Víctor Santamaría, experto en ciberseguridad: “En 2026, el riesgo no es que te ataquen, es creer que estabas preparado”
En esta entrevista analiza las amenazas para las empresas, desde los accesos múltiples e indebidos a sistemas pasando por credenciales robadas, errores humanos.
En 2026, la ciberseguridad ya no es cuestión de hackers solitarios: hablamos de un ecosistema donde conviven el crimen organizado, actores estatales y un mercado gris que alquila ataques ‘por encargo’. ¿Qué hacer cuánto te atacan? Porque va a pasar, tal y como nos cuenta en esta entrevista Víctor Santamaría (Castro Urdiales, Cantabria, 1987), CEO de Scutson, experto en seguridad con más de 10 años de experiencia en entornos complejos a nivel internacional, analiza para AS cómo España afronta un escenario donde la velocidad del atacante y la asimetría del riesgo marcan la diferencia. Y sí, es más peligroso tu compañero de oficina aceptando un correo que el enemigo invisible que quiere tu dominio digital.
Pregunta - Cuando hablamos de ciberamenazas en 2026, ¿de qué estamos hablando realmente?
Respuesta - Lo primero que tenemos que entender es que el panorama ha cambiado radicalmente. En 2026 ya no hablaremos de un “chico en una habitación” probando suerte. Hablamos de un ecosistema donde conviven crimen organizado, grupos patrocinados o tolerados por estados, y un mercado gris de servicios que se alquilan “por encargo”. Y lo más importante: muchas operaciones ya no persiguen sólo datos; persiguen continuidad de negocio, presión, influencia y confianza. La sensación que se vive en incidentes reales es muy simple: la empresa no “pierde información”, pierde tiempo, pierde control y pierde credibilidad. Y ese daño, a veces, es más caro que el rescate o que el sistema caído. Eso se ve una y otra vez en informes basados en casos reales, como el Verizon DBIR 2025 o el Mandiant M-Trends 2025.
P - ¿Quiénes serán los principales actores de estas amenazas?
R - Los actores principales serán aquellos que mejor entiendan la “zona gris”: ni los de uniforme, ni los de pasamontañas. Unos operan por dinero, otros por ventaja estratégica. Y muchas veces se cruzan: el criminal abre la puerta, el actor estatal entra detrás, y nadie deja huellas evidentes. En 2024–2025, varios informes destacan el peso creciente de operaciones de espionaje y de intrusiones sofisticadas asociadas a intereses estatales (a menudo mediante terceros o “proxies”). No es teoría: está documentado por firmas de respuesta a incidentes y por agencias europeas.
P - ¿España está preparada para este escenario?
R - Estamos en ello, pero dejando claro que España ha mejorado mucho: hay capacidades, hay talento y hay estructuras. El problema no es “si hay gente buena”, el problema es el ritmo y la asimetría. El atacante elige el momento, el objetivo y el vector; el defensor tiene que estar bien siempre. Donde todavía vemos el talón de Aquiles es cultural: demasiadas organizaciones siguen tratando la seguridad como un “proyecto” (algo que se compra y se cierra), en lugar de como un sistema vivo: gobernanza, medidas, verificación, mejora continua. Por eso marcos como NIST CSF 2.0 insisten tanto en el componente de Gobernanza (“Govern”) y en integrar la ciberseguridad en la gestión del riesgo real.
P - ¿Qué sectores serán los más vulnerables?
R - Los sectores críticos como son energía, agua, salud, transporte y telecomunicaciones, siempre estarán en la diana, pero el matiz importante es éste: muchas intrusiones serias no empiezan ahí. Empiezan en lo que parece “secundario”: proveedores, mantenedores, subcontratas, SaaS, cuentas de terceros. Aquí hay que tener en cuenta el viejo principio de la cadena: no se rompe por el eslabón principal, se rompe por el más débil. Y los informes basados en brechas reales llevan tiempo señalando el peso de credenciales robadas, errores humanos y accesos indebidos como disparadores frecuentes.
Los sectores críticos como energía, agua, salud, transporte y telecomunicaciones, siempre estarán en la diana, pero el matiz importante es éste: muchas intrusiones serias no empiezan ahí. Empiezan en lo que parece “secundario”: proveedores, mantenedores, subcontratas...
Víctor Santamaría, experto en ciberseguridad
P - ¿La inteligencia artificial cambiará el panorama de las amenazas?
Sí, y de forma muy terrenal: la IA reduce el coste de hacer “cosas feas” a escala. Me explico: mejores phishing, más personalización, más velocidad para probar variantes, más automatización de tareas repetitivas. Eso aumenta el volumen y, sobre todo, aumenta la probabilidad de que alguna trampa funcione. La buena noticia es que la IA también fortalece la defensa, pero hoy la adopción ofensiva suele ir por delante porque es más fácil “aprovechar” que “blindar” bien. Ese desfase es parte del momento que estamos viviendo, y se refleja en informes que observan tendencias operativas y tácticas año tras año.
La mayoría de los incidentes masivos no necesitan “genios”, necesitan una contraseña reutilizada, un correo convincente o un dispositivo sin actualizar.
Víctor Santamaría, experto en ciberseguridad
P - ¿Debemos preocuparnos como ciudadanos?
R - Debemos estar ocupados, más que preocupados. No vivir con miedo, pero introduciendo nuevos hábitos coherentes con la nueva tecnología que nos rodea. La ciberseguridad, para un ciudadano, es como la seguridad vial: no te obsesionas… pero haces lo básico porque sabes que el mundo no perdona descuidos. La mayoría de los incidentes masivos no necesitan “genios”, necesitan una contraseña reutilizada, un correo convincente o un dispositivo sin actualizar. Y ahí, un poco de cultura digital reduce muchísimo el riesgo. En España, recursos como los de INCIBE están muy bien para aterrizar esto en prácticas concretas.
P - ¿Qué deberían hacer hoy las empresas para prepararse para 2026?
R - Asumir tres grandes acciones directamente, con energía, pero sin dramatismos: 1. Saber dónde duele de verdad: activos críticos, procesos críticos, dependencias críticas. 2. Reducir superficie de ataque: identidad, accesos, segmentación, copias, endurecimiento. 3. Prepararse para el día malo: detección, respuesta, recuperación y continuidad. Aquí es donde mucha gente se equivoca: creen que ciberseguridad es “comprar herramientas”. No. Es gobernanza + controles + verificación + respuesta. Y para empresas españolas, guías prácticas de INCIBE y las CCN-STIC (cuando aplica ENS) son referencias muy serias y accionables.
P - Si tuviera que resumir el riesgo de 2026 en una frase…
Noticias relacionadas
R - En 2026, el riesgo no es que te ataquen. El riesgo es creer que estabas preparado… hasta que descubres que no lo estabas.
¡Tus opiniones importan! Comenta en los artículos y suscríbete gratis a nuestra newsletter y a las alertas informativas en la App o el canal de WhatsApp. ¿Buscas licenciar contenido? Haz clic aquí
Rellene su nombre y apellidos para comentar