CaixaBank, Ferrovial, Fluidra e Inditex lideran la transparencia en ciberseguridad

El informe revela que casi el 94% de las empresas analizadas hace explícito el compromiso de la alta dirección con la ciberseguridad y que un 60% menciona ya el uso de la inteligencia artificial (IA), consolidándola como palanca clave para reforzar la protección y anticipar nuevas amenazas.

El ranking, elaborado por Watch&Act Protection Services, evalúa de manera objetiva y sistemática el nivel de transparencia de las empresas del IBEX 35 en sus prácticas de ciberseguridad a partir exclusivamente de información pública correspondiente al ejercicio 2024 de las 35 compañías analizadas. CaixaBank, Ferrovial, Fluidra e Inditex encabezan esta edición con la puntuación más alta alcanzada.

El análisis se articula en 16 criterios distribuidos en cuatro categorías principales: Gobernanza y Liderazgo, Estrategia y Operaciones, Formación, y Cumplimiento y Continuidad. Se trata de un ranking único en España que permite identificar buenas prácticas corporativas y establecer un marco de referencia para fomentar el avance continuo en ciberseguridad.

Para la presentación de los resultados, se organizó, en colaboración con la Fundación Haz, una mesa redonda bajo el título “Ciberseguridad y la nueva regulación ¿Están las empresas del IBEX 35 preparadas para su cumplimiento?”. El acto,, contó con la participación de destacados especialistas del sector: Patricia Pérez, directora del equipo de TMT en Baker McKenzie; Javier Huergo, socio director de Watch&Act Protection Services (WAPS); Santiago Álvarez de Cienfuegos, country director de XM Cyber; Pedro Coll, Europe Crisis & Issues director en LLYC; y Jacinto Muñoz Muñoz, director de Resiliencia Operativa y GRC en Mapfre.

“Las empresas del IBEX muestran un interés creciente en este ranking, ya que para ellas resulta esencial demostrar ante clientes e inversores que están adoptando medidas sólidas en materia de ciberseguridad”, señaló Javier Huergo, socio director de WAPS, durante la apertura del acto.

Durante el debate, se analizaron las implicaciones de los ciberataques para las grandes empresas y los principales retos regulatorios, aseguradores, tecnológicos y comunicativos que afrontan.

Comparativa entre sectores

En el análisis sectorial, el ranking sitúa al sector de telecomunicaciones en primera posición, gracias a su liderazgo en el uso de IA y a un elevado nivel de transparencia en recursos humanos dedicados a ciberseguridad.

Al respecto, Santiago Álvarez de Cienfuegos, country director de XM Cyber, señaló que a menudo, el trabajo de las empresas se limita a añadir más capas de protección, olvidando medir el riesgo real que se afronta. En esta línea, afirmó que “está demostrado que el 75% de los equipos que trabajan en ciberseguridad no tienen impactos reales en cuanto al riesgo, un porcentaje que debe cambiar”.

En segundo lugar, se sitúan finanzas y seguros, un sector altamente regulado que muestra una madurez notable en certificaciones y en el cumplimiento de DORA, seguido del sector energético en tercer lugar.

A continuación, aparecen servicios de consumo, construcción e inmobiliario. Cierra la clasificación bienes de consumo, el sector que registra la mayor caída en el ranking y que presenta, al mismo tiempo, un mayor margen de mejora y oportunidad de desarrollo.

Resultados y top 10 del ranking

El ranking analiza el grado de apertura informativa de las empresas en este ámbito y las clasifica en tres niveles: organizaciones transparentes, traslúcidas y opacas.

En esta edición del V Ranking de Transparencia en Ciberseguridad, CaixaBank, Ferrovial, Fluidra e Inditex alcanzan los 160 puntos, la puntuación máxima prevista en la evaluación. Junto con Mapfre, Indra, BBVA, Banco Santander, Enagás y Meliá, conforman el top 10 de compañías mejor valoradas en ciberseguridad.

ACS protagoniza el mayor ascenso de 2025, al subir ocho posiciones en el ranking respecto a la edición anterior.

“Las empresas tenemos la obligación de garantizar no solo nuestro propio cumplimiento de los estándares necesarios, sino también el de todos nuestros proveedores y socios, para evitar que se conviertan en el eslabón débil.” refirió Jacinto Muñoz, director de Resiliencia Operativa y GRC Mapfre, sobre la visión actual de las empresas del IBEX 35 y el contexto al que se enfrentan en la actualidad. “Además, cumplir con las nuevas normativas, aunque suponga un reto, redunda en elevar el nivel de seguridad de las empresas y hemos de usarlo a nuestro favor”, añadió.

Exigencias normativas crecientes 

En 2024, el Reglamento General de Protección de Datos (RGPD) alcanza un nivel de implantación del 100% entre las empresas del IBEX 35, que declaran cumplirlo en su totalidad. La situación es distinta en la Directiva NIS2 sobre seguridad de redes y sistemas, traspuesta en octubre de 2024, cuyo cumplimiento solo es mencionado por el 34% de las compañías afectadas.

En el ámbito financiero, el Digital Operational Resilience Act (DORA), vigente desde enero de 2025, ya ha sido adoptado por el 67% de las empresas del sector. La Ley de Ciberresiliencia, actualmente en fase de implementación progresiva, registra el porcentaje más bajo de menciones, con solo un 8% de compañías que aluden a su cumplimiento.

Respecto a los aspectos legales del incumplimiento de las nuevas normativas, Patricia Pérez, directora del equipo de TMT en Baker McKenzie incidió en la importancia de respetar los plazos establecidos por las autoridades, afirmando que “poder cumplir, al menos en tiempo y forma, con lo que requiere la normativa es clave para que la empresa se perciba de manera favorable”

Los sectores más regulados declaran mayores niveles de preparación y ofrecen una comunicación más detallada sobre su grado de cumplimiento, mientras que el resto de las empresas avanzan de forma más gradual en la adopción de estas normas.

En ese sentido, Pedro Coll, Europe Crisis & Issues director LLYC, señaló que el enfoque debe cambiar: “No se trata de culpar a la empresa, sino de comunicar que ha sido víctima de un ataque. Ser transparentes al respecto es clave para preservar su reputación, credibilidad e integridad”.

Claves para avanzar en ciberseguridad y transparencia

El informe evidencia una maduración tecnológica heterogénea en la transparencia en ciberseguridad: mientras los sectores más regulados se sitúan a la vanguardia y consolidan prácticas avanzadas de gestión y reporting, los sectores más tradicionales aún presentan amplias oportunidades de mejora. Esta disparidad se produce, además, en un contexto de alta volatilidad competitiva, en el que 16 compañías mejoran posiciones y otras 16 retroceden en el ranking, reflejo de un mercado dinámico en el que los avances no son lineales y la posición de liderazgo no está garantizada.

Asimismo, el análisis confirma que la adopción de tecnologías emergentes, especialmente el uso de la IA aplicada a la ciberseguridad se convierte en un rasgo distintivo de las empresas más innovadoras. El impacto del nuevo marco regulatorio, con normas como NIS2, DORA y la futura ley de Ciberresiliencia, está impulsando mayores niveles de transparencia, aunque persiste una brecha clara en el ámbito de los recursos humanos: la información sobre equipos, capacidades y formación en ciberseguridad sigue siendo el área con mayor margen de mejora para las empresas del IBEX 35.

Como indicó el coronel Juan Sotomayor, jefe de la Unidad de Coordinación de Ciberseguridad de la Guardia Civil, en el cierre del acto, “la ciberseguridad hoy en día depende de los altos directivos y del gobierno de la empresa, que deben garantizar un proceso continuo de concienciación del personal, invertir en nuevas tecnologías y disponer de protocolos internos realmente eficaces”