Watch&Act Protection Services ha publicado el V Ranking de Transparencia en Ciberseguridad, un estudio que analiza cómo las empresas del IBEX 35 comunican sus prácticas y estrategias de protección digital, en un escenario que exige cada vez más confianza por parte de clientes, proveedores y consumidores.
Entre los principales hallazgos de esta edición, destaca que casi el 94% de las compañías analizadas reflejan explícitamente el compromiso de la alta dirección con la ciberseguridad. Además, un 60% menciona ya el uso de la inteligencia artificial (IA) en este ámbito, lo que confirma su papel creciente como palanca clave para reforzar la protección y anticipar nuevas amenazas.
El V Ranking de Transparencia en Ciberseguridad, elaborado por Watch&Act Protection Services, evalúa de manera objetiva y sistemática el nivel de transparencia de las empresas del IBEX 35 en sus prácticas de ciberseguridad, a partir exclusivamente de información pública correspondiente al ejercicio 2024 de las 35 compañías analizadas. CaixaBank, Ferrovial, Fluidra e Inditex encabezan esta edición con la puntuación más alta alcanzada, según la nota de prensa que hemos recibido hoy lunes 15 de diciembre de 2025.
Más sobre el V Ranking de Transparencia en Ciberseguridad
El análisis se articula en 16 criterios distribuidos en cuatro categorías principales: Gobernanza y
Liderazgo, Estrategia y Operaciones, Formación, y Cumplimiento y Continuidad. Se trata de un ranking único en España que permite identificar buenas prácticas corporativas y establecer un marco de referencia para fomentar el avance continuo en ciberseguridad.
El contexto en el que se publica el ranking es que «en plena campaña de Navidad y tras la intensa actividad del Black Friday y el Cyber Monday, las empresas españolas se enfrentan a uno de los momentos más críticos del año en materia de ciberseguridad». Las transacciones y el intercambio de datos se multiplican, y con ellas, el riesgo de sufrir un ciberataque.
«Las cifras son contundentes: según un informe reciente de Factum, empresa de ciberseguridad vinculada al Banco Santander, los ciberataques en el comercio digital aumentan hasta un 67% durante las campañas de Black Friday, Cyber Monday y Navidad», advierte Watch&Act Protection Services en su comunicado de prensa.
Para la presentación de los resultados del V Ranking de Transparencia en Ciberseguridad, se organizó, en colaboración con la Fundación Haz, una mesa redonda bajo el título “Ciberseguridad y la nueva regulación ¿Están las empresas del IBEX 35 preparadas para su cumplimiento?”. El acto contó con la participación de destacados especialistas del sector: Patricia Pérez, directora del equipo de TMT en Baker McKenzie; Javier Huergo, socio director de Watch&Act Protection Services (WAPS); Santiago Álvarez de Cienfuegos, country director de XM Cyber; Pedro Coll, Europe Crisis & Issues director en LLYC; y Jacinto Muñoz Muñoz, director de Resiliencia Operativa y GRC en MAPFRE.
“Las empresas del IBEX muestran un interés creciente en este ranking, ya que para ellas resulta esencial demostrar ante clientes e inversores que están adoptando medidas sólidas en materia de ciberseguridad”, señaló Javier Huergo, socio director de WAPS, durante la apertura del acto. Durante el debate, se analizaron las implicaciones de los ciberataques para las grandes empresas y los principales retos regulatorios, aseguradores, tecnológicos y comunicativos que afrontan.
Comparativa entre sectores
En el análisis sectorial, el ranking sitúa al sector de telecomunicaciones en primera posición, gracias a su liderazgo en el uso de IA y a un elevado nivel de transparencia en recursos humanos dedicados a ciberseguridad.
Al respecto, Santiago Álvarez de Cienfuegos, country director de XM Cyber, señaló que a menudo, el trabajo de las empresas se limita a añadir más capas de protección, olvidando medir el riesgo real que se afronta. En esta línea, afirmó que “está demostrado que el 75% de los equipos que trabajan en ciberseguridad no tienen impactos reales en cuanto al riesgo, un porcentaje que debe cambiar”.
En segundo lugar, se sitúan finanzas y seguros, un sector altamente regulado que muestra una madurez notable en certificaciones y en el cumplimiento de DORA, seguido del sector energético en tercer lugar. A continuación, aparecen servicios de consumo, construcción e inmobiliario. Cierra la clasificación bienes de consumo, el sector que registra la mayor caída en el ranking y que presenta, al mismo tiempo, un mayor margen de mejora y oportunidad de desarrollo.
Resultados y top 10 del ranking
El ranking analiza el grado de apertura informativa de las empresas en este ámbito y las clasifica en tres niveles: organizaciones transparentes, traslúcidas y opacas. En esta edición del V Ranking de Transparencia en Ciberseguridad, CaixaBank (160 puntos), Ferrovial (160 puntos), Fluidra (160 puntos) e Inditex (160 puntos) alcanzan los 160 puntos, la puntuación máxima prevista en la evaluación.
Junto con Mapfre (152,5 puntos), Indra (150 puntos), BBVA (147,5 puntos), Banco Santander (145 puntos), Enagás (145 puntos) y Meliá (145 puntos), conforman el top 10 de compañías mejor valoradas en ciberseguridad.
ACS (130 puntos) protagoniza el mayor ascenso de 2025, al subir ocho posiciones en el ranking respecto a la edición anterior. El V Ranking de Transparencia en Ciberseguridad también destaca a otras empresas en los primeros puestos, como Aena (140 puntos), Telefónica (140 puntos), Redeia (137,5 puntos), Cellnex (135 puntos), Naturgy (1350 puntos), Amadeus (130 puntos), Grifols (130 puntos) y Banco Sabadell (127,5 puntos).
“Las empresas tenemos la obligación de garantizar no solo nuestro propio cumplimiento de los estándares necesarios, sino también el de todos nuestros proveedores y socios, para evitar que se conviertan en el eslabón débil”, refirió Jacinto Muñoz, director de Resiliencia Operativa y GRC Mapfre, sobre la visión actual de las empresas del IBEX 35 y el contexto al que se enfrentan en la actualidad. “Además, cumplir con las nuevas normativas, aunque suponga un reto, redunda en elevar el nivel de seguridad de las empresas y hemos de usarlo a nuestro favor”, añadió.
Exigencias normativas crecientes en ciberseguridad
En 2024, el Reglamento General de Protección de Datos (RGPD) alcanza un nivel de implantación del 100% entre las empresas del IBEX 35, que declaran cumplirlo en su totalidad. La situación es distinta en la Directiva NIS2 sobre seguridad de redes y sistemas, traspuesta en octubre de 2024, cuyo cumplimiento sólo es mencionado por el 34% de las compañías afectadas, continúa la nota de prensa.
En el ámbito financiero, el Digital Operational Resilience Act (DORA), vigente desde enero de 2025, ya ha sido adoptado por el 67% de las empresas del sector. La Ley de Ciberresiliencia, actualmente en fase de implementación progresiva, registra el porcentaje más bajo de menciones, con solo un 8% de compañías que aluden a su cumplimiento.
Con respecto a los aspectos legales del incumplimiento de las nuevas normativas, Patricia Pérez,
directora del equipo de TMT en Baker McKenzie incidió en la importancia de respetar los plazos establecidos por las autoridades, afirmando que “poder cumplir, al menos en tiempo y forma, con lo que requiere la normativa es clave para que la empresa se perciba de manera favorable”.
Los sectores más regulados declaran mayores niveles de preparación y ofrecen una comunicación más detallada sobre su grado de cumplimiento, mientras que el resto de las empresas avanzan de forma más gradual en la adopción de estas normas.
En ese sentido, Pedro Coll, Europe Crisis & Issues director LLYC, señaló que el enfoque debe cambiar: “No se trata de culpar a la empresa, sino de comunicar que ha sido víctima de un ataque. Ser transparentes al respecto es clave para preservar su reputación, credibilidad e integridad”.
Claves para avanzar en ciberseguridad y transparencia
El informe evidencia una maduración tecnológica heterogénea en la transparencia en ciberseguridad: mientras los sectores más regulados se sitúan a la vanguardia y consolidan prácticas avanzadas de gestión y reporting, los sectores más tradicionales aún presentan amplias oportunidades de mejora.
La nota de prensa de Watch&Act Protection Services concreta que esta disparidad se produce, además, en un contexto de alta volatilidad competitiva, en el que 16 compañías mejoran posiciones y otras 16 retroceden en el ranking, reflejo de un mercado dinámico en el que los avances no son lineales y la posición de liderazgo no está garantizada.
Asimismo, el análisis confirma que la adopción de tecnologías emergentes, especialmente el uso de la IA aplicada a la ciberseguridad se convierte en un rasgo distintivo de las empresas más innovadoras. El impacto del nuevo marco regulatorio, con normas como NIS2, DORA y la futura ley de Ciberresiliencia, está impulsando mayores niveles de transparencia, aunque persiste una brecha clara en el ámbito de los recursos humanos: la información sobre equipos, capacidades y formación en ciberseguridad sigue siendo el área con mayor margen de mejora para las empresas del IBEX 35.
Como indicó el coronel Juan Sotomayor, jefe de la Unidad de Coordinación de Ciberseguridad de la Guardia Civil, en el cierre del acto, “la ciberseguridad hoy en día depende de los altos directivos y del gobierno de la empresa, que deben garantizar un proceso continuo de concienciación del personal, invertir en nuevas tecnologías y disponer de protocolos internos realmente eficaces”, finaliza la nota sobre los resultados del V Ranking de Transparencia en Ciberseguridad publicado por Watch&Act Protection Services.
