Santiago de Compostela, 19 de diciembre de 2025

El 15,5% de las empresas gallegas sufrió algún incidente de ciberseguridad en el último año, un porcentaje que se eleva a cerca del 50% en el caso de las empresas de más de 49 trabajadores. Los incidentes principales son los ataques de phising,  es decir, intentos de obtener información suplantando una identidad de alguien externo a la empresa. La consecuencia más habitual de los eventos de ciberseguridad es la falta de disponibilidad de servicios tecnológicos.

Son parte de los datos del estudio Informe sobre la ciberseguridad en las empresas de Galicia elaborado por el Observatorio de la Sociedad de la Información en Galicia (Osimga), adscrito a la Agencia para la Modernización Tecnológica de Galicia, y el Instituto Gallego de Estadística y que se publica hoy.

Tipos de incidentes

El informe señala que el tipo de incidente de ciberseguridad más habitual (10,2%) es el phising externo sucesivo, aunque con bastante diferencia (2,6%), de la suplantación de identidad dentro de la empresa. En tercer lugar están los ataques por virus informáticos y la denegación de servicios por sobrecarga, que afectaron a más del 2% de las empresas en el último año. Las intrusiones en sistemas mediante accesos no autorizados supusieron el 1,9% de los incidentes y la instalación de software malicioso para dañar sistemas o datos el 1,2%.

La consecuencia más habitual de los incidentes de ciberseguridad es la falta de disponibilidad de servicios tecnológicos, que afecta al 53,3% de las empresas que los sufrieron, seguida de la pérdida de productividad, que afectó al 29,8% y de gastos económicos adicionales (24,8%).

El documento señala también que durante 2025, el 14,4% de las empresas de 50 o más trabajadores sufrieron algún tipo de consecuencia tras un incidente de ciberseguridad. Este porcentaje baja hasta el 8,3% en el segmento de empresas de 10 a 49 empleados y al 5,6% en el caso de las empresas de menos de 10. Por sectores, el comercio es lo que más consecuencias sufrió (9,6%), seguido de la construcción (5,9%) y la industria (5,1%).

Más del 33% de las empresas que tuvieron incidentes de seguridad recibieron asistencia externa, más del 17% recurrieron a una empresa especializada, el 7,2% a los cuerpos y fuerzas de seguridad, el 3,2% al INCIBE y menos de un 3% a un organismo autonómico.

Inversión y capacitación

El 81,6% de las empresas de Galicia aplican alguna medida de seguridad en sus equipos y comunicaciones tecnológicas. Por sector y tamaño, emplean medidas de ciberseguridad la practica totalidad de las empresas de 50 o más personas empleadas. En las empresas de 10 a 49 empleados, los porcentajes oscilan entre el 86,2% de la hostelería y el 100% del comercio. En cuanto a inversión en ciberseguridad, el 40% de las empresas gallegas afirman haber destinado una media de 3.217 euros anuales a este fin. Cerca del 70% de las empresas de 50 o más personas empleadas gastan en ciberseguridad, destacando el sector de servicios, excluido comercio y hostelería.

En el último año el 22,1% de las empresas ofreció a su personal empleado la posibilidad de cursar actividades formativas sobre ciberseguridad. Este porcentaje supera el 50% en el caso empresas de 50 o más empleados. Por sectores, en el de "otros servicios" la media es más de diez puntos superior a #cualquier otra, con el 35,7%.

Percepción del nivel de seguridad

El 60,3% de las empresas declaran estar preparadas de manera adecuada o alta en la seguridad TIC. Este valor oscila entre el 88,8% en las empresas más grandes y el 58,7% en las pequeñas.

En lo referido a sectores de actividad, nuevamente encontramos como el "resto de servicios" y el de la industria se definen como más preparados. A una mayor distancia está la hostelería, donde solo el 44,7% de las empresas se declaran preparadas de forma adecuada o alta frente a posibles ciberataques.