El informe Risk Barometer 2026 de Allianz, elaborado a partir de la opinión de 3.338 expertos en gestión de riesgos de 97 países, vuelve a situar la ciberseguridad en el centro del mapa de riesgos empresariales. Por quinto año consecutivo, los incidentes cibernéticos se sitúan como el principal riesgo global, con un 42% de las respuestas. Lideran también el ranking en empresas de todos los tamaños, lo que confirma que ya no es un problema asociado únicamente a grandes empresas, sino una exposición generalizada.
Lo relevante no es solo la posición, sino también la evolución de los riesgos y, sobre todo, cómo la ciberseguridad se cruza con otros factores que están redefiniendo el entorno empresarial.
La inteligencia artificial irrumpe como el segundo riesgo global con un 32%, tras escalar desde la décima posición el año anterior. Este salto se explica por problemas concretos que afectan hoy a las empresas: fallos en la calidad de los datos, dificultades de integración, falta de personal cualificado y una gobernanza aún inmadura en muchos casos. A esto se suma un riesgo creciente de uso malicioso, con ataques más automatizados, campañas de phishing más creíbles y una mayor capacidad para explotar vulnerabilidades en menos tiempo.
Aun así, el 44% de las empresas considera que la inteligencia artificial aporta más beneficios que riesgos, frente a un 19% que opina lo contrario. El problema no es la tecnología en sí, sino la velocidad a la que se está adoptando frente a la capacidad real de controlarla.
En tercer lugar aparece la interrupción del negocio con un 29%, un riesgo directamente relacionado con los ciberincidentes, con los fallos tecnológicos y con la fragilidad de las cadenas de suministro. Muchos de los parones operativos actuales no vienen de incendios, desastres naturales o fallos logísticos, sino de ataques o incidentes tecnológicos.
Ranking de los riesgos empresariales globales más importantes para 2026. Fuente: Allianz
Ciberseguridad y cadena de suministro
Un punto relevante del informe es la estrecha conexión entre ciberseguridad y cadena de suministro. La posición dominante del riesgo cibernético no solo se debe al aumento de ataques, sino también a la creciente dependencia de terceros en un entorno cada vez más interconectado. La exposición ya no está únicamente dentro de la empresa, sino en todo su ecosistema de proveedores, tanto industriales como tecnológicos y de servicios. En ese contexto, un incidente en cualquier proveedor puede afectar a clientes, producción o distribución en cuestión de horas.
Solo el 3% de los encuestados considera que su cadena de suministro es “muy resiliente”. La mayoría se queda en una percepción intermedia: un 58% la califica como “algo resiliente”, un 32% como “resiliente” y un 7% reconoce directamente que no lo es. Estos datos reflejan que la mayor parte de las empresas no se perciben preparadas para enfrentar disrupciones derivadas de conflictos geopolíticos, cambios en los patrones comerciales o fallos tecnológicos. Además, esas disrupciones ya no deben analizarse por separado ya que, una crisis climática, un ciberataque y una interrupción de servicios esenciales, pueden producirse de forma simultánea y reforzarse entre sí.
Resultados de la encuesta sobre el grado de resiliencia de las cadenas de suministro de la empresa ante las interrupciones causadas por conflictos geopolíticos, cambios en los patrones comerciales o fallos en infraestructuras críticas. Fuente: Allianz
La dependencia de
grandes proveedores tecnológicos refuerza esta vulnerabilidad. Más de tres
cuartas partes de las empresas utilizan servicios cloud en la mayor parte o en
todas sus operaciones, mientras que solo tres compañías concentran más del 60%
de la infraestructura cloud global. Una interrupción en estos servicios puede
afectar simultáneamente a miles de organizaciones.
Impacto económico
El impacto económico de los incidentes sigue creciendo. El informe señala que los cibercriminales están explotando vulnerabilidades ligadas tanto a la tecnología como a la operativa, incluidas las cadenas de suministro y los empleados, con el objetivo de provocar interrupción del negocio y maximizar la presión económica. Según el análisis de siniestros, el ransomware concentró el 60% del valor de los grandes siniestros cibernéticos de más de un millón de euros registrados en el primer semestre de 2025. Además, el 40% del valor de esos grandes siniestros incluyó robo de datos, frente al 25% en el conjunto de 2024. Es decir, el componente de extorsión vinculado a la exfiltración de información está ganando peso con rapidez.
Cuando se habla de
incidentes de ciberseguridad, suele asumirse que derivan de ataques maliciosos.
Sin embargo, la realidad muestra que los incidentes como fallos técnicos,
errores humanos o problemas en la recogida y tratamiento de datos,
representaron un récord del 28% del valor de los grandes siniestros en
2024. No todo gran incidente digital empieza con un atacante externo. En muchos
casos, comienza con una mala configuración, una caída de servicio o un error
interno en un entorno altamente dependiente de tecnología.
Grandes empresas vs pymes
El riesgo cibernético está presente independientemente del tamaño de la empresa, pero no todas tienen la misma capacidad para gestionarlo. Según el informe, en las empresas de menor tamaño, con menos de 100 millones de dólares de facturación anual, los incidentes cibernéticos siguen siendo el principal riesgo con un 38%, mientras que la inteligencia artificial se sitúa ya en segundo lugar con un 36%. Además, para estas empresas los cambios normativos ocupan la tercera posición con un 26%, por delante incluso de la interrupción del negocio, que baja al 21%.
Las pymes suelen contar con menos presupuesto, menos personal especializado y mayor dependencia de soluciones de terceros para su infraestructura digital. Eso las hace más vulnerables al impacto de un incidente grave y limita su capacidad de respuesta. La inteligencia artificial, además, no solo introduce nuevos riesgos, sino que también puede amplificar las diferencias entre empresas con capacidad para gestionarla y aquellas que no.
Top 10 riesgos para pymes. Fuente: Allianz
A pesar de este contexto, el nivel de concienciación va creciendo. Cerca del 90% de las empresas prevé realizar inversiones moderadas o elevadas en prevención de riesgos cibernéticos, con un 47% que anticipa un esfuerzo moderado y un 43% que habla directamente de una inversión alta, mientras que solo un 9% contempla un nivel bajo. El problema no es la falta de percepción del riesgo, sino la dificultad de traducir esa intención en medidas efectivas en un entorno cada vez más complejo.
Resultados de la encuesta sobre el grado de resiliencia de las cadenas de suministro de la empresa ante las interrupciones causadas por conflictos geopolíticos, cambios en los patrones comerciales o fallos en infraestructuras críticas. Fuente: Allianz
Presión regulatoria
Los cambios legislativos y regulatorios se posicionan como el cuarto riesgo empresarial más importante, con un 26%, y están evolucionando rápidamente en ámbitos como la ciberseguridad, la inteligencia artificial o la responsabilidad sobre productos digitales. En paralelo, la divergencia normativa entre regiones complica aún más el cumplimiento para empresas que operan en varios mercados. Para muchas compañías, el reto no será únicamente cumplir, sino hacerlo en un entorno donde las obligaciones cambian según mercado, tecnología y sector.
En conjunto, el Allianz Risk Barometer 2026 dibuja un escenario en el que los riesgos ya no pueden entenderse de forma independiente. La ciberseguridad, la inteligencia artificial, la continuidad del negocio, la regulación y la geopolítica están cada vez más conectadas. Y es precisamente esa interdependencia lo que complica su gestión.
La ciberseguridad ha dejado de ser un problema técnico para convertirse en uno de los principales condicionantes del funcionamiento empresarial a nivel global.
Y lo más relevante no es que sea el riesgo número uno, sino que todo apunta a que lo seguirá siendo.