La inteligencia artificial se expande con rapidez en las organizaciones, pero su protección no avanza al mismo ritmo. El 13% de las empresas consultadas ha sufrido una brecha de seguridad en modelos o aplicaciones de IA y otro 8% ni siquiera sabe si fue atacada. El estudio, publicado por IBM, advierte que el 97% de las organizaciones afectadas no contaba con controles de acceso específicos.
El informe Cost of Data Breach Report analiza incidentes en más de 600 empresas de todo el mundo entre marzo de 2024 y febrero de 2025. Los datos reflejan que la IA se ha convertido en un objetivo prioritario para los ciberdelincuentes. En seis de cada diez ataques, los incidentes comprometieron datos sensibles y en un tercio provocaron la interrupción de operaciones.
Brechas en la era de la IA
El documento muestra que el 63% de las organizaciones afectadas carecía de políticas de gobernanza de IA o aún estaba en proceso de desarrollarlas. Solo un 34% de las que sí contaban con estas políticas realizaban auditorías periódicas para prevenir usos no autorizados.
Un aspecto destacado es el fenómeno de la IA en la sombra, es decir, el uso de herramientas de inteligencia artificial sin autorización ni supervisión. Una de cada cinco organizaciones sufrió ataques originados en este tipo de prácticas. Estas empresas soportaron costes un 15% más altos que la media y vieron expuestos más datos personales e información de propiedad intelectual.
El informe también señala un avance en el uso de IA por parte de los atacantes. En un 16% de los casos emplearon estas herramientas, principalmente en campañas de phishing y en la creación de suplantaciones mediante deepfakes.
El coste de una brecha
El coste medio global de una brecha de datos descendió a 4,44 millones de dólares, el primer descenso en cinco años. Sin embargo, en Estados Unidos subió a 10,22 millones, su máximo histórico. El estudio indica que las organizaciones que emplearon IA y automatización en sus equipos de seguridad lograron reducir los costes en 1,9 millones y acortar los tiempos de respuesta en 80 días de media.
El sector sanitario se mantiene como el más costoso, con un promedio de 7,42 millones de dólares por incidente, aunque con una reducción respecto al año anterior. El tiempo medio de contención en este sector fue de 279 días, bastante por encima de la media global de 241.
El informe destaca además un cambio en la respuesta de las empresas ante ataques de ransomware: el 63% se negó a pagar el rescate exigido, frente al 59% registrado el año anterior. Aun así, el coste medio de estos incidentes sigue siendo elevado, con 5,08 millones de dólares por caso.
Consecuencias más allá del ataque
Más allá de los daños directos, casi todas las organizaciones afectadas sufrieron disrupciones operativas tras los incidentes. La recuperación superó en muchos casos los 100 días. Además, cerca de la mitad de las empresas reconoció que subiría el precio de sus productos o servicios después de una brecha, y casi un tercio señaló que el incremento sería del 15% o más.
El Cost of Data Breach Report se publica cada año. En esta edición, por primera vez, analiza a fondo la seguridad de la inteligencia artificial. El documento refleja cómo esta tecnología, cada vez más integrada en los procesos de negocio, se ha convertido en un área crítica para la ciberseguridad y en un blanco prioritario para los atacantes.
