Guillem Alsina Gonzàlez
La gran velocidad con la que ha surgido y se ha empezado a implantar en las empresas la inteligencia artificial generativa desde que OpenAI lanzara al mercado ChatGPT a finales de noviembre de 2022, ha provocado que dicha implantación no siempre venga acompañada de las garantías y las medidas de seguridad necesarias, algo que mide el informe Cost of Data Breach Report elaborado por el Instituto Ponemon con el patrocinio y análisis de IBM.
Dicho estudio se ha elaborado a partir del análisis de seiscientas brechas de seguridad registradas entre marzo de 2024 y febrero de 2025 en organizaciones de todo el mundo, junto a la información de dos décadas de observaciones que totalizan cerca de 6.500 incidentes desde 2005. A toda esta información se le añade, por primera vez, un análisis específico del estado de la seguridad y la gobernanza de la IA en las empresas.
Este cambio de foco responde a una evolución registrada en ediciones anteriores: en 2005 el riesgo era sobre todo físico (pérdida o robo de dispositivos), mientras que en 2015 la mala configuración en la nube ni siquiera se categorizaba, y desde 2020 el ransomware ha cobrado peso hasta alcanzar en 2025 un coste medio de 5,08 millones de dólares cuando el atacante revela el incidente.
Según el equipo de IBM, el panorama actual es predominantemente digital y cada vez más dirigido.
Principales resultados de 2025
El aviso central del informe es que la adopción de la IA se acelera sin un refuerzo equivalente de la seguridad y la gobernanza. El estudio constata que la tecnología de la IA ya se ha convertido en objetivo de los atacantes y, por primera vez, mide su exposición con datos comparables. El 13% de las organizaciones encuestadas ha sufrido una brecha en modelos o aplicaciones de IA y otro 8% desconoce si la ha tenido.
La falta de visibilidad también se aprecia en la gobernanza, puesto que el 63% de las organizaciones que sufrieron una brecha no contaba con una política de IA o todavía la estaba desarrollando, y únicamente el 34% de las que sí la tenían realizaba auditorías periódicas para detectar usos no autorizados.
El informe también recoge que una de cada cinco organizaciones experimentó una brecha causada por el uso de IA no autorizada (shadow AI), y solo el 37% dispone de políticas activas para identificar y gestionar estos casos. En las entidades con uso intensivo de IA en la sombra, los costes resultaron un 15% más altos (670.000 dólares adicionales de media) y se expuso un mayor volumen de información personal (65%) y de propiedad intelectual (40%) que la media global.
El 97% de las organizaciones afectadas carecía de controles de acceso específicos para la IA, lo que derivó en compromisos de datos en el 60%, y paradas operativas en el 31%.
El documento subraya que, si la IA se integra de forma estructural en los procesos de negocio, su protección debe acompañar a ese nivel para evitar manipulación de modelos y exposición de datos sensibles.
En paralelo, los atacantes también incorporan IA a su repertorio: en el 16% de los incidentes analizados se emplearon herramientas de IA, principalmente en campañas de phishing o de suplantación mediante deepfakes.
El uso intensivo de IA y la automatización en ciberseguridad recorta 1,9 millones de dólares del coste medio por brecha y acorta ochenta días su ciclo de vida. En términos generales, el ciclo de vida de una brecha cayó a 241 días (17 menos que en el año anterior) y las organizaciones que detectaron por sí mismas el incidente ahorraron 900.000 dólares de media frente a los casos en los que fue el atacante quien lo reveló.
El coste medio global desciende a 4,44 millones de dólares, mientras que en los Estados Unidos alcanza 10,22 millones. Por sectores, la sanidad sigue siendo el ámbito que sufre un mayor impacto, con 7,42 millones de media y 279 días para contener y recuperar la operación, casi 40 por encima de la media global.
En materia de extorsión, el 63% de las organizaciones se negó a pagar rescate (frente al 59% del año anterior), si bien los incidentes de ransomware mantienen un coste medio elevado de 5,08 millones, especialmente cuando son los atacantes quienes los hacen públicos.
En la fase posterior a la brecha, solo el 49% de las organizaciones prevé reforzar su seguridad, frente al 63% del año pasado, y dentro de ese grupo, menos de la mitad planea invertir en soluciones de ciberseguridad con IA.
Casi todas las organizaciones sufrieron disrupciones y la mayoría necesitó más de cien días para volver a la normalidad, por lo que muchas prevén aumentar precios tras una brecha. Aunque estas subidas han disminuido respecto al año anterior, casi la mitad de las entidades se plantea trasladar el impacto al mercado y casi un tercio valora incrementos del 15% o superiores.
El informe concluye que la brecha entre la velocidad de adopción de la IA y su control está siendo aprovechada por los atacantes, y que cerrar dicha distancia exige controles de acceso específicos, gobernanza activa —incluida la IA en la sombra— y automatización en defensa para reducir costes y tiempos.
