La seguridad de la inteligencia artificial se ha convertido en un desafío de primer orden. El último Cost of Data Breach Report 2025 de IBM revela que el 13% de las organizaciones ha sufrido brechas en modelos o aplicaciones de IA, y que el 97% carecía de controles de acceso adecuados para proteger esta tecnología. La falta de medidas de supervisión está dejando expuestos datos sensibles y procesos empresariales clave, en un momento en que la IA se integra cada vez más en la operativa corporativa.
La IA, nuevo objetivo prioritario para los atacantes
Según el informe, elaborado por el Instituto Ponemon con el patrocinio de IBM, los ciberdelincuentes están identificando en los sistemas de IA un objetivo fácil y valioso. Los ataques no solo comprometen datos: en un 31% de los casos provocaron interrupciones operativas, con consecuencias directas en la continuidad del negocio.
Suja Viswesan, vicepresidenta de Productos de Seguridad y Entornos de Ejecución en IBM, señala que “la falta de controles básicos de acceso deja datos sensibles expuestos y modelos vulnerables a la manipulación”. Para la directiva, la seguridad de la IA debe ser “estructural” y acompañar el despliegue de estas tecnologías en las empresas.
El informe advierte además de que los ciberataques están adoptando la propia IA como herramienta ofensiva. Un 16% de los ataques analizados empleó inteligencia artificial, principalmente en campañas de phishing y deepfakes de suplantación.
Gobernanza insuficiente y auge de la “IA en la sombra”
El estudio identifica un vacío generalizado en la gobernanza de la IA:
- El 63% de las organizaciones que sufrieron una brecha no contaba con una política de gobernanza de IA.
- Solo un 34% de las que sí tienen políticas realizan auditorías periódicas para detectar usos indebidos.
A este déficit se suma el fenómeno de la “IA en la sombra”, es decir, el uso no autorizado de herramientas de inteligencia artificial dentro de las compañías. Una de cada cinco organizaciones sufrió una brecha vinculada a este problema, y apenas un 37% dispone de políticas activas para detectarlo y gestionarlo.
Las empresas con un uso intensivo de IA en la sombra afrontaron costes un 15% superiores a la media, además de un mayor impacto en datos personales (65% frente al 53%) y en propiedad intelectual (40% frente al 33%).
Coste de una brecha: la sanidad, el sector más castigado
El coste medio global de una brecha de datos se sitúa en 4,44 millones de dólares, lo que supone el primer descenso en cinco años. Sin embargo, en Estados Unidos alcanza un récord histórico de 10,22 millones.
Por sectores, la sanidad se mantiene como el ámbito más costoso, con un impacto medio de 7,42 millones de dólares por incidente, a pesar de haber reducido su media respecto al año anterior. Este sector tarda además casi 40 días más que la media global en contener y recuperarse de un ataque.
En paralelo, el ransomware continúa generando grandes pérdidas. El informe indica que las organizaciones que se niegan a pagar (un 63% en 2025) sufren costes elevados: 5,08 millones de media, especialmente cuando el propio atacante hace pública la brecha.
Falta de inversión en seguridad tras una brecha
Uno de los hallazgos más preocupantes es que solo el 49% de las organizaciones planea reforzar su seguridad tras un ataque, frente al 63% en 2024. Entre quienes sí invertirán, menos de la mitad contempla destinar recursos a soluciones específicas de ciberseguridad con IA.
En contraste, el estudio muestra que las compañías que integran intensivamente IA y automatización en su ciberdefensa reducen el coste medio de una brecha en 1,9 millones de dólares y acortan su ciclo de vida en 80 días.
Impacto empresarial: disrupciones y subida de precios
Más allá de los costes directos, el impacto operativo de las brechas resulta significativo: la mayoría de las organizaciones tardó más de 100 días en recuperarse. Casi la mitad reconoció haber trasladado los costes al cliente mediante subidas de precios, y un tercio declaró que estas fueron del 15% o más.
Este efecto no solo erosiona la confianza de los clientes, sino que también plantea un desafío competitivo en sectores donde la seguridad y la continuidad del servicio son factores decisivos.
Lecciones para las empresas europeas
El informe de IBM marca un punto de inflexión al incluir por primera vez un análisis específico de la seguridad de la IA, reflejando la magnitud del desafío que afrontan empresas y reguladores.
En el contexto europeo, la entrada en vigor del Reglamento de Inteligencia Artificial de la UE (AI Act) introduce obligaciones claras en materia de transparencia, supervisión y gestión de riesgos. Sin embargo, el informe revela que muchas organizaciones aún están lejos de cumplir con estos estándares.
Para las compañías españolas y europeas, las conclusiones son claras: la seguridad de la IA no puede quedar rezagada frente a su adopción. La combinación de gobernanza robusta, inversión en ciberdefensa automatizada y políticas frente a la IA en la sombra será determinante para reducir riesgos financieros, legales y reputacionales.
