Imagina que alguien ha desarrollado una máquina capaz de probar todas las cerraduras de todos los comercios de un barrio en cuestión de minutos, sin cansarse, sin coste, las veinticuatro horas del día.
Eso, traducido al mundo digital, es más o menos lo que acaba de ocurrir con la llegada de los modelos de inteligencia artificial de última generación con capacidades ofensivas autónomas. Y España, con un tejido empresarial compuesto en un 97 por ciento por empresas que facturan menos de dos millones de euros al año, es ese barrio.
El problema no es nuevo. Lo nuevo es que acaba de volverse urgente.
Un modelo de inteligencia artificial que nadie esperaba que supiera atacar
En abril de 2026, Anthropic —la empresa de IA fundada por exinvestigadores de OpenAI— presentó Claude Mythos, su modelo de razonamiento más avanzado.
Las pruebas de seguridad previas al lanzamiento arrojaron un resultado que nadie había anticipado: el modelo era capaz, por sí solo, de analizar código en busca de vulnerabilidades, formular hipótesis sobre cómo explotarlas, validarlas y construir lo que los expertos llaman una «cadena de intrusión» funcional.
Sin que nadie le hubiera enseñado a hacerlo. Sin intervención humana. Como efecto secundario de haber aprendido a razonar mejor.
Estamos ante un cambio de paradigma en cómo y a qué velocidad somos capaces de construir la ciberseguridad
.KPMG España, 2026
-El cambio no es solo tecnológico. Es económico. Hasta ahora, lanzar un ciberataque sofisticado requería un equipo de expertos, semanas de trabajo y recursos considerables.
Solo los estados, el crimen organizado con músculo financiero o los grupos de piratas informáticos más avanzados podían permitírselo. Con un modelo como Mythos —o con los modelos equivalentes que, según el propio Anthropic, otros actores tendrán en seis a doce meses— ese coste cae prácticamente a cero. Cualquier empresa, sea cual sea su tamaño, se convierte en un objetivo rentable de atacar.
Las matemáticas: defender cuesta lo que muchas empresas no ganan en un año
Aquí entra la segunda pieza del puzle, y es donde el problema se vuelve verdaderamente sistémico.
Protegerse bien de verdad —no con un antivirus y una contraseña— implica montar lo que en el sector se llama un SOC: un Centro de Operaciones de Seguridad con analistas vigilando las veinticuatro horas, siete días a la semana, trescientos sesenta y cinco días al año.
Para cubrir esos turnos hacen falta entre cinco y seis analistas especializados, más un director de seguridad, más las licencias de software, más los sistemas de detección y respuesta. El coste mínimo anual de esa infraestructura ronda los 500.000 a 800.000 euros.
Usando las reglas de mercado habituales —la ciberseguridad suele absorber entre el cinco y el diez por ciento del presupuesto tecnológico, y ese presupuesto representa entre el dos y el cinco por ciento de la facturación— las matemáticas son despiadadas: solo una empresa que facture más de 150 o 200 millones de euros al año puede costearse un SOC propio sin ahogar el resto de su inversión.
En España, ese umbral lo superan aproximadamente 3300 empresas. El 0,1 por ciento del total. El otro 99,9 por ciento —más de tres millones de empresas— no puede. Y no es que no quiera o no le importe. Es que, sencillamente, no le salen las cuentas.
El incendio que ya está ocurriendo
Esto no es ciencia ficción ni alarmismo preventivo. El incendio ya está ocurriendo.
En 2025, el Instituto Nacional de Ciberseguridad (INCIBE) gestionó 122.223 incidentes de ciberseguridad en España, un 26 por ciento más que el año anterior.
Los ciberataques diarios superaron los 45.000. El ransomware —el tipo de ataque en el que los delincuentes cifran los datos de la empresa y exigen un rescate para devolvérselos— creció un 116 por ciento respecto a 2024. La línea de ayuda 017 de INCIBE atendió casi 143.000 consultas, un 45 por ciento más que el ejercicio anterior.
El 60 por ciento de las pequeñas empresas que sufren un incidente grave cierran en los seis meses siguientes. No por el ataque en sí, sino por la combinación del coste de recuperación, la pérdida de confianza y la falta de recursos para rehacerse
Y esto es antes de que la IA ofensiva autónoma se haya democratizado del todo.
La regulación que llega, y que muchas empresas no podrán cumplir
Por si fuera poco, 2026 es el año en que España debe completar la transposición de la directiva europea NIS2, que amplía drásticamente el número de empresas obligadas a cumplir estándares de ciberseguridad: de unos pocos cientos de entidades a entre 5000 y 50.000.
Las empresas afectadas deberán notificar incidentes en menos de veinticuatro horas, designar un responsable de seguridad y demostrar que son capaces de resistir y recuperarse de un ataque. Las multas por incumplimiento llegan a los diez millones de euros.
El problema añadido es el efecto en cascada: las grandes empresas obligadas por NIS2 deben auditar a toda su cadena de suministro, lo que arrastra la presión regulatoria hacia microempresas y autónomos que trabajan con ellas, aunque técnicamente no estén en el perímetro de la directiva. La regulación llega con urgencia. Los recursos para cumplirla, no.
Tres maneras de salir de este atolladero
La conclusión de los expertos es unánime: el problema no puede resolverse individualmente. Ninguna pyme puede costear sola lo que necesita. Pero tampoco puede resolverlo solo el Estado, que no tiene la velocidad ni la capilaridad para llegar a tres millones de empresas. La única salida realista pasa por la colaboración público-privada, y hay varias formas de articularla con distinto nivel de ambición.
Primera vía: hacer accesible lo básico
El modelo ya existe: el programa británico Cyber Essentials lleva desde 2014 ofreciendo a empresas de cualquier tamaño un sello de seguridad básica por el equivalente a 300-500 libras. Las empresas certificadas registran un 80 por ciento menos de reclamaciones de seguros cibernéticos.
En España, el Kit Digital podría evolucionar hacia un vóucher universal de ciberseguridad que subvencione las cinco protecciones fundamentales: antívirus avanzado, copias de seguridad cifradas, doble verificación, gestión de actualizaciones y formación básica del personal.
Todo ello vinculado a ventajas fiscales y a requisitos en licitaciones públicas. Ejecutable en menos de dieciocho meses.
Segunda vía: la seguridad compartida por sectores
Si una empresa sola no puede pagar un SOC, quizás cien empresas del mismo sector sí pueden compartir uno. El modelo de centros de operaciones sectoriales —donde el Estado pone la infraestructura base y las empresas pagan una cuota variable desde cien euros mensuales para las más pequeñas— existe ya en Alemania y Francia con resultados notables.
En España tendría sentido empezar por hostelería, comercio minorista y agroalimentario.
Simultáneamente, cuando un banco detecta una nueva modalidad de ataque, esa información debería llegar en minutos a la ferretera de la esquina, no semanas después a través de un comunicado de prensa.
Tercera vía: un sistema inmune colectivo
La más ambiciosa, y la que marca la diferencia a largo plazo: construir una infraestructura pública de ciberseguridad que funcione como un sistema inmune colectivo.
Cuando la IA detecta un ataque en cualquier punto del ecosistema empresarial, el aprendizaje se distribuye automáticamente al resto.
Para eso hace falta una Agencia Nacional de Ciberseguridad unificada con mandato operativo real, un modelo de IA defensiva de desarrollo europeo que no dependa de proveedores estadounidenses o asiáticos, y un seguro cibernético progresivamente obligatorio similar al seguro de responsabilidad civil.
España se incorporó este junio de 2026 al Proyecto Glasswing de Anthropic, el programa que da acceso controlado a Mythos para testear defensas de infraestructuras críticas. Es el primer paso. Convertirlo en arquitectura real es la tarea de los próximos tres a cinco años.
La ventana que se cierra
El propio Anthropic ha sido explícito: en seis a doce meses, otros actores del sector tendrán modelos con capacidades equivalentes a Mythos. Algunos los lanzarán con todas las salvaguardas necesarias. Otros, probablemente no.
Cuando eso ocurra, la pregunta no será si las pymes españolas están en el punto de mira. Estarán en el punto de mira. La pregunta será si habremos construido algo que las proteja.
El coste de construir ese sistema —entre 200 millones para las medidas más inmediatas y hasta 4 000 millones para el escenario más completo— parece enorme hasta que se compara con el de no hacerlo: miles de empresas cerradas, cientos de miles de empleos destruidos y una economía digital que depende de infraestructuras que no puede defender
Las matemáticas, de nuevo, son despiadadas. Pero esta vez hablan a favor de actuar.
Notas relacionadas:
- La IA que aprende a atacar: nuevo escenario que mantiene alerta a los responsables de ciberseguridad
- Análsisis elaborado a partir de los informes de KPMG España («IA avanzada y el nuevo paradigma de la ciberseguridad», 2026), el Balance de Ciberseguridad 2025 de INCIBE (febrero de 2026), los datos del Proyecto Glasswing de Anthropic y las estadísticas del ecosistema empresarial español
