Una nueva encuesta internacional a 684 empleados revela que la reutilización de contraseñas, el uso de herramientas de IA no autorizadas y la falta de formación en seguridad están socavando en silencio años de inversión tecnológica en pymes y empresas medianas.
Pese al gasto récord en herramientas de ciberseguridad, la mayor vulnerabilidad de las pequeñas y medianas empresas podría no estar en el software, sino en las personas que lo utilizan. Esta es la conclusión central del «2026 Cybersecurity Hygiene Report» de WatchGuard Technologies, una encuesta independiente realizada a 684 empleados en Estados Unidos, Reino Unido, Alemania, Francia, Australia, Brasil, México y España, publicada esta semana.
Según el informe, el 76 % de los encuestados admite reutilizar contraseñas entre varias cuentas al menos ocasionalmente, mientras que solo el 22 % utiliza autenticación multifactor (MFA) en todos sus accesos. Esta combinación, sostienen los autores, crea una superficie de ataque de credenciales inusualmente amplia: una sola contraseña filtrada podría, en teoría, abrir varias cuentas a la vez, y sin MFA a menudo no queda ninguna barrera adicional. Como dato más alentador, el 63 % de los empleados afirma utilizar ya un gestor de contraseñas, y el 94 % dice crear contraseñas complejas sin que se lo pidan, lo que demuestra, según el informe, que la mera disponibilidad de herramientas no garantiza un comportamiento seguro.
El estudio también señala una brecha creciente entre los entornos donde realmente trabajan los empleados y aquellos para los que se diseñaron los controles de seguridad corporativos. El 70 % de los encuestados afirma conectarse a redes wifi públicas para tareas laborales, pero solo alrededor de una quinta parte utiliza VPN o acceso de red de confianza cero al hacerlo. Más de la mitad usa dispositivos de trabajo para actividades personales como compras en línea, y casi un tercio ha dejado alguna vez un dispositivo de trabajo desatendido en un lugar público.
Uno de los hallazgos más llamativos del informe es el uso de «IA en la sombra»: el 64 % de los empleados dice utilizar herramientas de IA de consumo, como chatbots públicos, para tareas laborales sin aprobación formal, políticas ni supervisión por parte de su empresa. El riesgo se agrava porque solo el 61 % de los encuestados cree que su organización mantiene un inventario preciso del software en uso, lo que significa que, para una parte considerable de las empresas, este uso de IA resulta prácticamente invisible hasta que algo falla. Los autores de WatchGuard describen la adopción de IA en la sombra como «la brecha de gobernanza definitoria de 2026».
Las carencias formativas completan el panorama. Casi uno de cada cuatro empleados (23 %) afirma no haber recibido nunca formación sobre phishing o ingeniería social, y, entre quienes sí la han recibido, persisten hábitos de riesgo: el 26 % abre enlaces o adjuntos de remitentes desconocidos, y solo una cuarta parte dice tomar precauciones de forma habitual antes de hacer clic en un enlace de un correo electrónico. Las protecciones básicas, como el antivirus, están ampliamente extendidas pero no de forma universal: el 7 % de los encuestados afirma no contar con antivirus en ninguno de sus dispositivos.
El informe también vincula la higiene cibernética personal con el riesgo organizativo. El 30 % de los encuestados aseguró haber sufrido algún tipo de robo de identidad en el último año, mientras que solo el 18 % realiza copias de seguridad con regularidad y apenas el 10 % utiliza una contraseña distinta para cada cuenta. Dado que las credenciales personales y corporativas suelen solaparse, WatchGuard sostiene que una cuenta personal comprometida puede convertirse en una puerta de entrada a los sistemas de la empresa.
Cabe destacar que la encuesta halla escasa relación entre el nivel educativo, la antigüedad laboral y un comportamiento más seguro. Casi la mitad de los encuestados tiene entre 30 y 44 años, y más de tres cuartas partes cuentan con estudios universitarios, y aun así la reutilización de contraseñas y el uso de IA en la sombra son igual de comunes en este grupo con experiencia. Los autores concluyen que los empleados con más trayectoria tienden más a desarrollar atajos que priorizan la comodidad sobre el cumplimiento normativo.
Para los responsables de TI, los autores del informe recomiendan tratar la seguridad de credenciales como una cuestión de infraestructura y no solo de formación: despliegue obligatorio de gestores de contraseñas, aplicación de MFA en toda la organización y políticas formales de uso aceptable de IA elaboradas junto con los equipos legal y de cumplimiento. También abogan por sustituir la formación anual por simulaciones de phishing continuas, y por extender las políticas de dispositivos y red —incluyendo gestión de dispositivos móviles, filtrado DNS y VPN siempre activa— a los entornos híbridos en los que realmente trabajan hoy los empleados.
El informe plantea estos mismos hallazgos como una oportunidad comercial para los proveedores de servicios gestionados (MSP), argumentando que aquellos capaces de cuantificar el «riesgo humano» de un cliente y demostrar mejoras medibles con el tiempo —como una tasa decreciente de clics en simulaciones de phishing— reforzarán la retención de clientes. «El reto de ciberseguridad al que se enfrentan las pymes y las empresas medianas ya no es principalmente un problema tecnológico, sino un problema de comportamiento humano», declaró Marc Laliberte, responsable de Operaciones de Seguridad de WatchGuard, en las conclusiones del informe. «Afortunadamente, los controles para proteger a estas organizaciones ya existen.»
Nota editorial: La encuesta fue encargada y publicada por WatchGuard Technologies, un proveedor de ciberseguridad con interés comercial en la materia; todas las cifras son autodeclaradas por los empleados y no han sido verificadas de forma independiente.

El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de