Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Costos del riesgo interno: descubre la amenaza interna de $19.5 millones

Costos del riesgo interno: descubre la amenaza interna de $19.5 millones

by Patrick Spencer updated marzo 12, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 9 minutes

Las conversaciones sobre ciberseguridad suelen inclinarse hacia lo dramático: actores estatales, ataques e intrusiones del día cero (Zero-day), infiltración en la cadena de suministro. Estas amenazas son reales y merecen atención. Pero existe un problema más mundano y considerablemente más costoso presente en la mayoría de las organizaciones cada día, y el Informe de Riesgo Interno DTEX/Ponemon 2026 le pone una cifra muy precisa.

Aspectos clave

  1. La negligencia es la categoría de amenaza interna más costosa. El Informe de Riesgo Interno DTEX/Ponemon 2026 revela que los empleados negligentes representan el 53% del costo total de riesgo interno—10,3 millones de dólares anuales—un aumento del 17% año tras año. El problema no es el empleado descontento que se va con datos. Es el empleado bien intencionado que va demasiado rápido, usa herramientas incorrectas y genera exposiciones que nadie registró.
  2. Las aplicaciones en la sombra son el nuevo canal de pérdida de datos. Los empleados pegan habitualmente documentos internos, código fuente, materiales legales y estrategias de negocio en herramientas públicas no autorizadas. Solo el 18% de las organizaciones ha integrado completamente la gobernanza de IA en sus programas de gestión de riesgo interno, por lo que la mayoría no tiene visibilidad real sobre lo que sale—ni hacia dónde va.
  3. El costo promedio de riesgo interno ahora es de 19,5 millones de dólares por organización—y sigue subiendo. Subió desde 17,4 millones en 2024 y 16,2 millones en 2023, y esta tendencia no se está estabilizando. La contención sigue siendo el mayor impulsor de costos, con 247.587 dólares por incidente. La rapidez para contener marca la diferencia entre un incidente manejable y un evento financiero.
  4. Los agentes de IA están dentro de tu perímetro—y la mayoría de los programas de riesgo interno no los contemplan. Solo el 19% de las organizaciones clasifica los agentes de IA como equivalentes de riesgo interno a los empleados humanos, aunque el 44% ya espera que el uso malicioso de esos agentes incremente significativamente el robo de datos. Las definiciones no se han puesto al día con las implementaciones.
  5. Los programas que invierten en gestión de riesgo interno evitan un promedio de 8,2 millones de dólares en costos anuales por brechas. Las organizaciones con programas formales de riesgo interno evitan aproximadamente siete incidentes al año. La gestión de accesos privilegiados ofrece la mayor reducción de costos, con 6,1 millones de dólares. El caso de ROI no es teórico—está documentado y es repetible.

La organización promedio gastó 19,5 millones de dólares gestionando el riesgo interno en 2025. Esa cifra subió desde 17,4 millones en 2024 y 16,2 millones en 2023. No es una anomalía de un año. Es una tendencia. Y lo que la impulsa—lo que el informe deja dolorosamente claro—no es un aumento de empleados rebeldes. Es algo mucho más difícil de defender: personas comunes, haciendo su trabajo, tomando decisiones que generan niveles extraordinarios de riesgo.

El informe se basa en datos de 354 empresas y 7.490 incidentes internos. Cubre todo el espectro de categorías de riesgo interno—desde el empleado negligente que pega datos sensibles en una herramienta pública hasta el interno malicioso que exfiltra deliberadamente propiedad intelectual. Lo que revela es un retrato de la seguridad de datos que la mayoría de las organizaciones prefiere no mirar de frente: El vector de brecha más costoso en tu entorno probablemente ya es de confianza, tiene credenciales y está activo.

La negligencia cuesta más que la malicia

El instinto en las conversaciones sobre riesgo interno es centrarse en el actor malicioso—el empleado que vende datos, el contratista que roba código fuente, el ejecutivo descontento que se lleva la lista de clientes. Estos casos existen, son graves y representan una exposición financiera real. Pero no es ahí donde se va la mayor parte del dinero.

Los empleados negligentes representan el 53% del costo total de riesgo interno, con 10,3 millones de dólares anuales, un aumento del 17% año tras año. El costo promedio de un incidente por negligencia es de 747.107 dólares. Hubo 13,8 de estos incidentes por organización en el periodo analizado. La negligencia—no la malicia—es el principal impulsor de costos en los programas de riesgo interno en todos los sectores. DTEX identifica tres factores principales: uso compartido de archivos no monitoreado, correo web personal y aplicaciones en la sombra—herramientas que los empleados adoptan por su cuenta, fuera de la visibilidad de TI o de los controles de políticas.

Lo que constituye un incidente de negligencia interna en 2026 no es alguien intentando eludir la seguridad. Es alguien intentando hacer su trabajo más rápido. Necesita que le revisen un documento. Necesita resumir un informe extenso. Necesita compartir algo con un cliente antes de una fecha límite. La fricción entre los controles de seguridad y las demandas del flujo de trabajo es real, y cuando esas dos fuerzas chocan, la seguridad suele perder.

La contención es el componente de costo individual más grande, con 247.587 dólares por incidente, frente a 39.728 dólares por escalamiento. Esa diferencia no es accidental. Refleja lo difícil que es localizar, evaluar y remediar incidentes que nunca se registraron. Cuando los datos se mueven por canales no autorizados, la pista forense de la que depende la contención simplemente no existe.

Las apps que no conoces son tu mayor riesgo de cumplimiento

Las aplicaciones en la sombra son ahora el principal impulsor de incidentes internos por negligencia según el informe DTEX. Los empleados pegan documentos internos, materiales legales, código fuente, diagramas de arquitectura y estrategias de negocio en herramientas públicas como ChatGPT, Gemini, Perplexity y Grok. Estas transferencias ocurren en la capa de aplicación, fuera del alcance de los controles tradicionales de Prevención de Pérdida de Datos (DLP), y generan flujos de datos sin control que terminan fuera de los límites empresariales, sin registro, sin consentimiento y sin los acuerdos de procesamiento de datos que exigen los marcos de cumplimiento.

La exposición de cumplimiento es directa. Bajo el GDPR, CCPA, la ley HIPAA y un conjunto creciente de marcos sectoriales, las organizaciones tienen obligaciones afirmativas sobre cómo se procesa la información personal, a dónde va y quién puede acceder a ella. Cuando un empleado pega un contrato con información personal identificable de un cliente en una herramienta pública, esos datos ya se han compartido con un tercero bajo condiciones que la organización casi seguro no puede documentar. Si un regulador pide pruebas de procesamiento legal, no hay ninguna. Si llega una solicitud de derechos de privacidad sobre esos datos, la organización puede ni siquiera saber a dónde fueron.

El informe DTEX identifica a los asistentes de IA para tomar notas como una categoría especialmente riesgosa dentro de este problema más amplio. Estas herramientas graban, transcriben y a menudo almacenan el contenido de reuniones—contenido que frecuentemente incluye información personal identificable, información empresarial sensible y conversaciones privilegiadas. Sin controles de acceso consistentes, límites de retención definidos y acuerdos formales de procesamiento de datos, los asistentes de IA para tomar notas funcionan como repositorios de datos no monitoreados que quedan fuera de cualquier perímetro razonable de cumplimiento.

El 92% de las organizaciones reconoce que las herramientas generativas han cambiado fundamentalmente la forma en que los empleados acceden y comparten información, pero solo el 13% ha integrado formalmente esta realidad en su estrategia de negocio. El 73% teme que el uso no autorizado de herramientas esté creando vías invisibles de pérdida de datos. Solo el 18% ha integrado plenamente políticas de gobernanza de IA en sus programas de gestión de riesgo interno. Esa brecha—entre la preocupación y la acción—es donde la exposición de cumplimiento se acumula silenciosamente, hasta que deja de hacerlo.

El perímetro interno ahora es mucho más complejo

La definición de interno siempre ha sido sencilla: una persona con acceso autorizado a los sistemas, datos o instalaciones de la organización. Esa definición ahora está bajo presión de formas para las que la mayoría de los programas de riesgo interno aún no se han adaptado.

El 19% de las organizaciones ha implementado agentes autónomos en los flujos de trabajo diarios. Estas herramientas acceden a sistemas corporativos, realizan tareas de forma autónoma y, en muchos casos, evitan por completo los controles y registros tradicionales. Operan con credenciales. Acceden a datos. Realizan acciones con implicaciones de seguridad y cumplimiento. Y hacen todo esto sin las señales de comportamiento que los programas de riesgo interno humano están diseñados para detectar. El problema es que la mayoría de los marcos de riesgo interno aún definen «interno» en términos humanos. Solo el 19% de las organizaciones clasifica los agentes de IA como equivalentes a internos humanos desde la perspectiva de gobernanza de riesgos, a pesar de que el 44% ya espera que el uso malicioso de esos agentes incremente significativamente el riesgo de robo de datos.

DTEX describe navegadores con agentes y agentes de finalización de tareas que ya se han observado accediendo a entornos corporativos, realizando tareas en nombre de los usuarios y eludiendo la infraestructura de registro en la que las organizaciones dependen para la detección y la evidencia de cumplimiento. Cuando un agente autónomo accede a datos sensibles, la pista de auditoría que exigen los marcos de cumplimiento puede simplemente no existir. El acceso ocurrió. Los datos se leyeron o transfirieron. Pero el evento no se parece en nada a lo que los sistemas de monitoreo tradicionales fueron diseñados para detectar.

Esto no es un problema a futuro. Las organizaciones que han implementado agentes para productividad ya están operando en esta brecha. Los programas de riesgo interno diseñados en torno al análisis de comportamiento humano no tienen cobertura nativa para entidades no humanas, y las implicaciones de cumplimiento de esa brecha crecen a medida que aumentan las implementaciones.

El costo de una contención lenta es un número que puedes medir

Uno de los hallazgos más esclarecedores del informe DTEX es la relación entre la velocidad de contención y el costo total del incidente. No es una relación matizada. Es directa y significativa.

Las organizaciones que contienen incidentes internos en menos de 30 días gastan un promedio de 14,2 millones de dólares anuales gestionando el riesgo interno. Las organizaciones donde la contención tarda más de 90 días gastan 21,9 millones. Esa diferencia de 7,7 millones no se debe a incidentes más graves. Se debe al tiempo. La contención, con 247.587 dólares por incidente, es el mayor componente de costo en los programas de riesgo interno. Cada día que un incidente no se contiene suma a ese número.

La tendencia presupuestaria en los datos de DTEX refuerza esto desde otro ángulo. Las organizaciones aumentaron la proporción del presupuesto de riesgo interno del 8,2% del gasto total en seguridad en 2023 al 19% en 2025. En ese mismo periodo, el tiempo promedio de contención cayó de 86 a 67 días—una reducción del 17%. Más inversión en programas de riesgo interno está produciendo mejoras medibles en la velocidad de contención, y una contención más rápida está reduciendo de forma tangible el costo total.

Entre las herramientas que ofrecen la mayor reducción de costos, los datos de DTEX son claros. La gestión de accesos privilegiados lidera con 6,1 millones de dólares en ahorros anuales, seguida por el análisis de comportamiento de usuarios e inteligencia de comportamiento con 5,1 millones, la capacitación de usuarios con 4,8 millones y SIEM con 4,6 millones. La capacitación y concienciación de usuarios es la herramienta más implementada, con un 83%, pero ofrece menos de la mitad del impacto financiero de los controles de acceso privilegiado. Las organizaciones que optimizan solo por amplitud de implementación y no por impacto en costos están dejando mucho dinero sobre la mesa.

Qué significa esto para tu programa de cumplimiento

Las implicaciones de cumplimiento de los hallazgos de DTEX se concentran en tres áreas: visibilidad de flujos de datos, gobernanza de IA y documentación de incidentes.

En cuanto a la visibilidad de flujos de datos, el problema fundamental es que las organizaciones no pueden demostrar un manejo de datos conforme si no pueden ver esos flujos. Plataformas de uso compartido de archivos no monitoreadas, correo web personal y herramientas no autorizadas que procesan datos sensibles fuera de entornos gestionados generan exposición regulatoria bajo marcos que exigen control documentado sobre a dónde van los datos y quién accede a ellos. El principio de responsabilidad del GDPR, los requisitos de proveedor de servicios del CCPA y el estándar mínimo necesario de HIPAA presuponen que las organizaciones pueden mapear sus flujos de datos. Las aplicaciones en la sombra hacen que ese mapeo sea, en el mejor de los casos, incompleto.

En cuanto a la gobernanza de IA, los datos de DTEX cuantifican la brecha: el 92% de las organizaciones reconoce que las herramientas generativas han cambiado fundamentalmente cómo los empleados comparten información, pero solo el 13% ha integrado la IA en la estrategia formal de negocio y solo el 18% ha integrado la gobernanza de IA en sus programas de gestión de riesgo interno. La Ley de IA de la UE, la orientación financiera sectorial y el endurecimiento de la supervisión sobre la toma de decisiones automatizada apuntan a un mayor escrutinio sobre cómo las organizaciones gestionan el uso de herramientas de IA por parte de los empleados—un escrutinio para el que las organizaciones sin un marco de gobernanza están mal preparadas.

Sobre la documentación de incidentes, el argumento de cumplimiento para invertir en riesgo interno no es solo prevenir incidentes. Es poder demostrar qué ocurrió, quién estuvo involucrado y qué acciones se tomaron cuando sucedieron los incidentes. Las herramientas que ofrecen el mayor impacto financiero—gestión de accesos privilegiados y análisis de comportamiento—también son las que generan los registros de auditoría y la evidencia forense que exigen las investigaciones de cumplimiento. Invertir en gestión de riesgo interno es, al mismo tiempo, invertir en la infraestructura de documentación de la que depende la responsabilidad regulatoria.

Qué debe hacer diferente tu programa

El informe DTEX 2026 no describe un nuevo panorama de amenazas. Describe uno familiar en una etapa más avanzada de complejidad, donde las herramientas disponibles para los empleados han superado los marcos de gobernanza diseñados para gestionarlas, y donde los marcos de cumplimiento bajo los que operan las organizaciones empiezan a exigir responsabilidad sobre flujos de datos que la mayoría de los programas no puede documentar actualmente.

Los programas que gestionan este entorno de manera efectiva no son los que tienen más controles. Son los que tienen la visibilidad más clara—sobre a dónde van los datos, quién accede a ellos y qué comportamientos representan riesgo antes de convertirse en incidentes. Esa visibilidad es la que permite una contención más rápida, la documentación de cumplimiento y determina si una organización gasta 14,2 millones o 21,9 millones de dólares anuales en riesgo interno.

Tres ajustes mejoran materialmente la efectividad del programa según los hallazgos de DTEX. Primero, amplía la definición de «interno» para incluir agentes autónomos con credenciales y acceso a datos. Segundo, prioriza la visibilidad sobre el bloqueo—cuando las organizaciones bloquean herramientas populares, los empleados migran a alternativas, creando flujos más difíciles de detectar en vez de eliminar el comportamiento subyacente. Tercero, cierra la brecha de integración de la gobernanza de IA. Las organizaciones donde la gobernanza de IA está fuera del programa de riesgo interno operan con un punto ciego estructural que crece a medida que aumenta el uso de estas herramientas por parte de los empleados.

Las organizaciones que cierren estas brechas en 2026 no solo enfrentarán menores costos por incidentes. Estarán mejor posicionadas para demostrar el tipo de control documentado sobre los flujos de datos que el entorno regulatorio en evolución está comenzando a exigir. Las que no, seguirán descubriendo su exposición de la forma más costosa posible—incidente tras incidente.

Preguntas frecuentes

Las organizaciones sin un programa formal de riesgo interno absorben el costo total de cada incidente. El informe DTEX/Ponemon 2026 encontró que las organizaciones con programas formales evitan aproximadamente siete incidentes y 8,2 millones de dólares en costos por brechas cada año. El costo anual promedio de riesgo interno alcanzó los 19,5 millones de dólares por organización en 2025—frente a los 17,4 millones del año anterior. La contención es el mayor impulsor de costos, con 247.587 dólares por incidente, y los incidentes contenidos en menos de 30 días cuestan 7,7 millones menos al año que aquellos que se extienden más allá de 90 días.

Los empleados negligentes son el principal impulsor de costos en todos los sectores según el informe DTEX/Ponemon 2026, representando el 53% del costo total de riesgo interno con 10,3 millones de dólares anuales. El costo promedio de un incidente por negligencia es de 747.107 dólares, y hubo 13,8 de estos incidentes por organización en el periodo analizado. Los principales factores de negligencia son las aplicaciones en la sombra, el uso compartido de archivos no monitoreado y el correo web personal—no la evasión deliberada de políticas, sino empleados que optimizan la velocidad en sus flujos de trabajo diarios.

Las aplicaciones en la sombra generan exposición directa a HIPAA para las organizaciones de salud porque los datos transferidos a herramientas no gestionadas carecen de los acuerdos de procesamiento documentados, controles de retención y registros de auditoría que exige HIPAA. El informe DTEX identifica las aplicaciones en la sombra como el principal impulsor de incidentes internos por negligencia, con empleados pegando habitualmente documentos internos—including materiales relacionados con pacientes—en herramientas públicas. Solo el 18% de las organizaciones ha integrado plenamente la gobernanza de IA en los programas de riesgo interno, dejando a la mayoría incapaz de documentar el manejo conforme de datos en estos flujos.

Los agentes autónomos con acceso a datos generan obligaciones de responsabilidad ante SOX y GDPR que la mayoría de los marcos actuales de riesgo interno no fueron diseñados para abordar. El informe DTEX 2026 identifica una brecha estructural de gobernanza: solo el 19% de las organizaciones clasifica a los agentes como equivalentes de riesgo interno a los empleados humanos, aunque el 44% espera que el uso malicioso de agentes incremente significativamente el riesgo de robo de datos. Los agentes evitan el registro tradicional, lo que significa que los registros de acceso, la documentación de procesamiento y la evidencia de control que exigen los marcos de cumplimiento pueden no existir.

La velocidad de contención tiene un impacto directo y medible en el costo anual total de riesgo interno según el informe DTEX/Ponemon. Las organizaciones que contienen incidentes en menos de 30 días gastan 14,2 millones de dólares anuales en riesgo interno; aquellas donde la contención supera los 90 días gastan 21,9 millones—una diferencia anual de 7,7 millones. Las organizaciones que aumentaron la proporción del presupuesto de riesgo interno del 8,2% al 19% entre 2023 y 2025 redujeron el tiempo promedio de contención de 86 a 67 días, demostrando que invertir en la madurez del programa mejora directamente la velocidad de contención.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks