Cómo la IA en la sombra le cuesta a las empresas $670K extra: Informe de IBM sobre brechas 2025

Cómo la IA en la sombra le cuesta a las empresas $670K extra: Informe de IBM sobre brechas 2025

Las cifras cuentan una historia contundente. Aunque el último Informe de Costos de Brechas de Datos de IBM revela que los costos globales por brechas han bajado a $4.44 millones—la primera disminución en cinco años—las organizaciones estadounidenses enfrentan un récord de $10.22 millones de promedio. Pero, detrás de estos titulares, hay una realidad aún más preocupante: el 83% de las organizaciones operan sin controles básicos para evitar la exposición de datos a herramientas de IA, según una investigación de Kiteworks.

Confías en que tu organización es segura. Pero ¿puedes comprobarlo?

Leer ahora

Esta paradoja refleja el estado actual de la seguridad empresarial. Mientras la IA ayuda a reducir el tiempo de detección de brechas en 80 días, al mismo tiempo crea enormes vulnerabilidades nuevas que la mayoría de las organizaciones no pueden ver, mucho menos controlar. Los incidentes de Shadow AI ya representan el 20% de todas las brechas, y el 27% de las organizaciones reporta que más del 30% de sus datos procesados por IA contienen información confidencial, desde registros de clientes hasta secretos comerciales.

Quizá lo más alarmante: solo el 17% de las empresas cuenta con controles técnicos capaces de evitar que los empleados suban datos confidenciales a herramientas públicas de IA. El 83% restante depende de sesiones de capacitación, correos de advertencia o simplemente no hace nada. Las organizaciones se encuentran atrapadas en una peligrosa brecha entre la rápida adopción de IA y la implementación de seguridad, generando riesgos de cumplimiento y seguridad de datos sin precedentes que los marcos existentes no están preparados para gestionar.

Estado de las Amenazas de Seguridad de Datos Impulsadas por IA

Epidemia de Shadow AI

La diferencia entre IA autorizada y no autorizada se ha convertido en uno de los factores de seguridad más críticos. La investigación de IBM revela que las brechas de Shadow AI cuestan $670,000 más que el promedio—$4.63 millones frente a $3.96 millones para incidentes estándar. Más preocupante aún, estos incidentes representan el 20% de todas las brechas, en comparación con solo el 13% de los sistemas de IA autorizados.

Los patrones de exposición de datos son especialmente inquietantes. Cuando ocurren incidentes de Shadow AI, el 65% implica la filtración de información personal identificable (PII) de clientes, significativamente por encima del promedio global del 53%. Estas brechas afectan principalmente a datos almacenados en múltiples entornos (62%), lo que resalta cómo el Shadow AI crea vulnerabilidades que abarcan toda la infraestructura de la organización.

La investigación de Kiteworks aporta un contexto crucial. Con el 86% de las organizaciones sin visibilidad sobre los flujos de datos de IA, la empresa promedio aloja sin saberlo 1,200 aplicaciones no oficiales que crean superficies de ataque potenciales. Más alarmante aún, el 52% de los empleados usa activamente aplicaciones OAuth de alto riesgo que pueden acceder y extraer datos de la empresa. Esta proliferación de Shadow IT significa que incluso las organizaciones que afirman tener una gobernanza integral de IA probablemente tienen más de mil puertas traseras que desconocen.

La Ilusión de la Gobernanza

Quizá en ningún otro ámbito la desconexión entre percepción y realidad es tan marcada como en la gobernanza de IA. Mientras el 33% de los ejecutivos afirma tener un seguimiento integral del uso de IA, una investigación independiente de Deloitte muestra que solo el 9% cuenta con sistemas de gobernanza funcionales. El análisis de Gartner es aún más contundente: apenas el 12% de las organizaciones tiene estructuras dedicadas de gobernanza de IA.

Esta brecha de exceso de confianza—donde las empresas sobrestiman sus capacidades más de tres veces—se traduce en fallos reales de seguridad. IBM encontró que el 63% de las organizaciones que sufrieron brechas carecen por completo de políticas de gobernanza de IA. Entre quienes experimentaron brechas relacionadas con IA, un asombroso 97% no tenía controles de acceso adecuados. Incluso la higiene de seguridad básica brilla por su ausencia: solo el 32% de las organizaciones realiza auditorías regulares de modelos de IA.

Las implicaciones se sienten en todo el ecosistema de seguridad. Sin gobernanza, las organizaciones no pueden rastrear qué sistemas de IA procesan datos sensibles, no pueden aplicar políticas de seguridad coherentes ni demostrar cumplimiento en auditorías. Básicamente, operan a ciegas convencidas de que tienen visibilidad total.

Puntos Clave

  1. Las Brechas de Shadow AI Cuestan $670K Más Que los Incidentes Regulares

    Los incidentes de Shadow AI ya representan el 20% de todas las brechas y tienen un costo devastador de $4.63 millones frente a $3.96 millones de las brechas estándar. Con la empresa promedio alojando 1,200 aplicaciones no autorizadas y el 86% de las organizaciones sin visibilidad sobre los flujos de datos de IA, es probable que estos costosos incidentes ya estén ocurriendo sin ser detectados.

  2. Solo el 17% de las Empresas Puede Realmente Detener la Subida de Datos a la IA

    Mientras el 83% de las organizaciones depende de capacitaciones, correos de advertencia o simples deseos, solo el 17% ha implementado controles técnicos que bloquean automáticamente la subida no autorizada de datos a plataformas de IA. Este teatro de seguridad deja a las empresas expuestas a una hemorragia diaria de datos, con el 27% reportando que más del 30% de sus datos procesados por IA contienen información confidencial.

  3. Todas las Industrias Fallan por Igual en la Seguridad de IA

    El sector salud viola la ley HIPAA con solo un 35% de visibilidad sobre IA, los servicios financieros muestran alta conciencia pero igualan el menor nivel de implementación de controles técnicos con un 16%, e incluso las empresas tecnológicas que venden soluciones de seguridad de IA no pueden proteger sus propios datos. Ningún sector ha encontrado refugio seguro, con aproximadamente el 17% de las organizaciones en cada industria admitiendo que no tienen idea de qué datos comparten sus empleados con la IA.

  4. La Exposición de Credenciales Crea una Bomba de Tiempo de 94 Días

    Los empleados comparten rutinariamente nombres de usuario, contraseñas y tokens de acceso con asistentes de IA, creando puertas traseras que tardan una mediana de 94 días en ser remediadas. Sumando los 15,000 “usuarios fantasma” promedio por organización y vulnerabilidades de plataformas como las más de 25,000 carpetas sensibles expuestas por Microsoft 365 Copilot, las organizaciones enfrentan riesgos de acceso persistentes que ni siquiera pueden medir.

  5. La Seguridad de IA Aporta $1.9 Millones en Ahorro por Brecha—Si la Usas

    Las organizaciones que usan IA y automatización de forma intensiva reducen los costos de brecha a $3.62 millones frente a $5.52 millones de quienes no la usan, además de reducir el tiempo de detección en 80 días. La ironía es clara: la misma IA que genera nuevas vulnerabilidades también ofrece la mejor defensa, pero las empresas deben implementar controles técnicos reales en lugar de confiar en medidas dependientes de personas que no funcionarán esta vez.

Evolución de los Vectores de Ataque

Los vectores de ataque tradicionales no han desaparecido—han evolucionado. El phishing sigue siendo el principal vector inicial en el 16% de las brechas, con un costo promedio de $4.8 millones. Pero el panorama ha cambiado radicalmente. La IA generativa ha reducido el tiempo necesario para crear un correo de phishing convincente de 16 horas a solo 5 minutos, permitiendo a los atacantes operar a una escala y sofisticación sin precedentes.

Los datos de IBM revelan que el 16% de las brechas ahora involucran ataques impulsados por IA, con el phishing generado por IA representando el 37% de estos incidentes. El riesgo en la cadena de suministro, que a menudo implica sistemas de transferencia de archivos e integraciones con terceros, representa el 15% de las brechas con un costo promedio de $4.91 millones. Estos ataques en la cadena de suministro son los que más tiempo tardan en detectarse y contenerse—267 días en promedio—porque explotan relaciones de confianza entre organizaciones y sus proveedores.

La convergencia de capacidades de IA y métodos de ataque tradicionales crea un efecto multiplicador. Los atacantes usan IA para mejorar la recopilación de información, diseñar campañas de ingeniería social más creíbles e identificar vulnerabilidades más rápido de lo que los defensores pueden corregirlas. Mientras tanto, las mismas herramientas de IA que las organizaciones adoptan para ganar eficiencia se convierten en nuevas superficies de ataque.

Exposición de Datos: La Nueva Normalidad

Crisis de Clasificación

Los tipos de datos en riesgo muestran un panorama preocupante de lo que las organizaciones pueden perder. El análisis de IBM indica que la PII de clientes domina los incidentes de brecha con un 53%, costando $160 por registro comprometido. La PII de empleados sigue con el 37% de las brechas ($168 por registro), mientras que la propiedad intelectual—aunque solo se ve comprometida en el 33% de los incidentes—tiene el costo más alto con $178 por registro.

El análisis sectorial de Kiteworks revela cuán extendida está esta exposición. El sector tecnológico lidera con el 27% de las empresas informando que más del 30% de sus datos procesados por IA son privados o sensibles. Salud, finanzas e industria le siguen de cerca con un 26% cada uno. Incluso el sector legal, cuya existencia depende de la confidencialidad, muestra que el 23% de las firmas procesan niveles extremos de datos sensibles a través de herramientas de IA.

Lo más preocupante es la naturaleza universal del problema. Aproximadamente el 17% de las organizaciones en todos los sectores admite abiertamente que no tiene idea de cuántos datos sensibles comparten sus empleados con plataformas de IA. Esto no se limita a empresas desprevenidas o sectores específicos—es una epidemia que afecta desde agencias gubernamentales hasta firmas de ciencias de la vida.

Vulnerabilidades por Ubicación de Almacenamiento

El lugar donde residen los datos impacta significativamente tanto en los costos de brecha como en los tiempos de detección. La investigación de IBM demuestra diferencias claras: las brechas que involucran datos almacenados en múltiples entornos promedian $5.05 millones—el costo más alto de cualquier configuración. Las brechas en nubes privadas cuestan $4.68 millones, los incidentes en nubes públicas promedian $4.18 millones, mientras que las brechas en entornos locales son relativamente menores con $4.01 millones.

Estas diferencias de costo se correlacionan directamente con la complejidad de detección. Las brechas entre entornos tardan 276 días en identificarse y contenerse—59 días más que los incidentes en instalaciones locales. Las brechas en nubes privadas requieren 247 días, mientras que los incidentes en nubes públicas promedian 251 días. El patrón es claro: a medida que los datos se dispersan en múltiples plataformas, los equipos de seguridad pierden visibilidad y control, lo que lleva a periodos de exposición más largos y mayores costos.

El desafío se intensifica con la entrada de la IA. Los incidentes de Shadow AI afectan principalmente a datos almacenados en múltiples entornos y nubes públicas (62%), según Kiteworks. Esto crea la tormenta perfecta donde las configuraciones más difíciles de asegurar enfrentan el mayor riesgo por herramientas de IA sin control.

Bomba de Tiempo de Credenciales

La exposición de credenciales representa un aspecto especialmente peligroso de los riesgos relacionados con IA. Kiteworks descubrió que los empleados comparten rutinariamente nombres de usuario, contraseñas y tokens de acceso con asistentes de IA para “agilizar flujos de trabajo”. Cada credencial expuesta se convierte en una posible puerta trasera a los sistemas de la empresa, con un tiempo medio de remediación de 94 días—más de tres meses de acceso abierto para posibles atacantes.

El alcance de esta exposición es abrumador. Las organizaciones promedian 15,000 “usuarios fantasma”—cuentas obsoletas pero habilitadas que mantienen acceso total al sistema. Si sumamos 176,000 identidades externas inactivas en la empresa típica, la superficie de ataque se vuelve enorme. Estas credenciales inactivas, al compartirse con sistemas de IA, generan vulnerabilidades persistentes que pueden ser explotadas mucho después de que un empleado se vaya o termine el contrato de un proveedor.

Los riesgos específicos de cada plataforma agravan el peligro. La investigación de Varonis muestra que el 90% de las organizaciones tiene archivos sensibles expuestos a través de Microsoft 365 Copilot, con un promedio de más de 25,000 carpetas sensibles accesibles para cualquiera que haga la consulta adecuada. En entornos de Salesforce, el 100% de las implementaciones tiene al menos una cuenta capaz de exportar todos los datos. Estas no son vulnerabilidades teóricas—son puntos de exposición activos donde una sola consulta mal planteada puede revelar años de información confidencial.

Cumplimiento: El Tsunami Regulatorio

Aceleración de la Aplicación

El panorama regulatorio ha cambiado drásticamente. Las agencias estadounidenses emitieron 59 regulaciones de IA en 2024—más del doble que el año anterior. A nivel global, 75 países aumentaron la legislación sobre IA en un 21%. Sin embargo, a pesar de este auge regulatorio, solo el 12% de las empresas incluye las violaciones de cumplimiento entre sus principales preocupaciones sobre IA, según Kiteworks. Esta desconexión entre la aceleración regulatoria y la conciencia organizacional crea una bomba de tiempo de cumplimiento.

Las estadísticas de multas de IBM subrayan la realidad financiera. Entre las organizaciones que sufrieron brechas, el 32% pagó multas regulatorias, y el 48% de estas superaron los $100,000. Una cuarta parte de las organizaciones pagó multas superiores a $250,000, siendo las empresas estadounidenses las que enfrentan las sanciones más altas—un factor clave en los costos récord de las brechas en EE. UU.

El desafío de cumplimiento va más allá de las multas. Las organizaciones enfrentan daños reputacionales, restricciones operativas y posible responsabilidad penal para los ejecutivos. Cada día de incumplimiento aumenta el riesgo, especialmente a medida que los reguladores desarrollan métodos de detección más sofisticados y acuerdos de intercambio de información.

Violaciones Específicas de Cumplimiento

Las prácticas actuales de IA violan disposiciones regulatorias específicas a diario. El GDPR Artículo 30 exige mantener registros de todas las actividades de procesamiento—imposible cuando las organizaciones no pueden rastrear las subidas a IA. La Sección 1798.130 de la CCPA obliga a poder rastrear y eliminar información personal a solicitud, pero las empresas no saben en qué sistemas de IA está su información.

Los requisitos de la HIPAA bajo § 164.312 exigen registros de auditoría completos para todo acceso a información de salud protegida electrónica (ePHI). Esto se vuelve inalcanzable con el Shadow AI, donde los trabajadores de la salud comparten datos de pacientes a través de dispositivos personales y aplicaciones no autorizadas. De igual forma, el cumplimiento SOX exige controles sobre datos financieros que el uso de IA pasa por alto cuando los empleados pegan resultados trimestrales en ChatGPT para su análisis.

La brecha de auditoría se vuelve crítica cuando se combina con fallos en la gestión de identidades. Con el 60% de las empresas sin visibilidad sobre su uso de IA, no pueden responder a solicitudes de datos de clientes, demostrar cumplimiento en auditorías ni investigar brechas. Solo el 10% de las empresas ha etiquetado correctamente sus archivos—un requisito fundamental para el Artículo 5 del GDPR y la Regla de Privacidad de HIPAA. Sin una clasificación de datos adecuada, las organizaciones no pueden demostrar procesamiento legítimo, responder a solicitudes de eliminación ni probar que han protegido la información sensible según su nivel de riesgo.

Paradojas Sectoriales: Sin Refugio Seguro

La Peligrosa Ilusión del Sector Salud

Las organizaciones de salud enfrentan quizá la contradicción más marcada entre requisitos y realidad. La ley HIPAA exige rastrear el 100% de los accesos a datos de pacientes, pero solo el 35% de las organizaciones de salud puede ver su uso de IA. Cada consulta a ChatGPT no rastreada que contenga información de pacientes viola la ley federal, generando una enorme exposición a responsabilidades.

Los datos de Varonis añaden otra capa de preocupación: el 90% de las organizaciones de salud tiene información de salud protegida (PHI) expuesta a través de copilotos de IA, con un promedio de más de 25,000 carpetas sin protección que contienen datos sensibles de pacientes. A pesar de estas vulnerabilidades, solo el 39% de los ejecutivos del sector salud reconoce la IA como una amenaza de seguridad—el nivel de conciencia más bajo de cualquier industria.

Esta complacencia tiene un precio alto. Las brechas en salud cuestan en promedio $7.42 millones y tardan 279 días en resolverse—más de cinco semanas por encima del promedio global. Las organizaciones encargadas de datos vitales operan con menos seguridad que tiendas minoristas, creando una paradoja donde los datos más críticos reciben la menor protección.

La Brecha Entre Conocimiento y Acción en Servicios Financieros

Bancos y firmas de inversión muestran la mayor diferencia entre conciencia y acción. Son los más preocupados por las filtraciones de datos con un 29%, pero igualan el menor nivel de implementación de controles técnicos con solo un 16%. A pesar de manejar números de cuenta, transacciones y registros financieros, el 39% admite enviar datos privados sustanciales a herramientas de IA.

Esta desconexión se refleja en costos de brecha que promedian $5.56 millones para servicios financieros—muy por encima del promedio global. Las instituciones financieras conocen los riesgos: entienden los requisitos regulatorios, enfrentan estrictos mandatos de cumplimiento y operan bajo alta supervisión. Sin embargo, eligen la rapidez y la comodidad por encima de la seguridad, creyendo que pueden gestionar el riesgo con políticas y procedimientos en vez de controles técnicos.

Crisis de Credibilidad en el Sector Tecnológico

La posición del sector tecnológico revela la mayor ironía. Mientras el 100% de las empresas tecnológicas desarrolla productos y servicios de IA, solo el 17% protege contra los riesgos de IA de sus propios empleados—una brecha de hipocresía del 83%. Estas mismas firmas que enseñan sobre seguridad en IA operan sin controles básicos, socavando su credibilidad cuando inevitablemente sufren brechas.

Las empresas tecnológicas reportan la tasa más alta de exposición extrema de datos, con el 27% reconociendo que más del 30% de sus datos procesados por IA son privados o sensibles. Con un costo promedio de brecha de $4.79 millones, estos incidentes dañan no solo las finanzas sino también la posición en el mercado y la confianza de los clientes. El sector que vende soluciones de seguridad de IA no puede asegurar su propio uso de IA—una crisis de credibilidad que amenaza la reputación de toda la industria.

Conexión Cadena de Suministro/Transferencia de Archivos

Efecto Multiplicador de Terceros

Las vulnerabilidades en la cadena de suministro han surgido como una debilidad crítica en la seguridad de IA. IBM informa que el compromiso de la cadena de suministro representa el 15% de las brechas con un costo promedio de $4.91 millones. Estos incidentes son los que más tiempo tardan en detectarse y contenerse—267 días—porque explotan relaciones de confianza que las herramientas de seguridad tienen dificultades para monitorear.

El riesgo de terceros se ha disparado: la participación en brechas se duplicó del 15% al 30% en solo un año. Más preocupante aún, el 44% de los ataques de día cero ahora apuntan a sistemas de transferencia de archivos gestionada—las mismas plataformas que las organizaciones usan para el intercambio de datos de IA. Cada herramienta de IA de terceros multiplica la exposición exponencialmente, creando vulnerabilidades en cascada en las redes de socios.

Problema de API/Plugins

La cadena de suministro de Shadow AI se manifiesta principalmente a través de aplicaciones, APIs y plugins comprometidos. Kiteworks encontró que el 30% de los incidentes de seguridad de IA ocurre mediante estas integraciones de terceros, generando efectos dominó en toda la organización. Estos incidentes resultan en tasas de compromiso de datos del 60% y disrupción operativa del 31%—muy por encima del impacto de los ataques directos.

La IA entregada como SaaS representa la fuente de mayor riesgo, con el 29% de los incidentes de seguridad de IA. Las organizaciones no pueden rastrear los datos que fluyen por servicios de IA de terceros, no pueden controlar cómo se procesan o almacenan, ni recuperarlos una vez compartidos. La comodidad de las soluciones de IA plug-and-play viene con hilos invisibles—cada integración puede exponer años de datos acumulados a riesgos desconocidos.

Soluciones y el Camino a Seguir

Imperativo de Priorizar la Tecnología

Los datos de costos de IBM ofrecen una dirección clara: los controles técnicos aportan mejoras de seguridad medibles. Las organizaciones que usan IA y automatización de forma intensiva ahorran $1.9 millones por brecha ($3.62 millones frente a $5.52 millones de quienes no la usan). Los enfoques DevSecOps reducen los costos en $227,000, mientras que la implementación de SIEM ahorra $212,000.

Aun así, el diagnóstico de Kiteworks es contundente: solo el 17% de las organizaciones cuenta con capacidades automatizadas de bloqueo y escaneo. El 83% restante depende de controles humanos que fallan sistemáticamente en todos los sectores. La capacitación no detiene las subidas. Las políticas no impiden el intercambio. Las advertencias no bloquean la exposición de datos. Solo los controles técnicos ofrecen protección real.

Cuatro Acciones Críticas

Las organizaciones deben tomar cuatro medidas inmediatas para enfrentar la crisis de seguridad de IA:

1. Enfrentar la Realidad Primero: Cerrar la brecha de exceso de confianza del 300% entre capacidades percibidas y reales. Auditar los patrones reales de uso de IA, no solo los marcos teóricos. Rastrear y controlar entradas con el mismo rigor que las salidas. Aceptar que los empleados ya están compartiendo datos sensibles y partir de esa realidad.

2. Implementar Controles Técnicos: Las medidas dependientes de personas han fallado en todos los sectores estudiados. El bloqueo y escaneo automatizados son la protección mínima viable ante amenazas de la era IA. Las organizaciones deben implementar controles que operen a velocidad de máquina, bloqueando subidas no autorizadas antes de que ocurra la exposición. Si no puedes detener la subida, ya perdiste.

3. Establecer Centros de Comando de Gobernanza de Datos: La seguridad fragmentada genera fallos en cascada. Las organizaciones necesitan plataformas de gobernanza unificadas que rastreen cada movimiento de datos, apliquen políticas de clasificación y mantengan registros de auditoría en todos los puntos de contacto con IA. No se trata de sumar otro panel—es crear registros forenses que satisfagan los requisitos regulatorios y permitan una adopción segura de IA.

4. Lograr Visibilidad Total: Sin saber qué datos fluyen y hacia dónde, el cumplimiento es imposible y la gestión de riesgos es ficción. El monitoreo en tiempo real de IA debe abarcar nubes, entornos locales y Shadow IT. El rastreo de linaje de datos debe cubrir desde la creación inicial hasta el procesamiento por IA y los resultados finales. Los controles específicos para Microsoft 365, Salesforce y otros sistemas principales no son opcionales—son requisitos para sobrevivir.

Conclusión: El Estado Actual Exige Acción

Los datos presentan un panorama inequívoco: las organizaciones operan en un estado de peligrosa ilusión respecto a la seguridad de IA. La combinación de adopción explosiva de IA, aumento de incidentes de seguridad y aceleración regulatoria ha creado un entorno de riesgo sin precedentes que los enfoques tradicionales de seguridad no pueden abordar.

La contaminación de modelos es permanente—cada dato sensible compartido hoy con sistemas de IA queda incrustado de formas que no se pueden revertir. El 49% de las organizaciones que planean invertir en seguridad tras una brecha (frente al 63% del año pasado) sugiere una preocupante complacencia. Solo el 45% planea invertir en soluciones de seguridad impulsadas por IA, incluso cuando los ataques con IA proliferan.

Ningún sector ha encontrado refugio seguro. Los requisitos de cumplimiento del sector salud no han evitado la exposición masiva de PHI. La conciencia en servicios financieros no ha impulsado mejores controles. La experiencia de las empresas tecnológicas no ha protegido sus propios datos. Las responsabilidades de las agencias gubernamentales no han garantizado la protección de datos ciudadanos. El fracaso universal entre sectores demuestra que la presión externa por sí sola no generará los cambios necesarios.

Los hallazgos revelan no una crisis futura sino una realidad presente. Con el 83% de las organizaciones sin controles técnicos básicos, el 27% filtrando datos sensibles a sistemas de IA y el 97% de las organizaciones con brechas de IA operando sin controles de acceso adecuados, la pregunta no es si ocurrirán incidentes, sino cuán graves serán. Las organizaciones deben reconocer que su enfoque actual—basado en confianza, capacitación y esperanza—ya ha fallado. Solo la implementación inmediata de controles técnicos, gobernanza integral y visibilidad total puede abordar la crisis de seguridad de IA que revelan estos informes.

Preguntas Frecuentes

Shadow AI se refiere a herramientas y aplicaciones de IA no autorizadas que los empleados usan sin la aprobación o supervisión de TI. Según el Informe de Costos de Brechas de Datos 2025 de IBM, las brechas que involucran Shadow AI cuestan en promedio $4.63 millones—$670,000 más que los incidentes estándar. Este mayor costo se debe a tiempos de detección más largos (247 días vs. 241 días), mayor exposición de datos en múltiples entornos (62% de los incidentes de Shadow AI) y la incapacidad de rastrear o controlar qué datos sensibles se han compartido. La investigación de Kiteworks encontró que la empresa promedio tiene 1,200 aplicaciones no oficiales que generan vulnerabilidades, con el 86% de las organizaciones completamente a ciegas sobre sus flujos de datos de IA.

La realidad es contundente: el 83% de las organizaciones carece de controles técnicos para detectar o evitar que los empleados suban datos confidenciales a plataformas de IA. Las señales de alerta incluyen: empleados hablando de herramientas de productividad de IA en reuniones, solicitudes de suscripción a herramientas de IA y datos inexplicables apareciendo en resultados generados por IA. Kiteworks halló que el 27% de las organizaciones reporta que más del 30% de sus datos procesados por IA contiene información confidencial, incluyendo registros de clientes, datos financieros y secretos comerciales. Sin herramientas de bloqueo y monitoreo automatizadas, probablemente ya estás expuesto—la pregunta es en qué medida.

El uso de IA genera violaciones inmediatas de múltiples regulaciones. El Artículo 30 del GDPR exige mantener registros de todas las actividades de procesamiento de datos—imposible si no puedes rastrear las subidas a IA. La Sección 1798.130 de la CCPA obliga a poder eliminar información personal a solicitud, pero las empresas no saben en qué sistemas de IA está su información. La HIPAA § 164.312 requiere registros de auditoría completos que el Shadow AI hace inalcanzables. IBM encontró que el 32% de las organizaciones con brechas pagó multas regulatorias, y el 48% superó los $100,000. Con 59 nuevas regulaciones de IA solo en 2024, el incumplimiento no solo es riesgoso—es costoso.

El sector salud lidera en costos de brechas con $7.42 millones por incidente, tardando 279 días en resolverse—aunque solo el 35% de las organizaciones de salud puede rastrear su uso de IA. El sector tecnológico muestra la mayor exposición de datos, con el 27% reportando que más del 30% de sus datos procesados por IA son privados o sensibles. Los servicios financieros promedian $5.56 millones por brecha a pesar de tener la mayor conciencia de riesgos. Sorprendentemente, las tasas de exposición son notablemente consistentes entre industrias—aproximadamente el 17% de las organizaciones en cada sector admite que no tiene idea de cuántos datos sensibles comparten sus empleados con plataformas de IA.

Los datos de IBM son claros: solo los controles técnicos ofrecen protección real. Las organizaciones que usan IA y automatización de forma intensiva ahorran $1.9 millones por brecha ($3.62 millones vs. $5.52 millones). Los controles efectivos incluyen el bloqueo automatizado de accesos no autorizados a IA, clasificación y escaneo de datos en tiempo real, plataformas de gobernanza unificadas que rastrean todas las interacciones con IA y registros de auditoría de calidad forense. Las medidas dependientes de personas fallan sistemáticamente—las sesiones de capacitación (usadas por el 40% de las empresas), correos de advertencia (20%) y políticas escritas (10%) no brindan protección real. El hallazgo clave: si no puedes bloquear automáticamente la subida antes de que ocurra, ya perdiste.

Recursos Adicionales

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks