La apuesta acelerada por la inteligencia artificial está teniendo un coste inesperado. Según el estudio internacional de seguridad elaborado por Fastly junto a Sapio Research —basado en 2.000 responsables de ciberseguridad en 21 regiones—, las organizaciones que priorizan la IA tardan 6,8 meses en recuperarse de un incidente, frente a los 3,9 meses de las que no lo hacen. Es decir, 80 días más .
El informe concluye que estas compañías están pagando un “impuesto sobre la velocidad de la IA”
El sobrecoste es significativo: los incidentes resultan un 135 % más caros para las empresas “AI-first” y consumen el 3,13 % de sus ingresos anuales, frente al 1,33 % del resto. Además, el 44 % reconoce que la IA fue explotada directamente en su último incidente y un 34 % admite que contribuyó a un descuido de seguridad .
Marshall Erwin, CISO de Fastly, advierte de que el riesgo no está solo en el Shadow AI: Las herramientas de IA en sí mismas van a ser partes privilegiadas de tu infraestructura, y eso es lo que va a crear el riesgo”. El problema, apunta el estudio, es que muchas de estas herramientas operan con amplios privilegios automatizados.
El uso de IA por terceros también está encareciendo las operaciones. El 64 % de las empresas considera que el scraping impulsado por IA es ya un centro de costes relevante, con un gasto medio cercano a los 350.000 dólares anuales. Un 43 % ha visto crecer sus gastos de infraestructura y un 40 % ha sufrido interrupciones operativas.
Fallos internos, gobernanza y recuperación
Otro dato relevante: los errores de software provocaron el 40 % de los incidentes en 2025, superando a los ataques externos (39 %) . La complejidad del desarrollo y la configuración está generando vulnerabilidades estructurales.
En este contexto, Erwin subraya la importancia de anticiparse: “No puedo esperar a que alguien venga a pedirme aprobación, porque si eso ocurre, probablemente ya habrá fracasado” , en referencia a la necesidad de integrar la seguridad desde el diseño.
El 51 % de las empresas que priorizan la IA reconoce no tener claro quién lidera la respuesta ante incidentes, mientras que el 73 % señala al CISO como máximo responsable. A esto se suma que el 53 % de los equipos carece de conocimientos específicos en seguridad de IA .
A nivel global, el tiempo medio de recuperación ha bajado a 6,08 meses y las pérdidas de ingresos asociadas a incidentes han descendido al 2,68 % , en parte gracias a la inversión en revisiones postincidente y automatización.
El mensaje del estudio es claro: acelerar la innovación sin seguridad desde el diseño incrementa el coste y la exposición. En un entorno donde el 72 % prioriza la rapidez frente a la resiliencia , la diferencia estará entre quienes integren la seguridad desde el inicio y quienes intenten añadirla después.
