El auge del software como servicio (SaaS) está transformando la forma de operar de las organizaciones, pero también está ampliando la superficie de ataque y dejando al descubierto importantes carencias en protección de datos. Así lo refleja el “State of SaaS Resilience Report 2025” de HYCU, basado en una encuesta global a 500 responsables de TI y negocio.
El estudio confirma que el 96 % de las compañías ha aumentado el uso de aplicaciones SaaS en los últimos tres años, con una media de 139 soluciones activas por organización. En sectores como IT o retail la cifra es aún mayor. Sin embargo, la expansión no siempre va acompañada de planes adecuados de seguridad y resiliencia.
El 65 % de las empresas encuestadas sufrió una brecha relacionada con aplicaciones SaaS en los últimos doce meses. Además, el informe señala que cuantas más aplicaciones utilizan las organizaciones, mayor es la probabilidad y gravedad de los incidentes.
El coste tampoco es menor: la media de pérdidas por interrupción se sitúa en 405.770 dólares diarios, con un tiempo de recuperación de cinco días, lo que eleva el impacto a 2,3 millones de dólares por incidente. A ello se suman daños reputacionales, pérdida de confianza y posibles sanciones regulatorias.
Falta de control y responsabilidades difusas
Uno de los grandes problemas identificados es la falta de claridad sobre quién debe garantizar la protección de los datos. El 66% de los encuestados cree que la responsabilidad recae en los proveedores de SaaS, aunque más de la mitad admite no confiar plenamente en su capacidad de protección.
De hecho, el 43 % asegura que “nadie” en su organización asume realmente la propiedad de la seguridad en SaaS, lo que genera vacíos de responsabilidad y aumenta la exposición. Además, solo el 30% de las organizaciones realiza copias de seguridad con políticas definidas y apenas un 25% lleva a cabo pruebas de resiliencia en sus aplicaciones críticas.
Aplicaciones bajo la lupa
El informe recoge también testimonios de directivos que señalan a plataformas como Salesforce, GitHub, Microsoft 365, Google Workspace o Slack como las más críticas. El motivo: su fuerte integración en procesos de negocio y el volumen de datos sensibles que gestionan.
Un directivo del sector IT lo resumía así: “Salesforce CRM y nuestras plataformas de colaboración plantean los mayores riesgos de seguridad. Manejan datos sensibles, tienen amplios accesos y capacidades de integración. Las configuraciones erróneas o controles de acceso débiles son vectores de ataque evidentes”.
HYCU concluye que la resiliencia en entornos SaaS sigue siendo insuficiente, fragmentada y poco alineada con el actual panorama de riesgos. Para avanzar, propone adoptar enfoques más unificados, automatizados y proactivos que reduzcan la dependencia de mecanismos nativos de recuperación y refuercen la gobernanza interna.
