascada sobre múltiples elementos dependientes». La falta de especialistas no solo dificulta la prevención, sino que alarga dramáticamente los tiempos de recuperación, aumentando los costes económicos y el daño reputacional para todas las entidades involucradas en la red de suministro afectada.
Además, desde Incibe advierten del impacto directo de esta carencia en el tejido empresarial: “Cuando una empresa no cuenta con suficiente talento especializado, le resulta más difícil revisar a sus proveedores, detectar riesgos a tiempo y responder con agilidad”. Y subrayan un patrón recurrente en los incidentes: “en muchos de los grandes incidentes de seguridad digital, siempre está la palabra proveedor”.
El Barómetro de Cylum: la realidad de la mediana empresa
El II Barómetro de la Ciberseguridad Empresarial 2026, elaborado por Factum Information Technologies S.L. (bajo su marca Cylum), aporta datos reveladores sobre la situación en España. El informe destaca que el 60% de los responsables de IT identifica la falta de profesionales como uno de sus mayores desafíos para los próximos años.
Este déficit de talento convive con una presión presupuestaria asfixiante. El 70% de las medianas empresas dedica menos del 5% de su presupuesto de IT a la ciberseguridad. Como señala Andrés Reyes, MSP CAE Iberia en Sophos en el informe de Cylum, las pymes se enfrentan a una «tormenta perfecta»: son el motor de la economía y manejan datos valiosos, pero no tienen los presupuestos de las grandes corporaciones para atraer el escaso talento disponible.
La situación es especialmente crítica cuando se analiza el tamaño de los equipos internos. El 57% de las empresas cuenta con equipos de solo 1 a 5 personas para gestionar toda su infraestructura y seguridad. Estos equipos reducidos deben lidiar con una evolución de los ataques que crece a un ritmo del 25% anual.
Desde Incibe matizan esta visión: “No diríamos que la pyme sea, por definición, el eslabón más débil, pero sí que muchas veces está más expuesta”. En particular, destacan que “tiene menos capacidad para atraer talento especializado, menos recursos para supervisar a terceros y una dependencia muy alta de proveedores tecnológicos y de servicios”.
Además, advierten de la doble implicación del problema: “una compañía puede sufrir un incidente por un proveedor, pero también puede convertirse ella misma en un riesgo para sus clientes si actúa como proveedor y no tiene las medidas adecuadas”.
La Inteligencia Artificial: ¿aliada o enemiga?
La irrupción de la Inteligencia Artificial (IA) en el ecosistema digital ha reconfigurado las reglas del juego, convirtiéndose en una moneda de doble cara que tanto alivia como agrava la crisis de talento.
En un contexto donde los equipos de seguridad están infradotados, la IA surge como una herramienta de automatización indispensable. Permite procesar volúmenes ingentes de datos en tiempo real, identificando patrones anómalos que para un ojo humano serían invisibles o requerirían horas de análisis. Sin embargo, esta capacidad de respuesta automatizada no sustituye la necesidad de expertos; al contrario, exige un nuevo tipo de profesional capaz de supervisar y «entrenar» estas soluciones, un perfil que actualmente es casi inexistente en el mercado laboral español.
En este contexto, cobra especial relevancia la combinación de capacidades. Como ha señalado Carlos Hernández, product manager de servicios de ciberinteligencia de Telefónica Tech, “combinar talento, tecnología y capacidades gestionadas se está convirtiendo en una de las vías más eficaces para reforzar la resiliencia de empresas y administraciones frente a los riesgos de la cadena de suministro”.
El II Barómetro de Cylum indica que la IA está siendo utilizada de forma masiva por los atacantes para profesionalizar el phishing y la ingeniería social, amenazas que ya preocupan al 80% de los responsables de IT. Mediante el uso de modelos de lenguaje avanzados, los ciberdelincuentes han logrado eliminar las barreras idiomáticas y los errores técnicos que tradicionalmente servían para detectar un correo fraudulento. Ahora, las campañas de «spear phishing» (ataques dirigidos) son técnicamente perfectas, altamente personalizadas y capaces de engañar incluso a empleados concienciados. Esta sofisticación pone contra las cuerdas a las empresas que no cuentan con especialistas para configurar filtros avanzados o realizar análisis forenses de incidentes complejos.
Más allá del fraude, la IA ha facilitado la automatización de ataques contra la cadena de suministro. Los atacantes utilizan algoritmos para escanear vulnerabilidades de forma masiva en miles de proveedores de software simultáneamente, buscando el eslabón más débil con una velocidad que supera cualquier capacidad de defensa manual. Como señala el informe de Kaspersky, esta «industrialización» del ataque requiere una respuesta igualmente tecnificada. El problema reside en que, mientras los criminales aprovechan la IA para escalar sus operaciones sin necesidad de grandes estructuras, las empresas necesitan personal altamente cualificado para gestionar estas mismas herramientas de defensa, creando una asimetría peligrosa.
En este sentido, la IA actúa como un multiplicador de fuerzas: para quien tiene el talento, es una aliada que permite hacer más con menos; para quien carece de él, es una amenaza que acelera su vulnerabilidad. La falta de perfiles que comprendan la intersección entre la ciberseguridad y el aprendizaje automático impide que muchas organizaciones saquen provecho de las soluciones de defensa proactiva. Al final, la tecnología por sí sola no es la solución; sin el criterio humano especializado para dirigirla, la IA corre el riesgo de generar una falsa sensación de seguridad mientras los ataques a terceros siguen evolucionando de forma imprevisible.
El problema de la retención y la formación
España no está en una situación radicalmente peor que otros países europeos, pero tiene problemas específicos de retención. Néstor Muñoz, CEO de Nacata Security, señala que «en España existe un problema importante de retención de talento y también de concienciación por parte de muchas organizaciones. Muchos especialistas en ciberseguridad terminan trabajando para empresas de otros países atraídos por mejores condiciones laborales, salariales o de desarrollo profesional».
Además, Néstor Muñoz destaca una preocupante falta de valoración de estos perfiles en el mercado local: «La falta de concienciación de algunas empresas hace que no siempre se valore adecuadamente a los perfiles especializados, y eso dificulta tanto su captación como su retención». Ante esta escasez, el CEO de Nacata Security recomienda que «las administraciones deberían reforzar la formación especializada, impulsar programas de recualificación profesional y promover una mayor concienciación empresarial, especialmente entre pymes y organizaciones que forman parte de cadenas de suministro críticas».
A nivel estructural, el reto es aún mayor. Desde Incibe recuerdan que “cerca de 165.000 profesionales trabajan en este campo (…) sin embargo, sigue teniendo una enorme demanda de empleo que hoy por hoy no está cubierta”. Por ello, insisten en que “no todo pasa por incorporar perfiles nuevos; también pasa por formar mejor a los equipos que ya están dentro de la empresa”.
Soluciones emergentes: ciberseguridad como servicio
Dada la imposibilidad de contratar y mantener equipos internos completos, el mercado está pivotando hacia nuevos modelos. El II Barómetro de Cylum refleja que las organizaciones están recurriendo cada vez más a la externalización y a modelos de «Ciberseguridad como Servicio» (CSaaS).
Néstor Muñoz, CEO de Nacata Security, considera que «ante la dificultad de encontrar perfiles especializados, muchas organizaciones están optando por externalizar parte de sus servicios de ciberseguridad a través de modelos gestionados. Esto les permite acceder a conocimiento experto de manera temporal o complementaria, hasta que puedan incorporar o formar personal con el nivel necesario para cubrir esas funciones de forma autónoma».
En esta línea, Carlos Hernández, product manager de servicios de ciberinteligencia de Telefónica Tech, ha subrayado que “es importante actuar en varios frentes: reforzar la formación especializada; impulsar programas de reskilling y upskilling dentro de las organizaciones; y apoyarse en automatización y servicios especializados para cubrir capacidades críticas”.
Andrés Reyes, de Sophos, coincide en el barómetro señalando que intentar solucionar la seguridad comprando herramientas sueltas ya no funciona. El verdadero reto es tener a alguien monitorizando alertas las 24 horas del día, los 7 días de la semana.
Recomendaciones para un ecosistema más seguro
Para mitigar los riesgos en la cadena de suministro en un contexto de falta de profesionales, los expertos coinciden en varios puntos clave.
Desde Incibe lo resumen con claridad: “La respuesta pasa por tres líneas muy claras: más formación, más cultura de ciberseguridad y una gestión más rigurosa de proveedores”. Además, subrayan un aspecto clave: “el empleado no solo puede ser un punto vulnerable: bien formado, puede ser una de las mejores líneas de defensa”.
La ciberseguridad ha dejado de ser una cuestión técnica para convertirse en un riesgo de negocio. Mientras la brecha de talento persista, la protección de la cadena de suministro dependerá de la capacidad de las organizaciones para combinar tecnología, formación y colaboración, garantizando así la supervivencia de un ecosistema digital cada vez más vulnerable.
