IBM publicó hoy su informe anual "Costo de una Filtración de Datos" (CODB), que revela las tendencias globales y regionales relacionadas con el aumento de los costos de las filtraciones de datos en un panorama de ciberamenazas cada vez más sofisticadas y disruptivas. El informe de 2025 explora el creciente papel de la automatización y la inteligencia artificial (IA) en la mitigación de los costos de las filtraciones y, por primera vez, analiza el estado de la seguridad y la gobernanza de la IA.
El informe indicó que el costo promedio de una filtración de datos en Brasil alcanzó los R$ 7,19 millones, mientras que en 2024 fue de R$ 6,75 millones, un aumento del 6,5%, lo que representa una presión adicional para los equipos de ciberseguridad que enfrentan desafíos altamente complejos. Sectores como Salud, Finanzas y Servicios lideraron la lista de los más afectados, registrando costos promedio de R$ 11,43 millones, R$ 8,92 millones y R$ 8,51 millones, respectivamente.
En Brasil, las organizaciones que adoptan ampliamente la IA segura y la automatización reportaron costos promedio de R$ 6,48 millones, mientras que aquellas con una implementación limitada reportaron costos de R$ 6,76 millones. Para las empresas que aún no utilizan estas tecnologías, el costo promedio ascendió a R$ 8,78 millones, lo que destaca las ventajas de la IA para fortalecer la ciberseguridad.
Además de evaluar los factores que incrementan los costos, el Informe sobre el Costo de una Filtración de Datos de 2025 analizó los elementos que pueden reducir el impacto financiero de una filtración de datos. Entre las iniciativas más efectivas se encuentran la implementación de inteligencia de amenazas (que redujo los costos en un promedio de R$ 655.110) y el uso de tecnología de gobernanza de IA (R$ 629.850). Aun con esta significativa reducción de costos, el informe reveló que solo el 29% de las organizaciones estudiadas en Brasil utilizan tecnología de gobernanza de IA para mitigar los riesgos asociados a los ataques a los modelos de IA. En general, la gobernanza y la seguridad de la IA se ignoran en gran medida: el 87% de las organizaciones estudiadas en Brasil informan que no cuentan con políticas de gobernanza de IA y el 61% carecen de controles de acceso a la IA.
Nuestro estudio demuestra que ya existe una brecha preocupante entre la rápida adopción de la IA y la falta de gobernanza y seguridad adecuadas, y que actores maliciosos están explotando esta brecha. La ausencia de controles de acceso en los modelos de IA ha expuesto datos confidenciales y ha aumentado la vulnerabilidad de las organizaciones. Las empresas que subestiman estos riesgos no solo ponen en riesgo información crítica, sino que también comprometen la confianza en toda la operación, explica Fernando Carbone, socio de Servicios de Seguridad de IBM Consulting en Latinoamérica.
Factores que contribuyen al aumento de los costos de las violaciones de datos
La complejidad del sistema de seguridad contribuyó, en promedio, a un aumento de R$ 725.359 en el costo total de la brecha.
El estudio también mostró que el uso no autorizado de herramientas de IA (IA en la sombra) generó un aumento promedio de R$ 591.400 en costos. Y la adopción de herramientas de IA (internas o públicas), a pesar de sus beneficios, agregó un costo promedio de R$ 578.850 a las filtraciones de datos.
El informe también identificó las causas iniciales más frecuentes de las filtraciones de datos en Brasil. El phishing se destacó como el principal vector de amenaza, representando el 18% de las filtraciones, con un costo promedio de R$ 7,18 millones. Otras causas importantes incluyen la vulneración de datos por parte de terceros y de la cadena de suministro (15%, con un costo promedio de R$ 8,98 millones) y la explotación de vulnerabilidades (13%, con un costo promedio de R$ 7,61 millones). Las credenciales comprometidas, los errores internos (accidentales) y los infiltrados maliciosos también se reportaron como causas de las filtraciones, lo que demuestra la amplia gama de desafíos que enfrentan las organizaciones en materia de protección de datos.
Otros hallazgos globales del informe Costo de una violación de datos 2025:
- El 13 % de las organizaciones reportaron vulneraciones que involucraban modelos o aplicaciones de IA, mientras que el 8 % desconocía si habían sido comprometidas de esta manera. De las organizaciones comprometidas, el 97 % reportó no contar con controles de acceso de IA.
- El 63 % de las organizaciones que experimentaron infracciones no cuentan con una política de gobernanza de la IA o aún la están desarrollando. Entre las que sí cuentan con políticas, solo el 34 % realiza auditorías periódicas para detectar el uso no autorizado de la IA.
- Una de cada cinco organizaciones reportó una brecha de seguridad debido a la IA en la sombra, y solo el 37% cuenta con políticas para gestionar o detectar esta tecnología. Las organizaciones que utilizaron altos niveles de IA en la sombra experimentaron un aumento promedio de $670,000 en costos por brechas de seguridad en comparación con aquellas con niveles bajos o sin IA en la sombra. Los incidentes de seguridad relacionados con la IA en la sombra provocaron la vulneración de más información personal identificable (65%) y propiedad intelectual (40%) en comparación con el promedio global (53% y 33%, respectivamente).
- El 16% de las infracciones estudiadas involucraron piratas informáticos que utilizaban herramientas de inteligencia artificial, a menudo para ataques de phishing o deepfake.
El coste financiero de una violación.
- Costos de las filtraciones de datos. El costo promedio global de una filtración de datos se redujo a $4.44 millones, la primera caída en cinco años, mientras que el costo promedio en EE. UU. alcanzó un récord de $10.22 millones.
- El ciclo de vida de una brecha global alcanza un tiempo récord . El tiempo promedio global para identificar y contener una brecha (incluida la restauración del servicio) se ha reducido a 241 días, una reducción de 17 días con respecto al año anterior, ya que más organizaciones detectaron la brecha internamente. Las organizaciones que detectaron la brecha internamente también ahorraron $900,000 en costos de brecha, en comparación con las organizaciones notificadas por un atacante.
- Las infracciones en el sector sanitario siguen siendo las más costosas. Con un promedio de 7,42 millones de dólares estadounidenses, se mantuvieron como las más costosas de todos los sectores estudiados, incluso con una reducción de 2,35 millones de dólares estadounidenses en comparación con 2024. Las infracciones en este sector tardan más en identificarse y contenerse, con un tiempo promedio de 279 días, más de 5 semanas por encima del promedio mundial de 241 días.
- Fatiga por el pago de rescates. El año pasado, las organizaciones se resistieron cada vez más a las demandas de rescate: el 63 % optó por no pagar, en comparación con el 59 % del año anterior. A medida que más organizaciones se niegan a pagar rescates, el coste medio de un incidente de extorsión o ransomware sigue siendo elevado, especialmente cuando lo divulga un atacante (5,08 millones de dólares).
- Aumentos de precios tras las filtraciones. Las consecuencias de una filtración se extienden más allá de la fase de contención. Aunque esta cifra es inferior a la del año anterior, casi la mitad de las organizaciones informaron que planeaban aumentar el precio de sus bienes o servicios debido a la filtración, y casi un tercio informó aumentos de precios del 15 % o más.
- Estancamiento en las inversiones en seguridad ante el aumento de los riesgos de la IA. Se ha observado una reducción significativa en el número de organizaciones que informan sobre sus planes de invertir en seguridad tras una vulneración: el 49 % en 2025, en comparación con el 63 % en 2024. Menos de la mitad de quienes planean invertir en seguridad tras una vulneración se centrarán en soluciones o servicios de seguridad basados en IA.
20 años del coste de una filtración de datos
El informe, realizado por el Instituto Ponemon y patrocinado por IBM, es la principal referencia del sector para comprender el impacto financiero de las filtraciones de datos. El informe analizó las experiencias de 600 organizaciones globales entre marzo de 2024 y febrero de 2025.
En los últimos 20 años, el informe "Costo de una Filtración de Datos" ha investigado casi 6500 filtraciones en todo el mundo. En 2005, el informe inaugural reveló que casi la mitad de las filtraciones (45 %) se originaron en dispositivos perdidos o robados. Solo el 10 % se debió a sistemas pirateados. En 2025, el panorama de amenazas ha cambiado drásticamente. Hoy en día, el panorama de amenazas es predominantemente digital y cada vez más selectivo, con filtraciones impulsadas por una amplia gama de actividades maliciosas.
Hace una década, los problemas de configuración incorrecta de la nube ni siquiera se monitoreaban. Ahora, se encuentran entre los principales vectores de vulneraciones. El ransomware se disparó durante los confinamientos de 2020, y el coste medio de las vulneraciones aumentó de 4,62 millones de dólares en 2021 a 5,08 millones de dólares en 2025.
Para acceder al informe completo, visite el sitio web oficial de IBM aquí .
