Una infracción cibernética en Estados Unidos cuesta ahora un promedio de 10,22 millones de dólares, pero la cifra en sí es parte de la advertencia. More important is what it reveals about how organizations are managing risk.
Durante demasiado tiempo, el riesgo cibernético se ha considerado un problema técnico que deben resolver los equipos técnicos, pero esa posición es cada vez más difícil de defender. Las empresas más afectadas por los incidentes cibernéticos son aquellas que carecen de visibilidad, gobernanza y responsabilidad para responder en momentos de tensión.
Según un estudio reciente de IBM, el costo promedio de una violación de datos en los Estados Unidos es el más alto de cualquier región del mundo. Al mismo tiempo, los datos del FBI apuntan a decenas de miles de denuncias de delitos cibernéticos al año, con pérdidas de miles de millones.
Una proporción cada vez mayor de empresas también está divulgando formalmente incidentes: una encuesta de 2025 sugiere que el 76% informó infracciones o posibles infracciones a las autoridades.
La dirección a seguir es muy clara: los incidentes cibernéticos son cada vez más costosos, más visibles y más difíciles de contener. Los equipos de liderazgo deben preguntarse si pueden demostrar que tienen el control antes de que un incidente obligue a esa conversación.
Los costos dependen de algo más que el ataque en sí
El impacto financiero de una infracción depende de cuánto tiempo la organización permanece expuesta y con qué confianza puede demostrar que se implementaron los controles adecuados.
En promedio, se necesitan 241 días para detectar y contener una infracción; este ciclo de vida extendido crea un largo período de incertidumbre donde las interrupciones operativas, las obligaciones regulatorias, el impacto en el cliente y el daño a la reputación comienzan a agravarse.
Aquí es donde se hace evidente la diferencia entre actividades de seguridad y operaciones comerciales. Dos empresas pueden enfrentar ataques similares, pero resultados muy diferentes.
Uno puede detectar la infracción internamente, escalar rápidamente y responder de manera controlada, mientras que otro solo puede darse cuenta cuando un atacante, cliente, socio o regulador fuerza el problema públicamente.
Esta brecha se reduce a si los riesgos se entendieron de antemano y si la empresa contaba con un marco de protección para responder bajo presión.
La exposición no es aleatoria
La exposición a la ciberdelincuencia varía significativamente entre organizaciones, estados y sectores, pero no es aleatoria. Industries such as healthcare, financial services and technology carry high risks due to the volume and sensitivity of the data they handle.
Sin embargo, están surgiendo algunos riesgos más complejos más allá de los objetivos obvios de precios elevados. El compromiso de la cadena de suministro es ahora uno de los vectores de ataque más costosos porque una única vulnerabilidad en un sistema de terceros puede tener consecuencias para múltiples empresas.
En un entorno empresarial cada vez más conectado, la exposición a menudo se sitúa fuera de las cuatro paredes de la empresa.
El phishing también sigue siendo una de las rutas más persistentes, y los ataques son cada vez más dirigidos, más creíbles y más difíciles de detectar a escala, especialmente donde hay una visibilidad limitada de las personas, los procesos y los puntos de acceso de terceros.
Cuando se combinan estos factores, la exposición comienza a parecer un reflejo de cómo se crea, controla y controla una organización.
La IA está cerrando la brecha en la gobernanza
La IA está cambiando ambos lados de la ecuación del riesgo cibernético. Para los atacantes, esto hace que los métodos conocidos sean más efectivos. Alrededor del 16% de las infracciones ahora implican el uso de IA, generalmente para aumentar los ataques de phishing e ingeniería social, reduciendo las barreras para hacerlos más creíbles y personalizados.
Para las empresas, el riesgo es igualmente interno. Las herramientas de IA se están adoptando rápidamente, a menudo por parte de equipos que buscan mejorar la productividad o acelerar la toma de decisiones. El problema es que la adopción suele ser más rápida que la supervisión.
El informe destaca que el 63% de las empresas aún carecen de políticas formales de gobernanza para la IA y, cuando se producen infracciones relacionadas con la IA, la mayoría involucra sistemas sin controles de acceso adecuados.
Hay un patrón familiar aquí. Al igual que con la adopción de la nube hace una década, las empresas se están moviendo rápidamente para aprovechar los beneficios de una nueva tecnología, mientras que los controles necesarios para gestionar sus riesgos aún se están poniendo al día. El resultado es una brecha cada vez mayor entre quienes experimentan con la IA y quienes pueden demostrar cómo se utiliza.
La gobernanza se está convirtiendo en la línea divisoria
Las empresas que gestionan las infracciones de forma más eficaz realizan el trabajo antes de que ocurran. Entienden dónde están sus riesgos, saben quién es el propietario de ellos y han definido procesos de crecimiento y recuperación. Igual de importante es que pueden proporcionar evidencia de esa estructura cuando los clientes, los reguladores o las aseguradoras hacen preguntas difíciles.
Es por eso que los marcos acreditados como ISO 27001 son cada vez más importantes, lo que obliga a las empresas a adoptar un enfoque sistemático en materia de riesgo, gobernanza y responsabilidad. Crean una línea de base que puede revisarse y probarse con el tiempo.
Esta distinción es importante tanto desde el punto de vista operativo como comercial. Alrededor del 86% de las organizaciones afectadas informan interrupciones operativas después de una infracción y, en muchos casos, esa interrupción afecta directamente los ingresos, la prestación de servicios y la confianza del cliente.
Para las empresas que pueden demostrar buenas prácticas, estructuras de gobernanza sólidas están abriendo puertas, particularmente en sectores regulados y cadenas de suministro complejas. Crea más fricción y corre el riesgo de perder oportunidades para quienes no pueden hacerlo.
El cumplimiento es ahora parte de la resiliencia empresarial
En algunas empresas todavía existe una tendencia a tratar el cumplimiento como un ejercicio administrativo, pero esa visión se está volviendo obsoleta rápidamente. Hoy en día, el cumplimiento se está convirtiendo en una forma para que las empresas demuestren que gestionan el riesgo de forma coherente. Aporta pruebas de las estructuras de toma de decisiones, la responsabilidad de la propiedad y las afirmaciones de buenas prácticas.
Esto es especialmente importante a medida que el riesgo cibernético se vuelve más visible para los inversores, clientes y reguladores. Una empresa puede tener controles técnicos estrictos, pero si no puede demostrar cómo se operan, revisan y mantienen esos controles, tendrá dificultades para generar confianza cuando aumente el escrutinio.
La capacidad de controlar la evidencia se está volviendo tan importante como el control.
Una visión más realista del riesgo cibernético
La geografía juega un papel en la exposición al cibercrimen, pero no es el factor principal. Las diferencias en gobernanza, inversión, enfoque de liderazgo y disciplina operativa moldean la forma en que las empresas experimentan y gestionan el riesgo cibernético.
This means exposure can be reduced, but only when the leadership team understands where the risk actually sits and what is needed to manage it. El error es asumir que la resiliencia cibernética se puede lograr únicamente a través de la tecnología. La tecnología es esencial, pero no demuestra propiedad, procesos de prueba, alineación del equipo o responsabilidad; la gobernanza sí lo hace.
Para los equipos de liderazgo, el punto de partida es saber dónde radica el riesgo, cómo podría materializarse y cuál será el impacto potencial en el negocio. A partir de ahí, el desafío es establecer estructuras con propiedad y supervisión que les permitan operar con transparencia bajo presión.
Las empresas que navegan bien por los acontecimientos están preparadas para el momento antes de que llegue. Esta preparación se refleja en decisiones rápidas, responsabilidades claras y una recuperación más controlada.
La escala del delito cibernético en Estados Unidos seguirá aumentando, pero la diferencia en el impacto seguirá reduciéndose a qué tan bien se gestionó la organización antes de demostrar su valía.
Hemos presentado el mejor software de seguridad para terminales
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
