La inversión en ciberseguridad entra en 2026 con una dinámica poco habitual: crecimiento generalizado del presupuesto y una apuesta decidida por la inteligencia artificial. Sin embargo, ese impulso convive con una paradoja: la IA es al mismo tiempo el principal motor de gasto y el primer candidato a sufrir recortes si el contexto económico cambia.
Así lo recoge el informe From Adoption to Accountability: The New Economics of AI in Cybersecurity, elaborado por Exabeam junto a Sapio Research, a partir de una encuesta a 750 responsables de TI y seguridad en organizaciones de más de 500 empleados en 12 países.
El 95 % de las organizaciones prevé aumentar su presupuesto de ciberseguridad en 2026 y un 74 % habla de incrementos de dos dígitos. En la mayoría de los casos, el crecimiento se sitúa entre el 10 % y el 20 %, aunque un 16 % anticipa subidas superiores al 20 %.
El principal motor es la adopción de IA y automatización en operaciones de seguridad (44 %), seguida de la expansión de entornos cloud e híbridos (33 %) y la adopción generalizada de IA en el negocio (32 %).
No se trata tanto de ampliar equipos como de transformar los SOC. Como advierte Steve Wilson, Chief AI and Product Officer de Exabeam, “las organizaciones están invirtiendo miles de millones en transformación con IA mientras siguen utilizando métricas diseñadas para una era pre-IA. Cuando los consejos exijan rendición de cuentas (…) los líderes de seguridad que no puedan demostrar un impacto claro en el negocio verán sus presupuestos recortados”.
La paradoja de la IA
La IA ocupa tres posiciones críticas: es el principal impulsor del aumento de presupuesto (44 %), sería la primera partida en sufrir recortes si el gasto se redujera un 10 % (44 %) y es la inversión más difícil de justificar ante la dirección (32 %).
Aunque el 87 % de los responsables de seguridad confía en que sus inversiones generan valor, un 30 % reconoce que su mayor dificultad es que el consejo no entiende el vínculo entre ciberseguridad y resiliencia empresarial.
Kevin Kirkwood, CISO de Exabeam, lo resume así: “Los consejos no financian un cierre de tickets más rápido, financian una reducción medible del riesgo y resiliencia empresarial”.
El 63 % afirma utilizar modelos cuantificados de ROI y el 60 % métricas operativas, pero el informe apunta a una desconexión entre lo que se mide en el SOC y lo que el consejo necesita entender.
Para Steve Povolny, VP of AI Strategy and Security Research, es necesario avanzar hacia métricas centradas en resultados como brechas evitadas, menor interrupción del negocio o recuperación más rápida. En la misma línea, Steve Moore advierte que “tiempos de respuesta más rápidos y dashboards más pulidos no reflejan necesariamente una reducción real del riesgo empresarial”.
El 92 % de los responsables de seguridad asegura que la IA ya está mejorando sus operaciones o lo hará antes de que termine 2026. Se espera mayor impacto en detección y triaje de alertas (38 %), productividad y automatización de flujos (38 %) y respuesta automatizada a incidentes (35 %).
Según el informe, el valor de la IA no reside en sustituir analistas, sino en liberarles de tareas repetitivas para que puedan centrarse en investigaciones complejas y decisiones estratégicas.
La brecha de justificación
La industria vive un momento de expansión presupuestaria, pero también de mayor exigencia. Si las organizaciones no desarrollan marcos sólidos para medir y comunicar el valor de la IA en términos de resiliencia y continuidad de negocio, esa inversión podría ponerse en cuestión.
El éxito en 2026 dependerá no solo de implantar IA, sino de demostrar, de forma cuantitativa, que aporta resultados de seguridad y valor empresarial acordes con su coste.
