IBM publicó hoy su informe anual Cost of a Data Breach (CODB), revelando tendencias globales y regionales relacionadas con el aumento de los costos de violaciones de datos en un escenario de amenazas cibernéticas cada vez más sofisticadas y disruptivas. El informe de 2025 explora el papel creciente de la automatización y la inteligencia artificial (IA) en la mitigación de los costos de violación y, por primera vez, estudió el estado de la seguridad y la gobernanza de la IA.
El informe indicó que el costo promedio de una violación de datos en Brasil alcanzó los R$ 7,19 millones, mientras que en 2024 el costo fue de R$ 6,75 millones, un aumento del 6,5%, marcando una presión adicional sobre los equipos de seguridad cibernética que enfrentan desafíos altamente complejos. Sectores como Salud, Finanzas y Servicios lideraron la lista de los más afectados, registrando costos promedio de R$ 11,43 millones, R$ 8,92 millones y R$ 8,51 millones, respectivamente.
En el país, las organizaciones que adoptan extensamente IA y automatización seguras reportaron costos promedio de R$ 6,48 millones, mientras que aquellas con implementación limitada presentaron costos de R$ 6,76 millones. Para las empresas que aún no utilizan estas tecnologías, el costo promedio aumentó a R$ 8,78 millones, destacando las ventajas de la IA en el fortalecimiento de la seguridad cibernética.
Además de evaluar los factores que aumentan los costos, el Informe Coste de una Brecha de Datos de 2025 analizó elementos que pueden reducir los impactos financieros de una violación de datos. Entre las iniciativas más eficaces, están la implementación de inteligencia de amenazas (que redujo costos en un promedio de R$ 655.110) y el uso de tecnología de gobernanza de IA (R$ 629.850). Incluso con esa reducción significativa de costos, el informe constató que solo el 29% de las organizaciones estudiadas en Brasil utilizan tecnología de gobernanza de IA para mitigar riesgos asociados a ataques a modelos de IA. En general, la gobernanza y la seguridad de la IA están siendo ampliamente ignoradas, con un 87% de las organizaciones estudiadas en Brasil que reportan no tener políticas de gobernanza de IA en vigor y un 61% sin controles de acceso a la IA.
Nuestro estudio muestra que ya existe una brecha preocupante entre la rápida adopción de la IA y la falta de gobernanza y seguridad adecuadas, y agentes malintencionados están explotando ese vacío. La ausencia de controles de acceso en modelos de IA expuso datos sensibles y aumentó la vulnerabilidad de las organizaciones. Las empresas que subestiman estos riesgos no solo ponen en peligro información crítica, sino que también comprometen la confianza en toda la operación, explica Fernando Carbone, Socio de Servicios de Seguridad de IBM Consulting en América Latina.
Factores que contribuyen al aumento de los costos por violación de datos
La complejidad del sistema de seguridad contribuyó, en promedio, con un aumento de R$ 725.359 en el costo total de la violación.
El estudio también mostró que el uso no autorizado de herramientas de IA (shadow AI) generó un aumento promedio de R$ 591.400 en los costos. Y la adopción de herramientas de IA (internas o públicas), a pesar de sus beneficios, añadió un coste medio de R$ 578.850 a las violaciones de datos.
El informe también identificó las causas iniciales más frecuentes de violaciones de datos en Brasil. El phishing se destacó como el principal vector de amenaza, representando el 18% de las violaciones, resultando en un costo promedio de R$ 7,18 millones. Otras causas significativas incluyen compromiso de terceros y de la cadena de suministro (15%, con un costo promedio de R$ 8,98 millones) y explotación de vulnerabilidades (13%, con un costo promedio de R$ 7,61 millones).Credenciales comprometidas, errores internos (accidentales) e infiltrados malintencionados también fueron reportados como causas de violaciones, demostrando la amplia gama de desafíos que enfrentan las organizaciones en la protección de datos.
Otras conclusiones globales del informe Costo de una Brecha de Datos 2025:
- El 13% de las organizaciones reportaron violaciones que involucraron modelos o aplicaciones de IA, mientras que el 8% no sabía si habían sido comprometidas de esa manera. Las organizaciones comprometidas, el 97% informó no tener controles de acceso para IA en vigor.
- El 63% de las organizaciones violadas no tienen una política de gobernanza de IA o aún están desarrollándola. Entre las que tienen políticas, solo el 34% realizan auditorías regulares para detectar el uso no autorizado de IA.
- Una de cada cinco organizaciones informó una violación debido a la sombra de IA, y solo el 37% tiene políticas para gestionar o detectar esta tecnología. Las organizaciones que utilizaron altos niveles de shadow IA observaron un promedio de 670.000 dólares más en costos por violaciones en comparación con aquellas con bajos niveles o sin IA oculta. Incidentes de seguridad relacionados con IA oculta llevaron a un compromiso mayor de información de identificación personal (65%) y propiedad intelectual (40%) en comparación con el promedio global (53% y 33%, respectivamente).
- El 16% de las violaciones estudiadas involucraron hackers que utilizaban herramientas de IA, con frecuencia para ataques de phishing o deepfake.
El costo financiero de una violación
- Costos por violación de datos.El costo promedio global de una violación de datos cayó a 4,44 millones de dólares, la primera caída en cinco años, mientras que el costo promedio de una violación en EE. UU. alcanzó un récord de 10,22 millones de dólares.
- Ciclo de vida global de una violación alcanza un tiempo récordEl tiempo medio global para identificar y contener una violación (incluyendo la restauración del servicio) cayó a 241 días, una reducción de 17 días en comparación con el año anterior, a medida que más organizaciones detectaron la violación internamente. Las organizaciones que detectaron la violación internamente también ahorraron $900,000 en costos de violación en comparación con aquellas notificadas por un intruso.
- Las violaciones en el área de la salud siguen siendo las más caras.Con un promedio de 7,42 millones de dólares, las violaciones en el sector de la salud siguieron siendo las más costosas entre todos los sectores estudiados, aunque con una reducción de 2,35 millones de dólares en los costos en comparación con 2024. Las violaciones en este sector tardan más en ser identificadas y contenidas, con un tiempo promedio de 279 días, más de 5 semanas por encima de la media global de 241 días.
- Fatiga por el pago del rescate.El año pasado, las organizaciones resistieron cada vez más a las demandas de rescate, con un 63% optando por no pagar, en comparación con el 59% del año anterior. A medida que más organizaciones se niegan a pagar rescates, el costo promedio de un incidente de extorsión o ransomware permanece alto, especialmente cuando lo divulga un atacante (5,08 millones de dólares).
- Aumento de precios tras violaciones.Las consecuencias de una violación continúan extendiéndose más allá del control. Aunque en disminución en comparación con el año anterior, casi la mitad de todas las organizaciones informaron que planeaban aumentar el precio de bienes o servicios debido a la violación, y casi un tercio reportó aumentos de precios del 15% o más.
- Estancamiento en las inversiones en seguridad ante el aumento de los riesgos de la IA.Hubo una reducción significativa en el número de organizaciones que reportaron planes de invertir en seguridad después de una violación: 49% en 2025, en comparación con el 63% en 2024. Menos de la mitad de las que planean invertir en seguridad tras una violación se concentrarán en soluciones o servicios de seguridad basados en IA.
20 años del costo de una violación de datos
El informe, realizado por el Ponemon Institute y patrocinado por IBM, es la principal referencia del sector para comprender el impacto financiero de las violaciones de datos. El informe analizó las experiencias de 600 organizaciones globales entre marzo de 2024 y febrero de 2025.
En los últimos 20 años, el Informe Cost of a Data Breach investigó casi 6.500 violaciones en todo el mundo. En 2005, el informe inaugural constató que casi la mitad de todas las violaciones (45%) tuvo su origen en dispositivos perdidos o robados. Solo el 10% se debió a sistemas hackeados. Avanzando hacia 2025, el panorama de amenazas ha cambiado drásticamente. Hoy, el panorama de amenazas es predominantemente digital y cada vez más dirigido, con violaciones ahora impulsadas por un espectro de actividades maliciosas.
Hace una década, los problemas de configuración incorrecta de la nube ni siquiera eran monitoreados. Ahora, ellos están entre los principales vectores de violaciones. El ransomware explotó durante los confinamientos de 2020, con el costo promedio de las violaciones aumentando de 4,62 millones de dólares en 2021 a 5,08 millones de dólares en 2025.
Para acceder al informe completo, visite el sitio web oficial de IBMaquí.
