IBM acaba de publicar su informe anual Cost of a Data Breach Report 2025, que en esta edición incorpora por primera vez un análisis exhaustivo sobre la seguridad en Inteligencia Artificial (IA) y que concluye con que mientras las organizaciones incorporan la IA con rapidez en sus procesos, la mayoría no refuerza políticas de gobernanza ni sistemas de protección, impulsando un ecosistema vulnerable, creciente en costes y con un impacto cada vez mayor en la confianza de clientes y usuarios.
El informe señala que el 13% de las organizaciones encuestadas ya ha sufrido brechas en modelos o aplicaciones de IA, mientras que un 8% adicional admite no saber si ha sido víctima de este tipo de ataque. El dato más preocupante es que el 97% de los afectados carecía de controles de acceso específicos para IA, lo que permitió a los atacantes comprometer datos (60% de los casos) y generar interrupciones operativas (31%).
“Existe una brecha clara entre la velocidad con la que se está adoptando la IA y las medidas de supervisión que la acompañan, una laguna que los atacantes ya están aprovechando”, explica Ana Gobernado, directora general de IBM Consulting en España, Portugal, Grecia e Israel.
“La falta de controles básicos de acceso deja datos sensibles expuestos y modelos vulnerables a la manipulación. Si la IA va a integrarse de forma estructural en los procesos de negocio, su seguridad debe ser también estructural. Lo que está en juego no es solo el dinero: es la confianza, la transparencia y el control”.
El fenómeno de la “IA en la sombra” se perfila como un riesgo adicional: una de cada cinco organizaciones sufrió una brecha relacionada con el uso no autorizado de herramientas de IA, con costes un 15% superiores a la media y mayor exposición de información sensible.
Ciberataques sofisticados y costes en alza
El 16% de los incidentes analizados incluyó el uso de IA por parte de los atacantes, sobre todo en campañas de phishing y en suplantaciones con deepfakes. Esta tendencia evidencia que la misma tecnología que promete eficiencia y automatización también se está utilizando para refinar tácticas de ciberdelincuencia.
El informe cifra el coste medio global de una brecha en 4,44 millones de dólares, lo que supone un descenso tras cinco años de aumentos consecutivos. Sin embargo, en Estados Unidos se alcanzó un nuevo máximo histórico: 10,22 millones de dólares por incidente, más del doble de la media global.
Asimismo, el documento revela que el ciclo de vida de una brecha se redujo a 241 días, 17 menos que el año anterior; que las organizaciones que detectan una brecha por sí mismas se ahorraron cerca de 900.000 dólares; el sector sanitario continúa siendo el más costoso, con un promedio de 7,42 millones por incidente, aunque logra reducir la cifra respecto al pasado año; y que los incidentes de ransomware se mantienen entre los económicamente más dañinos, con 5,08 millones de media, sobre todo cuando se hacen públicos.
La IA en ciberseguridad
Pero no todo son indicadores negativos. El estudio ambién muestra que las organizaciones que aplican IA y automatización en sus operaciones de ciberseguridad reducen el coste medio de una brecha en 1,9 millones de dólares y acortan en 80 días su duración. La conclusión es clara: la misma tecnología que representa un nuevo vector de riesgo puede convertirse en la mejor defensa frente a los ataques.
Un dato llamativo del estudio es que solo el 49% de las organizaciones afectadas planea reforzar su seguridad tras sufrir una brecha, frente al 63% del año anterior. De ese porcentaje, menos de la mitad contempla invertir en soluciones de ciberseguridad con IA, lo que evidencia un desajuste entre la magnitud de las pérdidas y la disposición a mitigar riesgos futuros.
Más allá de los costes: impacto en la confianza
Las consecuencias no se limitan al aspecto financiero. Casi todas las organizaciones encuestadas reportaron disrupciones operativas tras una brecha, con plazos de recuperación que superaron los 100 días en promedio. Además, cerca de la mitad reconoció que tuvo que subir precios de productos o servicios como consecuencia del incidente, y casi un tercio admitió aumentos del 15% o superiores.
Dos décadas de evolución en las brechas
El informe recuerda cómo ha cambiado la naturaleza de las brechas de seguridad desde 2005: de la pérdida de dispositivos físicos como principal riesgo a ataques digitales cada vez más sofisticados y dirigidos. El ransomware, que en 2021 ya costaba 4,62 millones por incidente, supera ahora los 5 millones. Y en 2025, por primera vez, la seguridad de la IA aparece como un área crítica, con evidencias de que ya es objetivo de alto valor para los atacantes.
En conclusión, el informe Cost of a Data Breach Report 2025 de IBM plantea un escenario en el que la IA es a la vez solución y amenaza. La rapida adopción, sumada a la falta de políticas de gobernanza sólidas, deja vía libre a riesgos financieros, operativos y reputacionales sin precedentes. Ante ello, la recomendación de IBM es clara: la seguridad de la Inteligencia Artificial debe ser estructural, al mismo nivel que la propia integración de la tecnología. Como subraya Ana Gobernado, aparte de dinero, lo que está en juego es confianza, transparencia y control. Más información y acceso al informe en https://www.ibm.com/reports/data-breach