IBM ha publicado hoy su nuevo informe anual Cost of Data Breach Report, que desvela un desequilibrio preocupante: la adopción de la IA está avanzando a gran velocidad, pero no va acompañada del refuerzo necesario en materia de seguridad y gobernanza. Por primera vez, el informe examina específicamente la protección de los sistemas de IA, y los resultados muestran que esta tecnología se ha convertido ya en un objetivo fácil y de gran valor para los ciberdelincuentes.
- El 13% de las organizaciones encuestadas ha sufrido una brecha en modelos o aplicaciones de IA, y un 8% adicional no sabe si ha sido víctima de este tipo de ataque.
- El 97% de las organizaciones afectadas no contaba con controles de acceso específicos para IA.
- Como resultado, el 60% de estos incidentes comprometieron datos y el 31% provocaron interrupciones operativas.
“El informe revela una brecha clara entre la velocidad con la que se está adoptando la IA y las medidas de supervisión que la acompañan, una laguna que los atacantes ya están aprovechando”, explica Suja Viswesan, vicepresidenta de Productos de Seguridad y Entornos de Ejecución en IBM. “La falta de controles básicos de acceso deja datos sensibles expuestos y modelos vulnerables a la manipulación. Si la IA va a integrarse de forma estructural en los procesos de negocio, su seguridad debe ser también estructural. Lo que está en juego no es solo el dinero: es la confianza, la transparencia y el control”.
A pesar de esta situación, el informe también señala una ventaja clave: las organizaciones que emplean IA y automatización de forma intensiva en sus operaciones de ciberseguridad reducen el coste medio de una brecha en 1,9 millones de dólares y acortan su ciclo de vida en 80 días de media.
El informe ha sido elaborado por el Instituto Ponemon, con el patrocinio y análisis de IBM, a partir del estudio de 600 brechas de datos registradas entre marzo de 2024 y febrero de 2025 en organizaciones de todo el mundo.
Brechas en la era de la IA
- Políticas de gobernanza de la IA. El 63% de las organizaciones que sufrieron una brecha no contaban con una política de gobernanza de IA o estaban en proceso de desarrollarla. Solo el 34% de las que sí la tienen realizan auditorías periódicas para detectar usos no autorizados.
- El coste oculto de la IA en la sombra. Una de cada cinco organizaciones sufrió una brecha causada por IA no autorizada (shadow AI), y solo el 37% tiene políticas activas para detectar y gestionar estos casos. Las organizaciones con un uso intensivo de IA en la sombra tuvieron costes un 15% más altos (670.000 dólares de media) y vieron comprometida más información personal (65%) y propiedad intelectual (40%) que la media global (53% y 33%, respectivamente).
- Ciberataques más sofisticados. En el 16% de los ataques analizados, los delincuentes emplearon herramientas de IA, principalmente para campañas de phishing o suplantación mediante deepfakes.
El coste financiero de una brecha de datos
- Coste medio global. El coste medio de una brecha de datos a nivel mundial descendió por primera vez en cinco años, situándose en 4,44 millones de dólares. En EE. UU., sin embargo, subió a 10,22 millones, su máximo histórico.
- Menor duración de las brechas. El ciclo de vida de una brecha (tiempo hasta su detección, contención y recuperación) se redujo a 241 días, 17 menos que el año anterior. Las organizaciones que detectaron la brecha por sí mismas ahorraron de media 900.000 dólares en comparación con aquellas en las que fue el atacante quien la reveló.
- Sanidad, el sector más costoso. Con un coste medio de 7,42 millones de dólares, la sanidad sigue siendo el sector más afectado, a pesar de haber reducido en 2,35 millones su media respecto a 2024. El tiempo medio de contención y recuperación en este sector es de 279 días, casi 40 más que la media global.
- Menos disposición a pagar rescates. El 63% de las organizaciones se negó a pagar el rescate exigido, frente al 59% del año anterior. Aun así, los incidentes de ransomware siguen teniendo un coste medio muy elevado (5,08 millones de dólares), especialmente cuando son los atacantes quienes los revelan.
- Menos inversión post-brecha. Solo el 49% de las organizaciones planea reforzar su seguridad tras una brecha, frente al 63% del año pasado. De ellas, menos de la mitad prevé invertir en soluciones específicas de ciberseguridad con IA.
Más allá del ataque: el impacto operativo
Según el informe de 2025, prácticamente todas las organizaciones analizadas sufrieron disrupciones operativas tras una brecha de seguridad, lo que ha impactado significativamente en los plazos de recuperación. Entre las organizaciones que lograron recuperarse, la mayoría tardó más de 100 días de media en hacerlo.
Sin embargo, las consecuencias de una brecha no terminan con la contención del incidente. Aunque hayan descendido respecto al año anterior, casi la mitad de las organizaciones afirmaron que planeaban subir el precio de sus productos o servicios a raíz de la brecha, y casi un tercio declaró que esas subidas serían del 15% o más.
