CaixaBank, Ferrovial, Fluidra e Inditex son las empresas del IBEX 35 con una gestión más transparente en materia de ciberseguridad, según el V Ranking de Transparencia en Ciberseguridad, elaborado por Watch&Act Protection Services a partir de información correspondiente al ejercicio 2024 facilitada por las 35 mayores cotizadas españolas.
El ranking analiza el grado de apertura informativa de las compañías en relación con sus prácticas de ciberseguridad y las clasifica en tres categorías: organizaciones transparentes, traslúcidas y opacas. En esta edición, CaixaBank, Ferrovial, Fluidra e Inditex alcanzan la puntuación máxima de 160 puntos. Les siguen Mapfre (152 puntos), Indra (150) y BBVA (147), mientras que Banco Santander, Enagás y Meliá completan el top 10, todas ellas con 145 puntos.
Entre los movimientos más destacados del ranking, ACS protagoniza el mayor ascenso de 2025, al escalar ocho posiciones respecto a la edición anterior, lo que refleja una mejora significativa en sus prácticas de transparencia en este ámbito.
Según el informe, casi el 94% de las compañías analizadas reflejan de forma explícita el compromiso de la alta dirección con la ciberseguridad, un dato que evidencia la creciente relevancia estratégica de esta materia. Además, un 60% de las empresas menciona ya el uso de la inteligencia artificial (IA) como herramienta para reforzar la protección frente a ciberataques, confirmando su papel como palanca clave para anticipar y mitigar nuevas amenazas.
El estudio también pone de relieve una maduración tecnológica desigual en materia de transparencia en ciberseguridad. Mientras los sectores más regulados se sitúan a la vanguardia y consolidan prácticas avanzadas de gestión y reporting, otros sectores más tradicionales aún presentan amplias oportunidades de mejora.
Telecomunicaciones y finanzas, a la cabeza
En el análisis sectorial, el sector de telecomunicaciones lidera el ranking, impulsado por su uso intensivo de la IA y por un elevado nivel de transparencia en los recursos humanos dedicados a ciberseguridad. En segundo lugar se sitúa el sector de finanzas y seguros, altamente regulado y con una notable madurez en certificaciones y en el cumplimiento del Digital Operational Resilience Act (DORA), seguido por el sector energético en tercera posición.
A continuación aparecen los sectores de servicios de consumo, construcción e inmobiliario, mientras que bienes de consumo cierra la clasificación. Este último es el sector que registra la mayor caída en el ranking y, al mismo tiempo, el que presenta un mayor margen de mejora.
Para Jacinto Muñoz, director de Resiliencia Operativa y GRC de Mapfre, las empresas “tenemos la obligación de garantizar no solo nuestro propio cumplimiento de los estándares necesarios, sino también el de todos nuestros proveedores y socios, para evitar que se conviertan en el eslabón débil”. Además, subraya que cumplir con las nuevas normativas, aunque suponga un reto, “redunda en elevar el nivel de seguridad de las empresas”.
En el ámbito regulatorio, el informe señala que en 2024 el Reglamento General de Protección de Datos (RGPD) alcanza un nivel de implantación del 100% entre las empresas del IBEX 35. La situación es diferente en el caso de la Directiva NIS2, traspuesta en octubre de 2024, cuyo cumplimiento solo es mencionado por el 34% de las compañías afectadas. En el sector financiero, DORA, vigente desde enero de 2025, ya ha sido adoptado por el 67% de las empresas, mientras que la Ley de Ciberresiliencia, aún en fase de implementación progresiva, apenas es citada por un 8%.
Desde el punto de vista legal, Patricia Pérez, directora del equipo de TMT en Baker McKenzie, destaca que “cumplir en tiempo y forma con lo que exige la normativa es clave para que la empresa se perciba de manera favorable”. En la misma línea, Pedro Coll, Europe Crisis & Issues Director de LLYC, defiende un cambio de enfoque en la comunicación: “No se trata de culpar a la empresa, sino de comunicar que ha sido víctima de un ataque. La transparencia es clave para preservar la reputación y la credibilidad”.
