Las previsiones de Richard Meeus, director de Tecnología y Estrategia de Seguridad para EMEA en Akamai, apuntan a un 2026 marcado por la necesidad de reforzar la preparación y la resiliencia frente a ciberataques cada vez más complejos y frecuentes.
Meeus subraya que, tras un año especialmente convulso en materia de seguridad digital, las empresas deben adoptar una mentalidad de preparación extrema, similar a la de los preppers. No basta con contar con planes de recuperación digitales: es imprescindible disponer también de copias físicas, procedimientos impresos y herramientas fuera de línea que permitan operar incluso si los sistemas quedan completamente inaccesibles. En situaciones de desconexión total —como ocurrió en España durante el apagón del pasado verano—, una “bolsa de emergencia” con planes básicos y medios de comunicación alternativos puede convertirse en el último recurso para mantener la actividad.
Competencia por el talento joven
De cara al próximo año, Meeus anticipa una competencia creciente por atraer talento joven en ciberseguridad. La democratización que aporta la inteligencia artificial ha ampliado el perfil y la capacidad de los posibles atacantes, incluidos adolescentes con habilidades avanzadas.
Para evitar que estas capacidades terminen en el cibercrimen, el experto aboga por reforzar los programas de recompensas por vulnerabilidades y ofrecer alternativas formativas y profesionales que orienten ese talento hacia carreras legales y especializadas.
IA conversacional: nueva superficie de ataque
Los chatbots basados en inteligencia artificial se están convirtiendo en el primer punto de contacto entre empresas y clientes, y eso los convierte también en un objetivo prioritario. Aunque estos sistemas son cada vez más potentes, siguen siendo vulnerables a técnicas como la ingeniería social, la prompt injection o el jailbreaking. Meeus alerta de que muchas organizaciones todavía no han aplicado las medidas de protección necesarias ni disponen de controles para detectar un uso malicioso de estos asistentes virtuales. A medida que la IA gestione más interacciones, diferenciar entre consultas legítimas y ataques será un reto clave.
Resiliencia insuficiente y nuevas obligaciones regulatorias
La falta de resiliencia quedó especialmente patente en 2025 en sectores como el comercio minorista o la industria, donde vectores poco evidentes —incluidos los servicios de atención al cliente— sirvieron para acceder a información sensible. En este contexto, la regulación será determinante. Tanto la Directiva NIS2 como la normativa DORA están elevando el nivel de exigencia en la UE, aunque muchas organizaciones aún tienen camino por recorrer para adaptarse a estos estándares. Además, incidentes derivados de actualizaciones defectuosas demuestran la necesidad de procesos más rigurosos para evitar interrupciones, con pruebas previas y despliegues segmentados.
IoT, DDoS y la llegada del Cyber Resilience Act
Otra de las amenazas que crecerá en 2026 será el aumento de ataques DDoS que explotan fallos de seguridad en dispositivos IoT. La nueva Ley de Resiliencia Cibernética (CRA) de la UE busca elevar el nivel de seguridad del ecosistema IoT mediante un marco regulatorio más homogéneo para fabricantes y usuarios. Meeus destaca que será importante observar cómo responden las empresas a estas obligaciones y cómo evoluciona un entorno IoT cada vez más crítico en servicios e infraestructuras.
En conjunto, Meeus considera que 2026 será un punto de inflexión: la combinación de innovación tecnológica, nuevas normativas y amenazas más sofisticadas obligará a reforzar la visión estratégica, adoptar una mentalidad más preventiva y preparar a las organizaciones para escenarios de crisis más exigentes.
