Por primera vez en cinco años, el costo global de una vulneración de datos bajó; pero no es necesariamente una buena noticia. Según el más reciente Cost of a Data Breach Report 2025 de IBM, la disminución promedio a 4,44 millones de dólares se debe a que las empresas que integran inteligencia artificial en sus defensas logran contener ataques más rápido. Sin embargo, esa misma IA, cuando opera sin supervisión, se ha convertido en el nuevo talón de Aquiles del ecosistema digital.
El estudio, realizado por el Ponemon Institute entre marzo de 2024 y febrero de 2025, analizó más de 600 organizaciones en 16 países. Sus conclusiones señalan que la adopción acelerada de la inteligencia artificial supera a la seguridad.
El 63 % de las empresas aún no tiene políticas de gobierno para sus sistemas de IA, y en el 97 % de las violaciones relacionadas con esta tecnología se detectó falta de controles de acceso. En otras palabras, muchas compañías han abierto la puerta al futuro sin instalar una cerradura digital.
Cuando la IA protege… y ataca
Las cifras del informe son paradójicas. A nivel global, el costo promedio de una brecha cayó por primera vez en cinco años, hasta 4,44 millones de dólares, gracias a la detección temprana y la automatización impulsada por IA. Las organizaciones que ya aplican estas tecnologías en sus operaciones de seguridad redujeron en 80 días el tiempo de contención de los ataques y ahorraron cerca de 1,9 millones de dólares en mitigación.
Pero esa ventaja tiene un precio. En uno de cada seis incidentes registrados en 2025, los atacantes también usaron inteligencia artificial para perfeccionar sus estrategias: desde correos de phishing generados por IA que engañan en minutos hasta videos deepfake diseñados para suplantar directivos o proveedores. La velocidad y realismo de estos ataques superan la capacidad de respuesta humana.
Además, la IA en la sombra —sistemas desarrollados sin autorización o fuera del radar del área de TI— ya está generando pérdidas adicionales de 200.000 dólares por incidente. Esas herramientas suelen manejar bases de datos personales e información corporativa sin protección, lo que las convierte en un blanco fácil. Y cuando caen, arrastran consigo la confianza de empleados y clientes.
Los usuarios finales también están pagando el precio. IBM advierte que los costos de las brechas comienzan a trasladarse a los consumidores a través de servicios interrumpidos, filtraciones masivas o encarecimiento de tarifas. Cada fallo de seguridad corporativa termina afectando la privacidad de millones de personas que nunca aprobaron esa exposición de sus datos.
La confianza, el activo más caro
El informe de IBM es claro: la IA está avanzando más rápido que su propia supervisión. Y eso representa un riesgo tanto económico como ético. La mitad de las empresas que sufrieron ataques este año no planea invertir más en seguridad, y menos de la mitad de las que sí lo harán enfocarán sus recursos en soluciones con IA responsable.
La advertencia es directa: muchos atacantes ya no necesitan “hackear”. Solo inician sesión. La abundancia de credenciales expuestas, los controles de acceso laxos y la falta de visibilidad sobre quién, o qué algoritmo, tiene permisos dentro de una red son ahora el principal punto débil de las organizaciones.
Te puede interesar: ¿Cómo la inteligencia artificial está acelerando los tribunales en América Latina y qué riesgos trae?
Para IBM, la salida pasa por fortalecer la gestión de identidades, humanas y no humanas, y adoptar métodos de autenticación resistentes al phishing, como las claves de acceso. También insiste en la necesidad de unir seguridad y gobierno de IA en un solo frente: sin esa conexión, las compañías seguirán construyendo innovación sobre cimientos frágiles.
La gran ironía es que la misma tecnología diseñada para anticipar amenazas está creando nuevas. La IA puede reducir costos y acelerar decisiones, pero cuando actúa sin control, su impacto se mide en millones de dólares… y en confianza perdida.
El mensaje que deja el informe es más humano que técnico: la seguridad no puede depender de un algoritmo. Requiere vigilancia, responsabilidad y una cultura que entienda que cada dato —personal o empresarial— es un reflejo de lo que una compañía valora. Y en 2025, protegerlo no solo será una tarea de TI: será una promesa de transparencia frente a todos sus usuarios.
