Madrid, 15 de julio de 2026 – Una nueva investigación de WatchGuard Technologies, líder global en ciberseguridad unificada para proveedores de servicios gestionados (MSP), revela que el comportamiento de los empleados está generando un riesgo de ciberseguridad significativo y, con frecuencia, invisible para las pequeñas y medianas empresas (pymes).
Según el ”Informe sobre Higiene en ciberseguridad 2026”, el 64% de los empleados reconoce utilizar herramientas de IA no autorizadas para trabajar, lo que contribuye a agravar rápidamente el problema de la IA en la sombra, o shadow AI, que la mayoría de las organizaciones no tiene visibilidad suficiente para gestionar.
Al mismo tiempo, los hábitos habituales en el entorno laboral siguen amplificando el riesgo. El 76% de los empleados reutiliza contraseñas, el 70% utiliza redes Wi-Fi públicas para trabajar y el 50% accede a recursos corporativos sin protección VPN, lo que expone a las organizaciones al robo de credenciales, la interceptación de datos y el acceso no autorizado.
“Las organizaciones están invirtiendo en herramientas de seguridad, pero muchas siguen sin tener visibilidad sobre cómo trabajan realmente sus empleados”, explica Marc Laliberte, director de Operaciones de Seguridad de WatchGuard. “Los comportamientos cotidianos, desde el uso de la IA hasta las prácticas relacionadas con las contraseñas, generan riesgos para los que los controles tradicionales no están diseñados”.
Las brechas de visibilidad se amplían a medida que se acelera la adopción de la IA
Las herramientas de IA de consumo han dado lugar a una categoría de riesgo de seguridad que crece rápidamente y que la mayoría de las organizaciones todavía no aborda mediante un marco formal de gobernanza. Según el informe, menos del 30% de los encuestados cree que su organización mantiene un inventario preciso del software utilizado y casi el 40% afirma que su empresa opera sin visibilidad completa sobre las aplicaciones que emplean sus trabajadores.
Esta falta de gobernanza, incluidas las directrices corporativas sobre las herramientas autorizadas y la información que puede transmitirse al exterior, crea un peligroso punto ciego para los equipos de TI y ciberseguridad.
Los hábitos laborales inseguros generalizados siguen sin control
Más allá de la IA en la sombra, determinados comportamientos generalizados de los empleados siguen debilitando los protocolos de seguridad de las organizaciones y abriendo oportunidades a los ciberdelincuentes. Entre ellos:
- El 76% de los empleados reconoce reutilizar contraseñas en varias cuentas. Esto significa que una única credencial comprometida puede dejar a la organización expuesta a la toma de control de cuentas, el movimiento lateral y una importante exfiltración de datos en múltiples sistemas, plataformas y aplicaciones. Además, el 30% de los encuestados afirma compartir sus contraseñas con otras personas.
- El 70% utiliza redes Wi-Fi públicas para trabajar, mientras que el 50% accede a recursos corporativos sin protección VPN. Esto amplía de forma considerable la superficie de ataque de la organización y aumenta la exposición a la interceptación de datos, el robo de credenciales y el acceso no autorizado a la red mediante ataques de intermediario (man-in-the-middle) y otras amenazas dirigidas contra conexiones no seguras.
- El 55% utiliza los dispositivos de trabajo para actividades personales, lo que incrementa el riesgo de infecciones de malware, ataques de phishing y acceso a aplicaciones o sitios web que podrían eludir los controles de seguridad de la organización. La adopción generalizada del trabajo híbrido y remoto ha difuminado las fronteras entre los ámbitos personal y profesional, creando nuevas oportunidades para que los atacantes comprometan datos corporativos y dificultando que los equipos de seguridad mitiguen el riesgo de manera eficaz.
Los MSP, en posición privilegiada para abordar el creciente riesgo asociado a los empleados
La creciente presión por mejorar la productividad, la evolución de los entornos de trabajo y la rápida adopción tecnológica están impulsando comportamientos de riesgo entre los empleados.
Esto ofrece a los MSP una clara oportunidad para ayudar a las pymes a corregir las carencias en materia de higiene de ciberseguridad antes de que desemboquen en incidentes graves.
“Estos resultados reflejan un cambio más amplio en el riesgo de ciberseguridad. A medida que las organizaciones adoptan nuevas tecnologías y facilitan el trabajo distribuido, gestionar el comportamiento humano se está convirtiendo en un requisito fundamental”, señala Laliberte. “Para los MSP, supone una oportunidad de ir más allá de la tecnología e incorporar la visibilidad del riesgo de usuario, la gobernanza de políticas y la concienciación continua en seguridad”.
Para reducir la exposición, WatchGuard recomienda que las pymes y sus partners MSP se centren en seis medidas prácticas, entre ellas exigir el uso de gestores de contraseñas y autenticación multifactor (MFA), identificar el uso de tecnologías no autorizadas o en la sombra, establecer políticas claras de uso aceptable de la IA, extender la protección más allá de la oficina mediante VPN y enfoques Zero Trust, e implantar formación continua en seguridad, al tiempo que se supervisan métricas de riesgo humano junto con indicadores técnicos.
Consulta todos los resultados del “Informe sobre higiene de ciberseguridad 2026”.
Metodología
Los resultados se basan en una encuesta online independiente realizada a 684 empleados de pymes y empresas medianas (entre 50 y 500 empleados) de Estados Unidos, Reino Unido, Alemania, Francia, España, Australia, México y Brasil. La encuesta se llevó a cabo en abril de 2026. Todos los porcentajes reflejan comportamientos declarados por los propios empleados.