IBM ha publicat avui el seu informe anual sobre el cost d'una violació de dades (CODB), que revela les tendències globals i regionals relacionades amb l'augment dels costos de les violacions de dades en un panorama d'amenaces cibernètiques cada cop més sofisticades i disruptives. L'informe del 2025 explora el paper creixent de l'automatització i la intel·ligència artificial (IA) en la mitigació dels costos de les violacions i, per primera vegada, ha estudiat l'estat de la seguretat i la governança de la IA.
L'informe indicava que el cost mitjà d'una filtració de dades al Brasil va arribar als 7,19 milions de reals, mentre que el 2024 el cost va ser de 6,75 milions de reals, un augment del 6,5%, cosa que suposa una pressió addicional per als equips de ciberseguretat que s'enfronten a reptes altament complexos. Sectors com la salut, les finances i els serveis van encapçalar la llista dels més afectats, registrant costos mitjans d'11,43 milions de reals, 8,92 milions de reals i 8,51 milions de reals, respectivament.
Al Brasil, les organitzacions que adopten àmpliament la IA segura i l'automatització van reportar costos mitjans de 6,48 milions de reals, mentre que les que tenen una implementació limitada van reportar costos de 6,76 milions de reals. Per a les empreses que encara no utilitzen aquestes tecnologies, el cost mitjà va augmentar a 8,78 milions de reals, cosa que destaca els avantatges de la IA per enfortir la ciberseguretat.
A més d'avaluar els factors que augmenten els costos, l'Informe del 2025 sobre el cost d'una violació de dades va analitzar elements que poden reduir l'impacte financer d'una violació de dades. Entre les iniciatives més efectives hi ha la implementació d'intel·ligència d'amenaces (que va reduir els costos en una mitjana de 655.110 R$) i l'ús de tecnologia de governança de la IA (629.850 R$). Fins i tot amb aquesta reducció significativa de costos, l'informe va trobar que només el 29% de les organitzacions estudiades al Brasil utilitzen tecnologia de governança de la IA per mitigar els riscos associats als atacs a models d'IA. En general, la governança i la seguretat de la IA s'ignoren en gran mesura, amb un 87% de les organitzacions estudiades al Brasil que informen que no tenen polítiques de governança de la IA i un 61% no tenen controls d'accés a la IA.
«El nostre estudi demostra que ja hi ha una bretxa preocupant entre la ràpida adopció de la IA i la manca d'una governança i seguretat adequades, i que els actors maliciosos estan explotant aquest buit. L'absència de controls d'accés en els models d'IA ha exposat dades sensibles i ha augmentat la vulnerabilitat de les organitzacions. Les empreses que subestimen aquests riscos no només posen en risc informació crítica, sinó que també comprometen la confiança en tota l'operació», explica Fernando Carbone, soci de serveis de seguretat d'IBM Consulting a l'Amèrica Llatina.
Factors que contribueixen a l'augment dels costos de violació de dades
La complexitat del sistema de seguretat va contribuir, de mitjana, a un augment de 725.359 reals en el cost total de la violació.
L'estudi també va mostrar que l'ús no autoritzat d'eines d'IA (IA a l'ombra) va generar un augment mitjà de 591.400 R$ en costos. I l'adopció d'eines d'IA (internes o públiques), malgrat els seus beneficis, va afegir un cost mitjà de 578.850 R$ a les filtracions de dades.
L'informe també va identificar les causes inicials més freqüents de les filtracions de dades al Brasil. El phishing va destacar com el principal vector d'amenaces, representant el 18% de les filtracions, amb un cost mitjà de 7,18 milions de reals. Altres causes significatives inclouen el compromís de tercers i de la cadena de subministrament (15%, amb un cost mitjà de 8,98 milions de reals) i l'explotació de vulnerabilitats (13%, amb un cost mitjà de 7,61 milions de reals). Les credencials compromeses, els errors interns (accidentals) i els infiltrats maliciosos també es van reportar com a causes de les filtracions, cosa que demostra l'àmplia gamma de reptes als quals s'enfronten les organitzacions en la protecció de dades.
Altres conclusions globals de l'informe sobre el cost d'una violació de dades del 2025:
- El 13% de les organitzacions van informar de bretxes que implicaven models o aplicacions d'IA, mentre que el 8% no estaven segurs si havien estat compromesos d'aquesta manera. De les organitzacions compromeses, el 97% va informar que no tenien controls d'accés d'IA implementats.
- El 63% de les organitzacions que van experimentar infraccions no tenen una política de governança de la IA o encara n'estan desenvolupant una. Entre les que sí que tenen polítiques, només el 34% realitzen auditories periòdiques per detectar l'ús no autoritzat de la IA.
- Una de cada cinc organitzacions va informar d'una violació de seguretat a causa d'IA a l'ombra, i només el 37% tenen polítiques per gestionar o detectar aquesta tecnologia. Les organitzacions que utilitzaven alts nivells d'IA a l'ombra van veure una mitjana de 670.000 dòlars més en costos de violació en comparació amb les que tenien nivells baixos o cap IA a l'ombra. Els incidents de seguretat que implicaven IA a l'ombra van comportar el compromís de més informació d'identificació personal (65%) i propietat intel·lectual (40%) en comparació amb la mitjana global (53% i 33%, respectivament).
- El 16% de les bretxes estudiades van involucrar pirates informàtics que utilitzaven eines d'IA, sovint per a atacs de phishing o deepfake.
El cost econòmic d'una infracció.
- Costos de les violacions de dades. El cost mitjà global d'una violació de dades va caure a 4,44 milions de dòlars, la primera caiguda en cinc anys, mentre que el cost mitjà d'una violació als EUA va assolir un rècord de 10,22 milions de dòlars.
- El cicle de vida global d'una bretxa de seguretat arriba a un temps rècord . El temps mitjà global per identificar i contenir una bretxa de seguretat (inclosa la restauració del servei) ha baixat a 241 dies, una reducció de 17 dies respecte a l'any anterior, ja que més organitzacions van detectar la bretxa internament. Les organitzacions que van detectar la bretxa internament també van estalviar 900.000 dòlars en costos de bretxa en comparació amb els notificats per un atacant.
- Les infraccions en el sector sanitari continuen sent les més cares. Amb una mitjana de 7,42 milions de dòlars, les infraccions en el sector sanitari van seguir sent les més costoses de tots els sectors estudiats, fins i tot amb una reducció de costos de 2,35 milions de dòlars en comparació amb el 2024. Les infraccions en aquest sector triguen més a identificar-se i contenir-se, amb un temps mitjà de 279 dies, més de 5 setmanes per sobre de la mitjana global de 241 dies.
- Fatiga del pagament de rescats. L'any passat, les organitzacions es van resistir cada cop més a les demandes de rescat, amb un 63% que va optar per no pagar, en comparació amb el 59% de l'any anterior. A mesura que més organitzacions es neguen a pagar rescats, el cost mitjà d'un incident d'extorsió o ransomware continua sent elevat, especialment quan ho revela un atacant (5,08 milions de dòlars).
- Increments de preus després de les bretxes. Les conseqüències d'una bretxa continuen estenent-se més enllà de la fase de contenció. Tot i que ha baixat respecte a l'any anterior, gairebé la meitat de totes les organitzacions van informar que tenien previst augmentar el preu dels béns o serveis a causa de la bretxa, i gairebé un terç va informar d'augments de preus del 15% o més.
- Estancament de les inversions en seguretat a causa de l'augment dels riscos d'IA. Hi ha hagut una reducció significativa en el nombre d'organitzacions que informen que tenen previst invertir en seguretat després d'una bretxa de seguretat: un 49% el 2025, en comparació amb el 63% el 2024. Menys de la meitat de les que tenen previst invertir en seguretat posterior a una bretxa de seguretat se centraran en solucions o serveis de seguretat basats en IA.
20 anys del cost d'una violació de dades
L'informe, realitzat pel Ponemon Institute i patrocinat per IBM, és la referència principal del sector per comprendre l'impacte financer de les filtracions de dades. L'informe va analitzar les experiències de 600 organitzacions globals entre març de 2024 i febrer de 2025.
Durant els darrers 20 anys, l'informe Cost of a Data Breach ha investigat gairebé 6.500 violacions a tot el món. El 2005, l'informe inaugural va descobrir que gairebé la meitat de totes les violacions (45%) es van originar en dispositius perduts o robats. Només el 10% es van deure a sistemes piratejats. Avancem ràpidament fins al 2025 i el panorama de les amenaces ha canviat dràsticament. Avui dia, el panorama de les amenaces és predominantment digital i cada cop més dirigit, amb violacions ara impulsades per un espectre d'activitats malicioses.
Fa una dècada, els problemes de configuració incorrecta del núvol ni tan sols es controlaven. Ara, es troben entre els principals vectors d'infraccions. El ransomware va explotar durant els confinaments del 2020, amb un cost mitjà de les infraccions que va augmentar de 4,62 milions de dòlars el 2021 a 5,08 milions de dòlars el 2025.
Per accedir a l'informe complet, visiteu el lloc web oficial d'IBM aquí .
