La adopción de la IA aumenta los riesgos a los que deben enfrentarse los CISOs

La última edición del informe anual Voice of the CISO de Proofpoint, que analiza los principales retos, expectativas y prioridades de estos profesionales, apunta a que los CISOs están enfrentando más complicaciones y riesgos debido a la expansión de la IA.

El informe, para cuya realización se han entrevistado a 1.600 CISOs de 16 países, destaca dos tendencias: el aumento de los ciberataques está aumentando la ansiedad entre ellos y de la disposición de las empresas a pagar rescates cuando se producen incidentes; y que el auge de la IA generativa está obligando a los responsables de seguridad a equilibrar la innovación con el riesgo, a pesar de la preocupación, también en aumento, por la exposición y el uso indebido de datos.

A pesar de que las ciberamenazas son más frecuentes y diversas, los CISOs están cada vez más preocupados por la capacidad de sus organizaciones para resistir un ataque. Un 76% siente que está en riesgo de sufrir un ciberataque importante en los próximos 12 meses, porcentaje que se queda en el 59% en el caso de los españoles. Además, un 58% asegura que no está listo para responder ante este tipo de situación, un porcentaje mayor que el de los CISOs españoles, ya que solo lo aseguran un 33% de ellos.

Dos tercios de los CISOs sufrieron pérdidas de datos relevantes en el último año (el 33% en España), con incidentes provocados por personal interno como causa principal. Un 92% de ellos atribuye al menos una parte de estas pérdidas de datos a los empleados que abandonan la empresa (un 70% en España), lo que lleva a que el comportamiento humano siga siendo una vulnerabilidad crítica. Por otro lado, un 66% de los CISOs valoraría pagar un rescate para evitar fugas de datos o restaurar los sistemas.

En cuanto a la IA, es tanto una prioridad como una preocupación para los CISOs. Un 64% de ellos cree que habilitar el uso de herramientas de IA generativa es un objetivo estratégico para los próximos dos años, a pesar de las dudas que plantea para la seguridad. En España, el 39% de los CISOs están preocupados por la posible pérdida de datos de clientes a través de plataformas públicas de IA generativa.

Mientras crece su adopción, las organizaciones están pasando de la restricción a la gobernanza. Un 53% está implementando directrices para su uso, y un 51% explora defensas basadas en IA, aunque el entusiasmo el respecto ha disminuido con respecto al máximo del 84% alcanzado el año pasado.

Los CISOs de España se enfrentan a un panorama de amenazas cada vez más fragmentado. El malware, el ransomware, las amenazas internas y la apropiación de cuentas en la nube son sus principales preocupaciones. A pesar de la variedad de tácticas, la mayoría de los ataques tiene el mismo resultado: la pérdida de datos. Un 51% de los CISOs consideraría pagar un rescate para restaurar los sistemas o evitar fugas de datos, porcentaje que asciende al 84% en otros países como Canadá y México.

El 55% asegura que sus datos siguen sin estar protegidos adecuadamente. Asimismo, a medida que se acelera la IA generativa, el 55% considera ahora la protección y la gobernanza de la información como una prioridad máxima, impulsando un cambio hacia una seguridad dinámica y sensible al contexto.

Un 48% de los CISOs en España afirma que permitir un uso seguro de la IA generativa es una prioridad máxima, lo que pone de relieve un cambio de las restricciones a la gobernanza, aunque un 38% restringen por completo el uso de herramientas de IA generativa por parte de los empleados.

El error humano sigue siendo la principal vulnerabilidad en materia de ciberseguridad en 2025 en España, ya que el 49% de los CISOs españoles cita a las personas como su mayor riesgo, a pesar de que el 55% cree que los empleados entienden cuáles son las mejores prácticas de seguridad. Esta desconexión pone de relieve una brecha crítica: la concienciación por sí sola no es suficiente. Casi el 46% de las organizaciones sigue careciendo de recursos dedicados al riesgo interno para ayudar a salvar la brecha entre conocimiento y comportamiento.

La alineación entre la junta directiva y los CISOs en España se ha resentido este año, a medida que aumenta la presión sobre estos profesionales. Así, ha bajado desde un máximo del 87% en 2024 hasta el 47% este año. No obstante, la pérdida de información confidencial se convirtió en la principal preocupación de las juntas directivas tras un ciberataque, lo que indica que el ciberriesgo está ganando importancia como prioridad estratégica.

Los CISOs en España han visto aumentar la presión ante el despegue de las amenazas y la limitación de recursos. El 40% afirma enfrentarse a expectativas excesivas y el 56% dice haber experimentado o sido testigo de agotamiento en el último año. Aunque la mitad confirma que sus organizaciones han tomado medidas para protegerlos de la responsabilidad personal, el 51% siente que todavía carece de los recursos necesarios para cumplir sus objetivos de ciberseguridad.

Patrick Joyce, CISO residente global de Proofpoint, ha destacado sobre el informe que “los resultados de este año revelan una creciente desconexión entre la confianza y la capacidad de los CISOs. Aunque muchos responsables de seguridad se muestran optimistas sobre el posicionamiento de sus organizaciones, la realidad es muy diferente: el aumento de la pérdida de datos, las deficiencias en la preparación y el riesgo humano persistente siguen socavando la resiliencia. A medida que la adopción de la IA generativa acelera tanto las oportunidades como las amenazas, se pide a los CISOs que hagan más con menos, que naveguen por una complejidad sin precedentes y que sigan protegiendo lo que más importa. Está claro que el papel del CISO nunca ha sido tan crucial, ni ha estado tan presionado”.