Por vigésimo año consecutivo, expertos del Instituto Ponemon han determinado el coste de una filtración de datos en empresas y organizaciones. Los resultados han sido publicados por el patrocinador IBM en su Informe sobre el coste de una filtración de datos 2025. Por primera vez, el último informe también investiga los riesgos relacionados con la IA.
Primero las buenas noticias: el coste medio global de una filtración de datos se ha reducido a 4,44 millones de dólares. Esto supone una caída del 9°% respecto a los 4,88 millones de dólares de 2024 y puede atribuirse principalmente a que las brechas de seguridad se detectan y controlan más rápidamente debido al uso incremental de la IA y la automatización en los procesos de seguridad. La cifra global habría caído aún más significativamente si no hubiera sido contrarrestada por las tendencias en Estados Unidos, donde el coste medio aumentó un 9°% hasta alcanzar los 10,22 millones de dólares. El informe identifica multas regulatorias más altas y mayores costes relacionados con la detección y la escalada como los principales factores que aumentan los costes en los EE. UU.
La IA: un arma de doble filo
Con respecto a la IA, el informe confirma que los adversarios están aprovechando estas nuevas tecnologías para perfeccionar sus campañas de phishing y otros ataques de ingeniería social. IBM estima que el uso de IA generativa permite a los atacantes reducir el tiempo necesario para crear un correo electrónico de phishing convincente de 16 horas a solo 5 minutos. En el informe reciente, los investigadores determinaron que el 16°% de las brechas ya involucraban a adversarios que usaban la IA en sus ataques, sobre todo en ataques de phishing (37°%) o ataques de deepfake (35°%).
Para elaborar el Informe sobre el coste de una filtración de datos 2025, los investigadores de Ponemon entrevistaron a casi 3500 líderes empresariales de seguridad y de nivel C en 600 organizaciones afectadas por filtraciones de datos entre marzo de 2024 y febrero de 2025, en 17 sectores y en 16 países y regiones. Las filtraciones afectaron aproximadamente entre 2960 y 113°620 registros.
La IA oculta ha demostrado ser muy costosa
Volviendo al tema de la IA, el 13°% de las organizaciones notificaron un incidente de seguridad relacionado con un modelo o aplicación de IA. Y el 97°% de las organizaciones donde se filtraron datos afirmaron que carecían de controles de acceso de IA adecuados. Estos ataques se llevaron a cabo con mayor frecuencia a través de la cadena de suministro (aplicaciones afectadas, API, complementos, etc.) y causaron una fuga de datos más generalizada (60°%) y una interrupción de las operaciones (31°%). Según estas cifras, Ponemon e IBM prevén que la IA se convertirá en un objetivo lucrativo.
Al mismo tiempo, el 63°% de las empresas encuestadas no contaban con políticas de gobernanza de IA o aún estaban en proceso de desarrollarlas. Menos de la mitad de las organizaciones tenían procedimientos estrictos para las implantación de la IA, mientras que el 62°% carecía de herramientas automatizadas de evaluación de riesgos de IA y solo el 34°% emprendía regularmente auditorías de seguridad de terceros para la IA no autorizada. A este respecto, cabe mencionar también que la TI en la sombra supone un aumento del coste de una filtración de datos en aproximadamente 200°000 dólares de media, y también conduce más a menudo a filtraciones relacionadas con la información de identificación personal (PII) del cliente (65°%) y la propiedad intelectual (40°%).
La seguridad en el correo electrónico sigue siendo fundamental
Por segundo año consecutivo, los costes medios más altos entre los vectores de ataque «convencionales» fueron los causados por personal interno de la empresa con fines maliciosos, con una cifra de 4,92 millones de dólares. A la anterior, sigue de cerca la cifra de los costes causados por los proveedores externos y los ataques a la cadena de suministro (4,91 millones de dólares). Otros vectores de ataque que causan grandes costes son el phishing y el aprovechamiento de la vulnerabilidad de los sistemas. El phishing, que de media costó a las organizaciones 4,8 millones de dólares, fue en realidad el vector de ataque más frecuente con un 16°%. Esta tendencia subraya la continua importancia de salvaguardar eficazmente el canal de correo electrónico crítico para la empresa.
El coste completo de un Informe sobre filtración de datos 2025 está disponible para descargar después de registrarse
