Proofpoint revela que 84% de los CISO pagaría rescate y factor humano es la principal vulnerabilidad

ciberseguridadCisoLuis Isselin
Jorge Bravo

La ciberseguridad corporativa enfrenta el eterno riesgo humano y la proliferación de datos impulsada por la Inteligencia Artificial (IA). Según el informe Voice of the CISO 2025 de Proofpoint, dos tercios (66%) de las organizaciones a nivel mundial reportaron haber sufrido una pérdida de información sensible en los últimos 12 meses, una escalada significativa desde el 46% del año anterior. 

Sin embargo, la cifra más impactante es la alta predisposición a ceder ante el cibercrimen. La presión sobre los directores de seguridad de la información (CISOs) en México alcanza niveles sin precedentes: 84% de ellos reconoció que su organización estaría dispuesta a pagar un rescate en caso de sufrir un ataque de ransomware, pese a que esa decisión incentiva la actividad criminal y no garantiza la recuperación de los datos. 

Así lo revela el estudio Voice of the CISO 2025 de Proofpoint, presentado por Luis Isselin, Country Manager de la compañía en México, quien advierte que “el reto ya no es evitar ser atacado, sino minimizar el impacto cuando ocurra”.

El informe (basado en entrevistas a 1,600 CISOs en 16 países) muestra que la confianza y la preocupación coexisten en el entorno corporativo mexicano. Mientras 78% considera que cuenta con recursos adecuados para sus estrategias de ciberseguridad, 87% reconoce estar bajo una presión constante y 82% siente responsabilidad personal cuando su empresa sufre un incidente. 

“El atacante sólo necesita acertar una vez; el CISO tiene que acertar siempre”, resumió Isselin durante la presentación del documento.

En México, el ransomware (55%) encabeza la lista de amenazas más temidas, seguido por la usurpación de cuentas en la Nube (42%), el fraude por correo electrónico (41%), el malware (41%) y los ataques a la cadena de suministro (32%). 

A pesar de la adopción generalizada de soluciones de prevención de fuga de datos, uno de cada cinco CISOs admite no sentirse completamente protegido. Los costos de recuperación, las sanciones regulatorias y los daños reputacionales son las principales consecuencias de los incidentes.

Isselin subrayó que el reto no es sólo técnico, también de gobernanza y de gestión de datos dispersos en múltiples entornos Cloud. “Las organizaciones mexicanas pueden tener información en hasta siete Nubes distintas como AWS, Azure, Snowflake o Databricks. Identificar dónde están las joyas de la corona y cómo protegerlas se ha vuelto un desafío de alta complejidad”, advirtió.

El factor humano: el eslabón más débil

El estudio confirma que el error humano sigue siendo la mayor vulnerabilidad, según 88% de los CISOs mexicanos. Además, 98% de los incidentes de riesgo interno involucran empleados que están por abandonar la organización. 

Este comportamiento, muchas veces intencional, puede derivar en robo de propiedad intelectual o datos confidenciales. “La concientización digital y los simulacros internos son claves para construir una cultura de seguridad, no sólo un perímetro tecnológico”, señaló Isselin.

La irrupción de la Inteligencia Artificial Generativa es el nuevo frente de batalla. Tres de cada cinco CISOs en México temen la pérdida de datos de clientes a través de herramientas públicas como ChatGPT, Copilot o Gemini. En respuesta, 61% de las organizaciones ha restringido su uso, aunque 84% planea implementar IA de forma segura. 

El Country Manager de Proofpoint aclara que “no se trata de frenar la transformación digital, sino de habilitarla con seguridad. El CISO debe ser un facilitador, no un obstáculo”, enfatizó Isselin.

El directivo alertó sobre la expansión del “shadow AI”, el uso no autorizado de aplicaciones de Inteligencia Artificial por parte de los empleados, lo cual puede exponer información confidencial sin que la empresa lo advierta. Dijo que “no es raro que alguien suba un archivo financiero o una fórmula médica a una plataforma pública para pedirle un resumen. Desde ese momento, los datos ya son del dominio público”, ejemplificó.

Estrés, burnout y visibilidad estratégica

El Voice of the CISO 2025 revela que 87% de los CISOs mexicanos vive niveles de estrés altos, consecuencia de las expectativas desmedidas, la presión constante y la brecha de talento especializado. Sin embargo, la madurez organizacional avanza, pues 79% afirma que los Consejos de Administración comparten su visión de la ciberseguridad y 81% reporta que sus empresas los protegen ante responsabilidades personales derivadas de incidentes.

Para Isselin, el papel del CISO ha pasado de lo técnico a lo estratégico. “Ya no hablamos sólo de firewalls o antivirus; hablamos de continuidad del negocio, reputación corporativa y valor de la marca. La ciberseguridad dejó de ser un tema de IT para convertirse en un tema de gobierno corporativo”.

La prioridad: proteger a las personas

Proofpoint se enfoca en protección contra amenazas centradas en el factor humano. Explicó que la seguridad debe extenderse a tres vértices del entorno digital: personas, datos y agentes inteligentes. 

“La ciberseguridad se centraba en proteger personas. Con la llegada de los agentes de IA, el reto se multiplica, también hay que proteger a quienes los usan y las propias máquinas inteligentes”, concluyó Isselin.

Jorge Bravo 695 posts

Comunicólogo y estudioso especializado en medios de comunicación, telecomunicaciones, tecnologías y derecho a la información. Realiza coberturas de cumbres internacionales. Aborda los temas de legislación de medios, tecnologías y plataformas digitales, políticas públicas tecnológicas y regulación, espectro radioeléctrico, tecnologías móviles, industria culturales. Colaborador del diario El Economista y la revista Proceso. Contacto: jorge.bravo@digitalpolicylaw.com

También podría gustarte Más del autor
Más historias

DPL News Weekly

Akamai alerta que la Inteligencia Artificial agravará los ciber riesgos en 2026

Entidades brasileras presionan al Congreso por urgencia en la aprobación del régimen de Centros de Datos

1 De 3,874