Informe de IBM: El coste medio de una violación de datos en Brasil alcanza los 7,19 millones de rands

IBM publicó hoy su informe anual Costo de una violación de datos (CODB), que revela tendencias globales y regionales relacionadas con el aumento de los costos de violación de datos en un panorama de amenazas cibernéticas cada vez más sofisticado y disruptivo. El informe de 2025 explora el papel cada vez mayor de la automatización y la inteligencia artificial (IA).) para mitigar los costos de las violaciones y, por primera vez, estudió el estado de la seguridad y la gobernanza de la IA.

El informe indicó que el costo promedio de una violación de datos en Brasil alcanzó R$ 7,19 millones, mientras que en 2024 el costo fue de R$ 6,75 millones, un aumento de 6,5%, lo que marca una presión adicional sobre los equipos de ciberseguridad que enfrentan desafíos altamente complejos. Servicios encabezaron la lista de los más afectados, registrando costos promedio de R$ 11,43 millones, R$ 8,92 millones y R$ 8,51 millones, respectivamente.

En el país, las organizaciones que adoptan ampliamente la IA segura y la automatización informaron costos promedio de R$ 6,48 millones, mientras que aquellas con implementación limitada tuvieron costos de R$ 6,76 millones. Para las empresas que aún no utilizan estas tecnologías, el costo promedio aumentó a R$ 8,78 millones, destacando las ventajas de la IA en el fortalecimiento de la ciberseguridad.

Además de evaluar los factores que aumentan los costos, el Informe sobre el costo de una violación de datos 2025 analizó elementos que pueden reducir los impactos financieros de una violación de datos. Entre las iniciativas más efectivas se encuentran la implementación de inteligencia sobre amenazas (que redujo los costos en un promedio de R$ 655.110) y el uso de tecnología de gobernanza de IA (R$ 629.850). Incluso con esta importante reducción de costos, se considera el informe de que solo 29% de las organizaciones estudiadas en Brasil utilizan la tecnología de gobernanza IATP para los riesgos asociados con los modelos de gobernanza IAT3.

“Nuestro estudio muestra que ya existe una brecha preocupante entre la rápida adopción de la IA y la falta de gobernanza y seguridad adecuadas, y actores maliciosos están explotando este vacío. La ausencia de controles de acceso en los modelos de IA ha expuesto datos confidenciales y ha aumentado la vulnerabilidad. de organizaciones. Las empresas que subestiman estos riesgos no sólo están poniendo en riesgo información crítica, sino también comprometiendo la confianza en toda la operación”, explica Fernando Carbone, Socio de Servicios de Seguridad de IBM Consulting en América Latina.

Factores que contribuyen al aumento de los costos de violación de datos

La complejidad del sistema de seguridad contribuyó, en promedio, a un aumento de 1.45.359 rands en el coste total de la infracción.

El estudio también demostró que el uso no autorizado de herramientas de IA (IA en la sombra) generó un aumento promedio de costos de R$ 591.400. Y la adopción de herramientas de IA (internas o públicas), a pesar de sus beneficios, añadió un costo promedio de R$ 578.850 a las violaciones de datos.

El informe también identificó las causas iniciales más frecuentes de violaciones de datos en Brasil. El phishing se destacó como el principal vector de amenaza, representando 18% de violaciones, lo que resultó en un costo promedio de R$ 7,18 millones. Otras causas importantes incluyen el compromiso de terceros y de la cadena de suministro (15%, con un costo promedio de R$ 8,98 millones) y la explotación de vulnerabilidades (13%, con un costo promedio de R$ 7,61 millones). Las credenciales comprometidas, los errores internos (amplios) y las violaciones de datos infiltradas también demostraron que las causas maliciosas de las violaciones de datos se enfrentaron tan intencionadamente como los desafíos de alcance.

Otros hallazgos globales del informe sobre el costo de una violación de datos de 2025:

• 13% de las organizaciones informaron violaciones que involucraban modelos o aplicaciones de IA, mientras que 8% no sabía si se habían visto comprometidas de esta manera. De las organizaciones comprometidas, 97% informó que no tenía controles de acceso para IA implementados.
• 63% de organizaciones incumplidas no tienen una política de gobernanza de IA o aún están desarrollando una. Entre aquellos con políticas, sólo 34% realiza auditorías periódicas para detectar el uso no autorizado de IA.
• Una de cada cinco organizaciones informó de una infracción debido a la IA en la sombra, y sólo 37% tiene políticas para gestionar o detectar esta tecnología. Las organizaciones que utilizaron altos niveles de IA en la sombra observaron un promedio de US$ 670.000 más en costos de infracción en comparación con aquellas con niveles bajos o sin IA oculta. Los incidentes de seguridad que involucraron IA oculta llevaron a que más información de identificación personal (65%) y propiedad intelectual (40%) se vieran comprometidas en comparación con el promedio global (53% y 33%, respectivamente).
• 16% de las infracciones estudiadas involucraron a piratas informáticos que utilizaban herramientas de inteligencia artificial, a menudo para phishing o ataques deepfake.

El costo financiero de una infracción

• Costos de violación de datos. El costo promedio global de una violación de datos cayó a US$ 4,44 millones, la primera caída en cinco años, mientras que el costo promedio de una violación en los EE. UU. alcanzó el récord de US$ 10,22 millones.
• El ciclo de vida global de una infracción alcanza un tiempo récordel tiempo promedio global para identificar y contener una infracción (incluida la restauración del servicio) se ha reducido a 241 días, una reducción de 17 días con respecto al año anterior, a medida que más organizaciones detectaron la infracción internamente. Las organizaciones que detectaron la infracción internamente también ahorraron US$ 900.000 en costos de infracción en comparación con los notificados por un atacante.
• Las violaciones de salud siguen siendo las más caras. Con una media de 7,42 millones de US$, las infracciones en el sector sanitario siguieron siendo las más caras entre todos los sectores estudiados, incluso con una reducción de 2,35 millones de US$ en costes respecto a 2024. Las infracciones en este sector tardan más en identificarse y contenerse, con un tiempo promedio de 279 días, más de 5 semanas por encima del promedio global de 241 días.
• Fatiga en el pago de reembolso. El año pasado, las organizaciones se resistieron cada vez más a las demandas de rescate, y 63% decidió no pagar, en comparación con 59% el año anterior. A medida que más organizaciones se niegan a pagar rescates, el costo promedio de una extorsión o incidente de ransomware sigue siendo alto, especialmente cuando lo revela un atacante (US$ 5,08 millones).
• Aumentos de precios posteriores a la infracción. Las consecuencias de una infracción continúan extendiéndose más allá de la contención. Aunque disminuyeron con respecto al año anterior, casi la mitad de todas las organizaciones informaron que planeaban aumentar el precio de los bienes o servicios debido a la infracción, y casi un tercio informó aumentos de precios de 15% o más.
• Estancamiento de las inversiones en seguridad en medio de crecientes riesgos de IA. Ha habido una reducción significativa en el número de organizaciones que informan planes para invertir en seguridad después de una violación: 49% en 2025, en comparación con 63% en 2024. Menos de la mitad de las que planean invertir en seguridad posterior a la violación se centrarán en IA. Soluciones o servicios de seguridad basados.

20 años desde el coste de una violación de datos

El informe, realizado por el Instituto Ponemon y patrocinado por IBM, es la referencia líder de la industria para comprender el impacto financiero de las violaciones de datos. El informe analizó las experiencias de 600 organizaciones globales entre marzo de 2024 y febrero de 2025.

En los últimos 20 años, el Informe sobre el costo de una violación de datos ha investigado casi 6500 violaciones en todo el mundo. En 2005, el informe inaugural encontró que casi la mitad de todas las violaciones (45%) se originaron a partir de dispositivos perdidos o robados. Sólo 10% se debieron a sistemas pirateados. De cara a 2025, el panorama de amenazas ha cambiado drásticamente. Hoy en día, el panorama de amenazas es predominantemente digital y cada vez más específico, y las infracciones ahora están impulsadas por un espectro de actividad maliciosa.

Hace una década, los problemas de mala configuración en la nube ni siquiera fueron monitoreados. Ahora, se encuentran entre los principales vectores de infracciones. El ransomware explotó durante los bloqueos de 2020, y el costo promedio de las infracciones aumentó de 4,62 millones de US$ en 2021 a 5,08 millones de US$ en 2025.

Para acceder al informe completo, visite el sitio web oficial de IBM aquí.