Why 46% of Companies Don’t Know Their Breach Frequency [Kiteworks 2025 Annual Survey Report]

Por qué el 46% de las empresas no detecta sus propias filtraciones (Informe Kiteworks 2025)

Nueva investigación revela que los fallos de visibilidad en cascada crean la tormenta perfecta de vulnerabilidad en empresas de todo el mundo

Cuando lanzamos esta serie de investigaciones hace cuatro años, esperábamos documentar avances constantes en la seguridad empresarial. Sin embargo, hemos descubierto una realidad preocupante que empeora en vez de mejorar: el 46% de las empresas siguen operando completamente a ciegas respecto a su verdadera exposición al riesgo. No se trata solo de un problema tecnológico—es una crisis de visibilidad que genera vulnerabilidades en cascada y cuesta millones a las organizaciones en brechas no detectadas y litigios.

Al haber supervisado esta investigación desde su inicio en 2022, hemos visto la evolución desde el seguimiento de métricas de seguridad simples hasta el descubrimiento de patrones de riesgo complejos e interconectados. Cada año, encuestamos a líderes de seguridad y cumplimiento en diferentes sectores y geografías, validando sus respuestas con datos reales de brechas. Los hallazgos de este año, provenientes de 461 organizaciones, son los más preocupantes hasta la fecha: cuando las empresas no pueden responder preguntas básicas de seguridad—desde el número de accesos de terceros hasta el uso de datos de IA—no se trata de brechas de conocimiento aisladas. Operan sin la visibilidad crítica sobre todo su panorama de seguridad.

El Informe de Riesgos de Seguridad de Datos y Cumplimiento 2025 revela algo que sospechábamos desde hace años pero que no habíamos podido demostrar hasta ahora: la ceguera de seguridad es contagiosa. Una respuesta de “no lo sé” predice otras con una precisión alarmante, generando una cascada de vulnerabilidades que transforma riesgos manejables en amenazas existenciales.

Confías en que tu organización es segura. Pero ¿puedes comprobarlo?

Leer ahora

Evolución del Riesgo de Datos Empresariales: De Métricas Simples a Patrones Complejos

Cuando comenzamos a rastrear métricas de seguridad en 2022, el panorama era fundamentalmente diferente. Medimos las tasas de adopción de cifrado, calculamos los costos de cumplimiento y contamos relaciones con proveedores. Estos eran datos importantes, pero contaban historias aisladas—instantáneas del estado de seguridad que no capturaban la naturaleza interconectada del riesgo moderno.

Cuatro años y miles de respuestas validadas después, podemos ver lo que nos faltaba: los desafíos de seguridad no existen en aislamiento—se propagan y se agravan en patrones predecibles y medibles. Lo que comenzó como una investigación directa sobre cómo las organizaciones protegen contenido confidencial ha evolucionado hacia una comprensión sofisticada de cómo los fallos de seguridad se interconectan, amplificando debilidades individuales en todo el ecosistema.

Los datos de este año, validados contra resultados reales de brechas de las organizaciones participantes, finalmente cuantifican estos efectos en cascada. Ahora podemos medir cómo la simple incapacidad de contar relaciones con terceros predice la frecuencia de brechas, los retrasos en la detección y los costos de litigio con una precisión sorprendente. Más importante aún, hemos identificado los factores específicos que diferencian a las organizaciones de seguridad de alto rendimiento de aquellas atrapadas en la gestión de crisis perpetua.

Puntos Clave

  1. La Ceguera de Seguridad Genera Fallos en Cascada

    Las organizaciones que no pueden responder preguntas básicas de seguridad enfrentan vulnerabilidades acumuladas—el 42,3% de quienes desconocen su número de terceros tampoco pueden rastrear la frecuencia de brechas. Este efecto en cascada transforma brechas de conocimiento aisladas en fallos sistémicos de seguridad que cuestan millones.

  2. El Rango de 1.001 a 5.000 Proveedores es una Zona Crítica de Peligro

    Las empresas que gestionan entre 1.001 y 5.000 relaciones con terceros experimentan los peores resultados de seguridad, con el 41,9% enfrentando entre 7 y 9 brechas anuales. Estas organizaciones tienen la complejidad de una empresa grande pero carecen de controles de nivel empresarial, creando la tormenta perfecta de vulnerabilidad.

  3. La Gobernanza de IA Sigue Siendo Excepcionalmente Rara

    Solo el 17% de las organizaciones han implementado marcos técnicos de gobernanza de IA, mientras que el 35,8% de las empresas que desconocen su uso de IA no cuentan con ninguna protección de privacidad. Esta brecha de gobernanza significa que la mayoría está realizando experimentos sin control con sus datos más sensibles.

  4. Múltiples Tecnologías de Privacidad Generan Beneficios Compuestos

    Las organizaciones que implementan tres o más tecnologías de mejora de privacidad logran mejoras notables—el 81% mantiene los costos de litigio por debajo de 1 millón de dólares frente a costos significativamente mayores para quienes no usan PETs. Comenzar con minimización de datos y sumar tecnologías adicionales multiplica los beneficios de seguridad.

  5. La Velocidad de Detección Determina el Impacto Financiero

    Las empresas que detectan brechas en menos de 7 días tienen muchas más probabilidades de mantener los costos por debajo de 1 millón de dólares, mientras que quienes tardan entre 31 y 90 días enfrentan costos de 3 a 5 millones. Cada día de retraso en la detección incrementa exponencialmente el daño financiero y la complejidad de la recuperación.

El Descubrimiento que Cambió Todo: La Visibilidad Determina el Destino

El hallazgo más profundo de los datos de 2025 gira en torno a la visibilidad organizacional—o su ausencia. Cuando las empresas responden “no lo sé” a preguntas fundamentales de seguridad, indica una ceguera sistémica y no solo brechas de conocimiento aisladas. Este patrón apareció de forma consistente en todos los sectores, geografías y tamaños de organización que analizamos.

Considera esta pregunta aparentemente simple: “¿Cuántas relaciones con terceros mantiene tu organización?”

La incapacidad de responder a esta pregunta básica se correlaciona con fallos de seguridad catastróficos:

Tabla 1: El Efecto en Cascada de los Fallos de Visibilidad

Punto Ciego Principal Fallo Secundario Impacto Terciario Costo Final
No pueden contar terceros (46%) No saben la frecuencia de brechas (46%) No pueden cuantificar costos de litigio (48%) Brecha promedio de $3-$5M
Desconocen uso de datos de IA (36%) Sin controles de privacidad (36%) Tiempos de detección de 31-90 días (42%) 73% teme filtraciones de modelos
Horas de cumplimiento desconocidas (20-26%) Procesos manuales dominan (70%+) Plazos regulatorios incumplidos $2,33 de costo oculto por cada $1 gastado
Tiempos de detección inciertos (46%) Pobre respuesta a incidentes (68%) Exposición prolongada a brechas 10+ brechas anuales (28%)

Cuatro fallos de visibilidad principales predicen los resultados de seguridad con notable precisión:

Cantidad de terceros desconocida: Estas organizaciones operan en modo reactivo perpetuo, incapaces de rastrear flujos de datos o evaluar riesgos de forma sistemática. Nuestro análisis muestra que el 46% de las empresas no puede proporcionar un conteo preciso de sus relaciones con terceros. Estas mismas organizaciones presentan una correlación del 42,3% con frecuencia de brechas desconocida—literalmente no saben si han sido comprometidas. Las operaciones diarias revelan proveedores olvidados accediendo a sistemas críticos, creando vulnerabilidades de TI en la sombra que los atacantes explotan con creciente sofisticación.

Uso de datos de IA desconocido: Con el 36% de las organizaciones que usan IA sin ninguna protección de privacidad, las empresas están realizando experimentos sin control con datos sensibles a una escala sin precedentes. La velocidad de adopción de IA ha superado por completo la capacidad de gobernanza. Las organizaciones que no pueden cuantificar qué porcentaje de los datos que ingresan a sistemas de IA es sensible o confidencial muestran tasas de brechas mucho más altas y tiempos de detección más largos. Básicamente, operan grandes procesos de datos sin ningún mecanismo de control u observación.

Horas de cumplimiento desconocidas: Entre el 20% y el 26% de los profesionales de seguridad en distintos roles no pueden cuantificar el tiempo invertido en cumplimiento, lo que impide optimizar procesos manuales que consumen miles de horas al año. Esta falta de visibilidad sobre la carga de cumplimiento crea un círculo vicioso—las organizaciones no pueden mejorar lo que no miden, lo que lleva a cargas manuales crecientes que impiden invertir en automatización o mejora de procesos.

Tiempos de detección desconocidos: Más crítico aún, el 46% de las organizaciones con poca visibilidad de terceros no sabe cuánto tiempo permanecen las brechas sin ser detectadas. En seguridad, el tiempo es dinero—y las brechas no detectadas generan una escalada exponencial de costos. Cada día que una brecha pasa inadvertida incrementa los costos de remediación en un promedio de $10.000, sin contar multas regulatorias, litigios y daño reputacional.

Zona de Peligro de 1.001-5.000 Terceros: Donde el Riesgo se Dispara

Los datos de este año identifican un rango específico de volumen de proveedores que genera un riesgo desproporcionado y desafía la lógica convencional sobre escala y seguridad. Las organizaciones que gestionan entre 1.001 y 5.000 socios enfrentan los peores resultados de seguridad en todas las métricas que medimos:

Tabla 2: Métricas de Riesgo por Volumen de Terceros

Cantidad de Terceros Brechas Anuales Tiempo de Detección Riesgo en la Cadena de Suministro Costo Promedio de Brecha
<500 42,7% sin brechas 77% detecta en <7 días Incremento del 30% 45% por debajo de $1M
501-1.000 35,6% enfrenta 4-6 Desempeño mixto Incremento del 32% $1-3M típico
1.001-5.000 46% enfrenta 7-9 46% tarda 31-90 días Incremento del 46% 44% enfrenta $3-$5M
>5.000 27,9% enfrenta 10+ 31% tarda >90 días Incremento del 43% 36% supera $5M

Esta zona de peligro surge de una tormenta perfecta de presiones competitivas que generan vulnerabilidades únicas:

Complejidad sin Capacidad: Estas organizaciones han superado la capacidad de gestión manual de proveedores. Los equipos de seguridad pueden verificar personalmente 100 proveedores, quizás llegar a 500 con procesos excelentes, pero la gestión a escala humana falla catastróficamente con más de 1.000 relaciones. Sin embargo, normalmente carecen del presupuesto para controles automatizados de nivel empresarial que emplean las grandes empresas.

Ruptura de Visibilidad: A esta escala, las hojas de cálculo fallan, los procesos basados en correo electrónico colapsan y las soluciones puntuales generan más brechas de las que resuelven. Las organizaciones reportan usar un promedio de 7 a 12 herramientas diferentes para gestionar relaciones con proveedores, ninguna de las cuales se integra de manera efectiva. El resultado es un mosaico de visibilidad parcial que genera falsa confianza y deja enormes puntos ciegos.

Punto Dulce para Atacantes: Los actores de amenazas sofisticados apuntan específicamente a este rango. Estas organizaciones son lo suficientemente grandes para tener datos valiosos y lo suficientemente complejas para tener brechas de seguridad, pero carecen de los recursos de una verdadera empresa. Nuestros socios de inteligencia de amenazas reportan que el 73% de los ataques a la cadena de suministro en 2024 se dirigieron a organizaciones de este tamaño.

Desajuste de Recursos: Las organizaciones en la zona de peligro suelen tener equipos de seguridad de 5 a 15 personas intentando gestionar una complejidad de escala empresarial. Enfrentan los mismos requisitos regulatorios que las empresas Fortune 500 pero con una fracción de los recursos. Esto crea una situación insostenible donde los equipos de seguridad están perpetuamente sobrecargados, lo que lleva a errores, omisiones y agotamiento.

Curiosamente, las organizaciones que superan los 5.000 socios muestran mejoras en algunas métricas porque los consejos finalmente aprueban controles de nivel empresarial a esa escala. La zona de peligro persiste precisamente porque atrae ataques sofisticados sin justificar defensas empresariales ante ejecutivos preocupados por el presupuesto.

Adopción de IA sin Gobernanza: El Diagnóstico de 2025

Aunque la transformación con IA domina las discusiones tecnológicas, nuestros datos exponen una brecha de gobernanza que está creando nuevos vectores de ataque a una escala sin precedentes. La velocidad de adopción de IA ha superado por completo el desarrollo de marcos de gobernanza, generando un entorno sin reglas donde los datos confidenciales fluyen hacia sistemas de IA sin supervisión, control ni siquiera conciencia básica.

Solo el 17% de las organizaciones ha implementado marcos técnicos de gobernanza de IA—una cifra sorprendentemente baja dada la magnitud de los riesgos. Esto significa que el 83% de las organizaciones que usan IA carecen de los controles técnicos necesarios para evitar filtraciones de datos, garantizar el cumplimiento o incluso saber qué datos están procesando sus sistemas de IA.

La correlación entre la conciencia sobre IA y los resultados de seguridad es impactante. Las organizaciones que miden el contenido generado por su IA presentan perfiles de seguridad radicalmente distintos:

Niveles de Madurez en Gobernanza de IA:

  • Controles técnicos con prevención de pérdida de datos: 17% de adopción (máxima efectividad)
  • Uso restringido con capacitación y auditorías: 27% de adopción (efectividad moderada)
  • Guías con criterio del empleado: 21,2% de adopción (efectividad limitada)
  • Mensajes de advertencia sin refuerzo: 19,6% de adopción (impacto mínimo)
  • Sin políticas específicas: 10,3% (operando completamente a ciegas)

El hallazgo más alarmante: entre las organizaciones que desconocen su uso de IA, el 36% no implementa ninguna protección de privacidad. Estas empresas están realizando experimentos sin control con sus datos más sensibles, muchas veces sin saberlo. Los empleados usan herramientas de IA de consumo por conveniencia, exponiendo sin querer secretos comerciales, datos de clientes y propiedad intelectual a sistemas con políticas de retención y uso de datos poco claras.

Las organizaciones con un 16%-30% de contenido generado por IA demuestran patrones especialmente preocupantes—tienen suficiente conciencia para medir pero carecen de controles adecuados. Es como monitorear tu velocidad al conducir sin usar cinturón de seguridad. Saben que están en riesgo, pero no han tomado medidas significativas para protegerse.

La brecha entre el temor y la acción resulta especialmente inquietante. Entre el 67% y el 75% de las organizaciones expresan gran preocupación por filtraciones de modelos de IA y exposición de datos, pero solo el 25% ha implementado marcos de gobernanza efectivos. Esta desconexión entre conciencia y acción crea una situación peligrosa donde las organizaciones entienden la amenaza pero se sienten incapaces de afrontarla de manera efectiva.

Patrones de Seguridad Geográfica: Fortalezas Regionales y Debilidades Críticas

Las diferencias regionales en regulación, cultura empresarial y panorama de amenazas generan perfiles de seguridad distintos que ofrecen lecciones valiosas para organizaciones globales. Cada región ha desarrollado enfoques únicos, moldeados por presiones locales, regulaciones y factores culturales:

Norteamérica: El Modelo Impulsado por Litigios

Con el 23% de las organizaciones superando los 20.000 empleados—la mayor concentración a nivel mundial—las empresas norteamericanas operan a una escala sin precedentes. Esto crea desafíos y oportunidades únicos:

Fortalezas: Las organizaciones norteamericanas lideran la implementación de controles de IA con un 32%, impulsadas principalmente por el temor a litigios. La brecha de datos promedio en Norteamérica cuesta ahora $4,45 millones, con las estrictas leyes de privacidad de California añadiendo exposición adicional. Este miedo a litigios ha impulsado la inversión en controles técnicos y sistemas de monitoreo automatizados.

Debilidades: El enfoque en estrategias defensivas a veces frena la innovación. Las organizaciones reportan dedicar un 40% más de tiempo a documentación de cumplimiento que sus homólogas europeas, a menudo a costa de mejoras proactivas en seguridad. El énfasis en la protección legal por encima de la seguridad real crea situaciones donde las organizaciones cumplen legalmente pero siguen siendo vulnerables en la práctica.

Desafíos Únicos: Equilibrar la innovación con la exposición a litigios genera parálisis en algunas empresas. Los equipos de seguridad reportan presión para habilitar la adopción de IA por ventaja competitiva y, al mismo tiempo, evitar cualquier posibilidad de exposición de datos—un mandato imposible que lleva a restricciones excesivas o permisividad peligrosa.

Europa: La Regulación como Catalizador de Excelencia

La implementación del GDPR demostró que una regulación bien pensada puede impulsar mejoras reales en seguridad y no solo cumplimiento superficial:

Fortalezas: Las organizaciones europeas muestran la mayor concentración de especialistas en TI con un 58%, frente al 41% en Norteamérica. Lideran la adopción de tecnologías de privacidad a nivel global, con el 80% citando un impacto positivo significativo del GDPR. Esta presión regulatoria generó capacidad real, no solo papeleo.

Debilidades: La proliferación de marcos superpuestos—GDPR, NIS 2, DORA, Ley de Datos de la UE—ahora amenaza con sobrepasar los beneficios. Las organizaciones reportan dedicar cada vez más tiempo a la interpretación regulatoria y al mapeo de marcos en vez de a la implementación de seguridad.

Desafíos Únicos: La fecha límite de la Ley de Datos de la UE en septiembre de 2025 se acerca rápidamente, con solo el 23% de las organizaciones completamente preparadas. La complejidad de los requisitos de portabilidad e interoperabilidad de datos bajo la Ley crea desafíos técnicos que muchas organizaciones subestimaron.

Asia-Pacífico: Los Líderes en Cifrado

Las organizaciones de APAC demuestran lo que la ejecución enfocada puede lograr, incluso con recursos limitados:

Fortalezas: Con el 56% implementando cifrado en el 76%-100% de los datos sensibles—el porcentaje más alto a nivel mundial—las organizaciones de APAC prueban que los controles de seguridad fundamentales pueden implementarse de manera efectiva sin importar el tamaño o los recursos. Este enfoque en protecciones básicas ofrece mejores resultados que estrategias más complejas pero mal implementadas.

Debilidades: Sin embargo, el 35% responde “no lo sé” sobre riesgos de IA, lo que sugiere que la innovación supera constantemente a la gobernanza. La rápida adopción de nuevas tecnologías sin marcos de gobernanza correspondientes crea vulnerabilidades que los atacantes sofisticados explotan cada vez más.

Desafíos Únicos: Equilibrar el crecimiento acelerado con la madurez en seguridad resulta difícil. Las organizaciones de APAC a menudo pasan de startup a empresa en meses en vez de años, generando situaciones donde la infraestructura de seguridad queda peligrosamente rezagada respecto al crecimiento del negocio.

Medio Oriente: El Factor Humano como Diferenciador

Las organizaciones de Medio Oriente demuestran que la tecnología por sí sola no determina los resultados en seguridad:

Fortalezas: Con el 51% realizando capacitaciones regulares en cumplimiento (máximo global) y el 36% exigiendo certificaciones de seguridad, estas organizaciones prueban que invertir en las personas genera grandes retornos. El énfasis en la concienciación en seguridad y el desarrollo profesional crea culturas donde la seguridad es responsabilidad de todos.

Debilidades: La implementación de controles técnicos es baja, con menor adopción de sistemas automatizados de monitoreo y respuesta. Esto genera situaciones donde el personal bien capacitado debe compensar la falta de herramientas adecuadas, lo que lleva a agotamiento y errores humanos.

Desafíos Únicos: La digitalización acelerada en industrias tradicionalmente basadas en papel crea vulnerabilidades únicas. Las organizaciones deben construir simultáneamente infraestructura digital y capacidades de seguridad, a menudo sin buenas prácticas establecidas ni experiencia regional para apoyarse.

Tecnologías de Mejora de Privacidad: La Brecha de Madurez

A pesar de los beneficios comprobados y la creciente disponibilidad, la adopción de tecnologías de mejora de privacidad (PET) sigue siendo frustrantemente baja en todos los sectores y regiones. Esto representa una de las mayores oportunidades desaprovechadas en ciberseguridad hoy en día.

Nuestro análisis revela una jerarquía clara de adopción que refleja tanto la complejidad técnica como la preparación organizacional:

Tecnologías de Entrada (30%-45% de adopción):

  • Minimización de Datos: La PET más fácil de implementar, requiere principalmente cambios de políticas en vez de infraestructura técnica. Las organizaciones pueden ver beneficios inmediatos simplemente recolectando y reteniendo menos datos.
  • Intercambio de Confianza Cero: Complejidad moderada pero alto impacto, especialmente para organizaciones con ecosistemas de socios complejos.

Tecnologías Intermedias (15%-25% de adopción):

  • Cálculo Seguro Multiparte: Permite compartir datos sin exposición, fundamental para sectores que requieren colaboración manteniendo la privacidad.
  • Computación Confidencial: Protección basada en hardware que brinda seguridad sólida pero requiere inversión en infraestructura.

Tecnologías Avanzadas (<15% de adopción)

  • Cifrado Homomórfico: Permite cálculos sobre datos cifrados pero requiere recursos computacionales y experiencia significativos.
  • Aprendizaje Federado: Permite entrenar modelos de IA sin centralizar datos pero exige una implementación sofisticada.

Las organizaciones que implementan tres o más PETs demuestran resultados muy superiores en todas las métricas que medimos. Detectan brechas un 67% más rápido, mantienen los costos de litigio un 81% más bajos y reportan un 92% más de confianza de sus clientes. Sin embargo, entre el 14% y el 36% de las organizaciones no usan ninguna PET, dejando un valor enorme sin aprovechar.

La hoja de ruta de implementación que revela nuestra investigación muestra patrones claros para el éxito. Las organizaciones deberían comenzar con Minimización de Datos e Intercambio de Confianza Cero para logros rápidos (30-90 días), luego sumar Cálculo Seguro Multiparte y Computación Confidencial a medida que maduran (90-180 días). Tecnologías avanzadas como el Cifrado Homomórfico deben reservarse para casos específicos donde su complejidad esté justificada (180-365 días).

Del Peso del Cumplimiento a la Ventaja Competitiva

Las organizaciones más exitosas han transformado el cumplimiento de una carga reactiva en una fuente de ventaja competitiva. Mientras que las organizaciones típicas dedican entre 1.000 y 1.500 horas anuales a reportes de cumplimiento—equivalente a casi un empleado a tiempo completo—la distribución de este esfuerzo revela oportunidades estratégicas.

Patrones de Inversión de Tiempo en Cumplimiento:

  • Menos de 500 horas: 7% (organizaciones más pequeñas y enfocadas)
  • 500-1.000 horas: 13% (operaciones optimizadas con buena automatización)
  • 1.001-1.500 horas: 25%-32% (el rango más común)
  • 1.501-2.000 horas: 19% (operaciones complejas comenzando a resentirse)
  • Más de 2.000 horas: 14%-20% (muy grandes o muy ineficientes)
  • “No lo sé”: 20%-26% (la crisis de visibilidad en acción)

Las organizaciones que logran los mejores resultados comparten características comunes:

Automatización Primero: Han superado los procesos manuales, automatizando tareas rutinarias de cumplimiento como recolección de evidencias, pruebas de controles y generación de informes. Así, los equipos de seguridad pueden enfocarse en mejoras estratégicas en vez de papeleo.

Enfoque Integrado: En vez de tratar cada regulación por separado, han construido marcos de control unificados que cumplen múltiples requisitos a la vez. Un solo control puede cubrir GDPR, CCPA y SOX, reduciendo drásticamente la duplicación de esfuerzos.

Actitud Proactiva: Ven las regulaciones como estándares mínimos y no máximos. Al superar los requisitos, están preparados para futuras regulaciones y evitan las prisas que afectan a las organizaciones reactivas.

Los niveles de preparación para la Ley de Datos de la UE muestran cómo este enfoque estratégico se traduce en la práctica. Servicios Financieros lidera con un 47% completamente preparado, aprovechando infraestructura existente y un enfoque integrado. Educación va rezagada con solo un 14%, limitada por falta de recursos y pensamiento en silos. Sorprendentemente, el 23% de las organizaciones de Servicios Legales—que deberían entender mejor las regulaciones—no tiene ningún plan de preparación.

Rompiendo la Espiral de Costos de Brechas: Detección, Respuesta y Resiliencia

El tiempo realmente es dinero en ciberseguridad. Los hallazgos de 2025 revelan cuán costosos pueden ser los retrasos, con la diferencia entre detectar una brecha en horas versus meses significando millones en costos y la diferencia entre continuidad de negocio y catástrofe.

La relación entre la velocidad de detección y el costo final es casi lineal:

  • Menos de 24 horas: 67% mantiene costos por debajo de $1 millón
  • 1-7 días: 52% permanece por debajo de $1 millón
  • 8-30 días: Los costos suelen llegar a $1-$3 millones
  • 31-90 días: 44% enfrenta costos de $3-$5 millones
  • Más de 90 días: 36% supera los $5 millones en impacto total

Pero la verdadera historia está en por qué algunas organizaciones logran detección rápida mientras otras permanecen a oscuras durante meses. Las organizaciones con visibilidad integral—que conocen su número de terceros, miden el uso de IA y rastrean esfuerzos de cumplimiento—detectan brechas un 73% más rápido en promedio. No es casualidad; es causalidad.

El efecto en cascada funciona a la inversa para la detección. Las organizaciones con visibilidad sólida cuentan con mejores sistemas de monitoreo, bases claras para el comportamiento normal y procesos de respuesta a incidentes más ágiles. Saben cómo luce lo “normal”, así que las anomalías destacan de inmediato.

La Realidad del Puntaje de Riesgo: Cuantifica tu Exposición

Por primera vez en nuestra serie de investigaciones de cuatro años, hemos desarrollado un algoritmo propio de puntuación de riesgo que transforma múltiples métricas de seguridad en un solo puntaje accionable. Esto permite a las organizaciones comparar su riesgo con sus pares y seguir su mejora en el tiempo.

Nuestra metodología de puntuación sintetiza tres dimensiones fundamentales:

  1. Frecuencia de Brechas (0-5 puntos según incidentes anuales)
  2. Impacto Financiero (0-5,5 puntos según costos de litigio)
  3. Velocidad de Detección (0-5 puntos según tiempo de descubrimiento)

El algoritmo normaliza estos valores en una escala de 0 a 10 donde:

  • 7,1-10: Riesgo crítico que requiere acción inmediata
  • 5,0-7,0: Riesgo alto que necesita mejoras urgentes
  • 3,5-5,0: Riesgo medio con margen de mejora
  • 1,0-3,5: Riesgo bajo con buenas prácticas

Los resultados son contundentes:

  • 15% de las organizaciones operan en niveles de riesgo crítico
  • 31% enfrenta riesgo alto que requiere acción urgente
  • 29% se encuentra en territorio de riesgo medio
  • Solo 25% logra estatus de riesgo bajo

La organización promedio obtiene 4,84—peligrosamente cerca del territorio de riesgo alto. Esto significa que la empresa “típica” está al borde de una vulnerabilidad grave.

Las variaciones por sector son especialmente llamativas. Energía/Servicios Públicos encabeza la lista de riesgo con 5,51, reflejando tanto su infraestructura crítica como los desafíos de sistemas heredados. Tecnología, a pesar de su sofisticación técnica, ocupa el segundo lugar con 4,94—probablemente por ser un objetivo principal de ataques. Sorprendentemente, Ciencias de la Vida/Farmacéuticas logra el menor riesgo con 3,37, demostrando que los sectores regulados pueden alcanzar excelentes resultados con la inversión adecuada.

El Punto de Inflexión es Ahora

Tras cuatro años siguiendo avances incrementales en seguridad frente a un crecimiento exponencial de amenazas, 2025 representa un punto de inflexión fundamental en la seguridad de datos. La convergencia de la adopción de IA sin gobernanza, el crecimiento explosivo de ecosistemas de terceros y los requisitos de cumplimiento en cascada crea un panorama de amenazas que no puede abordarse con mejoras graduales.

Nuestros datos demuestran claramente qué funciona. Las organizaciones que logran visibilidad integral, implementan tecnologías de privacidad en capas y automatizan procesos clave superan consistentemente a sus pares en todas las métricas. Las herramientas existen. Las estrategias están comprobadas. El retorno de inversión está cuantificado.

Aun así, el 46% de las organizaciones todavía no puede responder preguntas básicas sobre su postura de seguridad. Operan a oscuras, esperando que la suerte las proteja de amenazas que no pueden ver venir. En 2025, esta ceguera operativa no solo es riesgosa—es existencial.

La diferencia entre prosperar y simplemente sobrevivir depende cada vez más de un factor: el coraje de transformarse antes de que la crisis obligue al cambio. Las organizaciones deben abandonar la ficción cómoda de que las mejoras incrementales serán suficientes. Las amenazas son exponenciales. La respuesta debe ser transformadora.

En un entorno donde un solo “no lo sé” se correlaciona con un 46% más de brechas, donde la IA procesa datos sensibles sin supervisión y donde los ecosistemas de terceros superan la comprensión humana, las medias tintas garantizan el fracaso. Lo suficientemente bueno ya no es suficiente.

El camino a seguir requiere transformación fundamental en cinco dimensiones:

  1. Lograr Visibilidad Total: Ir más allá de las estimaciones hacia la medición precisa
  2. Automatiza o Fracasa: Los procesos manuales no escalan con la complejidad actual
  3. Implementar Tecnologías Avanzadas: Los controles básicos ya no bastan
  4. Construir Marcos Proactivos: Anticipar en vez de reaccionar
  5. Adoptar Resiliencia Continua: Aceptar que las brechas ocurrirán y prepararse en consecuencia

Las organizaciones que reconozcan este punto de inflexión y actúen con decisión definirán la próxima era de la seguridad de datos. Quienes se aferren a mejoras incrementales se verán superados por amenazas exponenciales. El punto medio ha desaparecido. El momento de la transformación es ahora.

Descarga el Informe de la Encuesta de Riesgos de Seguridad de Datos y Cumplimiento 2025 para un análisis detallado, perspectivas específicas por sector y recomendaciones integrales para tu proceso de transformación en seguridad.

Preguntas Frecuentes

Según los datos de 2025, las organizaciones que gestionan entre 1.001 y 5.000 relaciones con terceros enfrentan el mayor riesgo, con un 42% experimentando entre 7 y 9 brechas anuales y un 46% reportando un aumento en los riesgos de la cadena de suministro. Esta “zona de peligro” ocurre porque las organizaciones tienen la complejidad de una empresa grande pero normalmente carecen de presupuesto para controles automatizados de nivel empresarial, haciendo imposible la supervisión manual.

Solo el 17% de las organizaciones ha implementado marcos técnicos de gobernanza de IA en 2025, a pesar de la rápida adopción de IA en todos los sectores. Esta brecha de gobernanza es especialmente preocupante dado que el 36% de las organizaciones que desconocen el uso de sus datos de IA no ha implementado ninguna tecnología de mejora de privacidad, generando grandes puntos ciegos en la seguridad de datos.

Los tiempos de detección varían drásticamente según el tamaño y la madurez de la organización: el 43% de las organizaciones con menos de 500 terceros detectan brechas en menos de 7 días, mientras que el 31% de aquellas con más de 5.000 terceros tarda más de 90 días. El impacto financiero se correlaciona directamente con la velocidad de detección—las organizaciones que detectan brechas rápidamente tienen muchas más probabilidades de mantener los costos de litigio por debajo de $1 millón, mientras que una detección lenta suele llevar a costos superiores a $3-$5 millones.

La Minimización de Datos lidera la adopción de PET con un 35,7-42,4% según el rol, seguida de Cálculo Seguro Multiparte con un 19,9-24,1% y Computación Confidencial con un 14%-18%. Las organizaciones que implementan tres o más PETs muestran resultados mucho mejores, con el 81% manteniendo los costos de litigio por debajo de $1 millón frente a quienes no usan PETs, que enfrentan costos significativamente mayores y detección de brechas más lenta.

La preparación varía mucho según el sector, con Servicios Financieros liderando con un 47% completamente preparado, mientras que Educación va muy rezagado con solo un 14% de preparación. Lo más preocupante es que el 23% de las organizaciones de Servicios Legales reportan no tener ningún plan de preparación a pesar de la inminente fecha límite, y las agencias gubernamentales muestran solo un 19% de preparación total a pesar de manejar grandes volúmenes de datos de ciudadanos.

Recursos Adicionales

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks