El aumento de los ciberataques está provocando una mayor ansiedad entre los CISO

Proofpoint ha publicado su quinto informe anual Voice of the CISO en el que se analizan los principales retos, expectativas y prioridades de directores de seguridad de la información (CISO) de todo el mundo, y que destaca dos tendencias críticas: el aumento de los ciberataques está provocando una mayor ansiedad entre los CISO, además de una creciente disposición a pagar rescates cuando se producen incidentes; y, asimismo, el rápido auge de la IA generativa está obligando a los responsables de seguridad a equilibrar la innovación con el riesgo, a pesar de la creciente preocupación por la exposición y el uso indebido de los datos.

 

Aumenta la presión sobre los CISO

A medida que las ciberamenazas son más frecuentes y multifacéticas, los CISO se muestran cada vez más preocupados por la capacidad de sus organizaciones para resistir un ataque importante. En cuanto a las conclusiones globales, el 76% de los CISO se siente en riesgo de sufrir un ciberataque importante en los próximos 12 meses, y el 58% afirma no estar preparado para responder ante ello.

Dos tercios de los CISO sufrieron pérdidas de datos importantes en el último año, con incidentes provocados por personal interno encabezando la lista de causas. Según los datos de la encuesta, el 92% atribuye al menos parte de estas pérdidas de datos a los empleados que abandonan la empresa, por lo que el comportamiento humano sigue siendo una vulnerabilidad crítica. Como reflejo de la presión, el 66% de los CISO asegura que consideraría pagar un rescate para evitar fugas de datos o restaurar los sistemas, de acuerdo a las respuestas de esta encuesta.

La IA pasa a ser rápidamente una prioridad, pero también una preocupación fundamental para los CISO: el 64% de los responsables de seguridad de todo el mundo considera que habilitar el uso de herramientas de IA generativa es un objetivo estratégico para los próximos dos años, pese a que persisten las inquietudes en materia de seguridad.

En España, el 39% de los CISO expresa su preocupación por la posible pérdida de datos de clientes a través de plataformas públicas de IA generativa. Mientras se acelera su adopción, las organizaciones están pasando de la restricción a la gobernanza, con un 53% que implementa directrices de uso y un 51% que explora defensas basadas en IA, aunque el entusiasmo disminuye con respecto al máximo del 84% alcanzado el año pasado.

 

Los CISO españoles ante un panorama de amenazas fragmentado

Sobre los CISO españoles, el informe indica que, en 2025, el 59% de los CISO españoles encuestados se siente en riesgo de sufrir un ciberataque importante en los próximos 12 meses, lo que supone un ligero descenso con respecto al 61% del año pasado. Sin embargo, el 33% admite que su organización no está preparada para responder. También el 33% tuvo una pérdida importante de datos en el último año (frente al 46% en 2024), a pesar de que la mayoría de los CISO expresó su confianza en su cultura de ciberseguridad.

Los CISO de España se enfrentan a un panorama de amenazas cada vez más fragmentado, sin un riesgo dominante único: el malware, el ransomware, las amenazas internas y la apropiación de cuentas en la nube son las principales preocupaciones. A pesar de la variedad de tácticas, la mayoría de los ataques tiene el mismo resultado: la pérdida de datos. Como reflejo de lo mucho que hay en juego, el 51% de los CISO consideraría pagar un rescate para restaurar los sistemas o evitar fugas de datos, porcentaje que asciende al 84% en otros países como Canadá y México.

El 70% de los CISO españoles que sufrió pérdidas de datos afirma que los empleados que abandonaron la empresa tuvieron algo que ver, al igual que el año pasado. Pese a la adopción casi universal de herramientas de prevención de pérdida de datos, el 55% asegura que sus datos siguen sin estar protegidos adecuadamente. Asimismo, a medida que se acelera la IA generativa, el 55% considera ahora la protección y la gobernanza de la información como una prioridad máxima, impulsando un cambio hacia una seguridad dinámica y sensible al contexto.

El error humano sigue siendo la principal vulnerabilidad en materia de ciberseguridad en 2025, ya que el 49% de los CISO españoles cita a las personas como su mayor riesgo, a pesar de que el 55% cree que los empleados entienden cuáles son las mejores prácticas de ciberseguridad. Esta desconexión pone de relieve una brecha crítica: la concienciación por sí sola no es suficiente. Casi el 46% de las organizaciones sigue careciendo de recursos dedicados al riesgo interno para ayudar a salvar la brecha entre conocimiento y comportamiento.

El 39% de los CISO españoles se preocupa por la pérdida de datos de clientes a través de herramientas públicas de IA generativa, y considera que las plataformas de colaboración y los chatbots son las principales amenazas para la seguridad. A pesar de ello, el 48% afirma que permitir un uso seguro de la IA generativa es una prioridad máxima, lo que pone de relieve un cambio de las restricciones a la gobernanza. La mayoría está respondiendo con medidas de protección: el 53% implementó directrices de uso y el 51% está explorando defensas basadas en IA, aunque el entusiasmo se ha enfriado con respecto al 84% del año pasado. Casi dos de cada cinco (38%) restringen por completo el uso de herramientas de IA generativa por parte de los empleados.

La alineación entre la junta directiva y los CISO en España descendió desde un máximo del 87% en 2024 hasta el 47% este año. Aun así, la pérdida de información confidencial se convirtió en la principal preocupación de las juntas directivas tras un ciberataque, lo que indica que el ciberriesgo está ganando importancia como prioridad estratégica.

Los CISO en España continúan enfrentándose a una presión cada vez mayor ante el aumento de las amenazas y la limitación de recursos: el 40% afirma enfrentarse a expectativas excesivas y el 56% dice haber experimentado o sido testigo de agotamiento en el último año. Aunque la mitad (50%) confirma ahora que sus organizaciones han tomado medidas para protegerlos de la responsabilidad personal, el 51% nota todavía que carece de los recursos necesarios para cumplir sus objetivos de ciberseguridad.