¿La tormenta perfecta? CISO agotados enfrentan riesgos crecientes por IA

La ansiedad entre los CISO está creciendo. Además del continuo aumento de ciberataques, y la creciente disposición a pagar rescates cuando ocurren incidentes, el rápido ascenso de la IA generativa (IAGen) los está obligando a tratar de equilibrar innovación con riesgo, pese a la creciente preocupación por la exposición y el uso indebido de datos.

Eso refleja el quinto informe anual “Voice of the CISO” de la empresa de ciberseguridad Proofpoint, que muestra cómo, a medida que las amenazas cibernéticas se vuelven más frecuentes y complejas, los CISO muestran mayor inquietud sobre la capacidad de sus organizaciones para resistir un ataque material. Por ejemplo, ocho de cada diez CISO en México consideran probable experimentar un ciberataque material en los próximos 12 meses, y más de la mitad (57 %) admite no estar preparada para responder. Debido a esta presión, 84 % de los CISO en México dicen que considerarían pagar un rescate para restaurar sistemas o prevenir filtraciones de datos, la tasa más alta a nivel global.

“Los hallazgos de este año revelan una creciente desconexión entre la confianza y la capacidad de los CISO”, dijo Patrick Joyce, Global Resident CISO en Proofpoint. “Aunque muchos líderes de seguridad expresan optimismo sobre la postura cibernética de sus organizaciones, la realidad cuenta otra historia: el aumento en la pérdida de datos, las brechas de preparación y el persistente riesgo humano siguen socavando la resiliencia”, señaló.

Luis Isselin

El reporte muestra que 42 % de los CISO en México sufrió pérdidas materiales de datos en el último año –pese a que la mayoría expresa confianza en su cultura de ciberseguridad– debido, principalmente, a ataques de compromiso externo y de terceros. Casi todos (98 %) los directores de ciberseguridad atribuyen al menos parte de la pérdida de datos a empleados que abandonan la organización, lo que confirma que el comportamiento humano sigue siendo una vulnerabilidad crítica.

De hecho, 88 % de los CISO en México señalan a las personas como su mayor riesgo, a pesar de que 82 % cree que sus empleados entienden las mejores prácticas en ciberseguridad. Esta desconexión revela una brecha crítica: la conciencia por sí sola no es suficiente. Un 14 % de las organizaciones carecen de recursos dedicados a riesgos internos que ayuden a cerrar la brecha entre conocimiento y comportamiento.

La IA generativa dispara los riesgos

Con respecto al impacto de la inteligencia artificial (IA), el tema se ha convertido rápidamente en una prioridad y preocupación clave para los CISO en México:

• Por un lado, 81 % afirma que habilitar el uso seguro de herramientas de IAGen es una prioridad estratégica para los próximos dos años.
• Por otro, casi tres de cada cinco (58 %) CISO en México temen una posible pérdida de datos de clientes a través de plataformas públicas de IAGen, aunque las plataformas de colaboración y los chatbots con IA son vistos como las principales amenazas de seguridad.

Conforme se acelera la adopción de la IA, las organizaciones mexicanas están transitando de la restricción hacia la gobernanza, con 84 % que ya implementa lineamientos de uso y 87 % explorando defensas impulsadas por IA. No obstante, un 61 % ha elegido restringir por completo el uso de IAGen por parte de los empleados.

“Las organizaciones mexicanas están atravesando un momento clave en el que la innovación y el riesgo coexisten. La IA generativa está transformando cómo operan, colaboran y se defienden las empresas, pero también introduce nuevas vulnerabilidades en torno a la protección y el uso indebido de los datos”, comentó Luis Isselin, country manager para México en Proofpoint. “En México, estamos observando un impulso alentador hacia una gobernanza responsable de la IA, donde los CISO equilibran la necesidad de innovar con el deber de proteger”.

Patrick Joyce fue contundente: “Conforme la adopción de IAGen acelera tanto las oportunidades como las amenazas, los CISO enfrentan mayor presión con menos recursos, deben navegar una complejidad sin precedentes y aun así proteger lo que más importa. Es claro que el rol del CISO nunca ha sido tan crucial… ni tan exigente”.

El informe “Voice of the CISO 2025” encuestó a 1.600 CISO en 16 países durante el primer trimestre de 2025, entre los cuales estuvieron Estados Unidos, Canadá, Brasil y México.

Otros hallazgos del informe de Proofpoint

• Los ataques llegan desde todos los flancos: El panorama de amenazas está cada vez más fragmentado: ransomware, secuestro de cuentas en la nube, fraudes por correo electrónico y malware encabezan las preocupaciones de los CISO. Pero la mayoría de los ataques derivan en el mismo resultado: pérdida de datos.
• Proliferan los datos y hay que asegurarlos: Pese a la adopción universal de herramientas de prevención de pérdida de datos (DLP), 19 % de CISO considera que su información sigue insuficientemente protegida. Debido a la IAGen, 86 % ubica la protección y gobernanza de la información como prioridad principal, impulsando el cambio hacia una seguridad dinámica y basada en contexto.
• La junta directiva tiene mayor conciencia de ciberseguridad: 79 % de los CISO en México afirma que su consejo de administración comparte su visión sobre ciberseguridad. La valuación del negocio, el daño reputacional, la pérdida de información sensible y las interrupciones significativas son las principales preocupaciones de los consejos después de un ciberataque, y el riesgo cibernético gana tracción como prioridad estratégica.
• Aumenta la presión sobre los CISO: 87 % de CISO reporta expectativas excesivas y 81 % asegura haber experimentado o presenciado agotamiento en el último año. Aunque 81 % señala que sus organizaciones han tomado medidas para protegerlos de responsabilidad personal, 22 % aún siente que carece de los recursos necesarios para cumplir sus metas de ciberseguridad.