Un nuevo informe de Mimecast revela que el riesgo humano ha superado a las brechas tecnológicas como el mayor desafío en ciberseguridad para las empresas. A pesar de los miles de millones invertidos en tecnologías de protección, los ciberataques continúan en aumento debido a errores humanos, el uso indebido de credenciales y la creciente sofisticación de los ataques dirigidos a las personas.
Según el informe State of Human Risk 2025, el 61% de los responsables de seguridad encuestados considera inevitable o muy probable que su empresa sufra un impacto negativo debido a un ataque a través del correo electrónico o herramientas de colaboración en 2025. El informe destaca el ciberataque a Change Healthcare en 2024, que costó a United Healthcare entre 2.3 y 2.45 mil millones de dólares tras el compromiso de credenciales de un empleado de bajo nivel mediante phishing y la falta de autenticación multifactor.
El 85% de las organizaciones ha aumentado su presupuesto en ciberseguridad en los últimos 12 meses, pero aún enfrentan desafíos para cubrir todas sus necesidades. Un 57% de los encuestados señala que se requiere más presupuesto para la contratación de personal de seguridad y servicios de terceros, mientras que el 52% lo necesita para la seguridad de herramientas de colaboración y el 47% para la seguridad del correo electrónico.
Inteligencia artificial y colaboración
El 95% de las organizaciones está utilizando IA para defenderse de ciberataques e insider threats, pero un 81% teme la filtración de datos sensibles a través de herramientas de inteligencia artificial generativa, y el 55% admite no estar completamente preparado para enfrentar amenazas impulsadas por IA.
El uso de plataformas como Slack, Teams y Zoom se ha convertido en un punto débil en la ciberseguridad empresarial. Un 44% de las organizaciones reporta un aumento en amenazas en estos entornos en 2025, mientras que el 67% considera que la seguridad nativa de estas herramientas es insuficiente. Empresas como Marriott y Disney han adoptado medidas estrictas, e incluso han restringido el uso de algunas plataformas para mitigar riesgos.
El informe revela que el 43% de los encuestados ha experimentado un aumento en amenazas internas o filtraciones de datos en los últimos 12 meses, y un 66% espera que la pérdida de datos internos aumente en el próximo año. Se estima que un incidente de fuga de datos provocado por empleados puede costar en promedio 13.9 millones de dólares.
El cambio actual: más allá de la concienciación
El informe subraya que el error humano contribuye al 95% de las brechas de seguridad, lo que indica que la simple concienciación no es suficiente para abordar el problema. Las organizaciones deben adoptar un enfoque dedicado a identificar, evaluar y mitigar estos riesgos en función del comportamiento individual de cada usuario.
Los datos de Mimecast muestran que una pequeña fracción de los empleados es responsable de la mayoría de los incidentes de seguridad: sólo el 8% de los empleados representa el 80% de los incidentes. Esto resalta la importancia de personalizar las estrategias de gestión del riesgo humano, en lugar de aplicar medidas genéricas.
A pesar de que el 87% de las organizaciones capacita a sus empleados para detectar ciberataques al menos una vez al trimestre, el 33% de los responsables de seguridad sigue temiendo errores en la gestión de amenazas por parte de los empleados, y un 27% apunta al cansancio como un factor que reduce la vigilancia.
El informe concluye que la adopción de plataformas integradas de Gestión del Riesgo Humano (HRM) se convierte en fundamental para reducir la exposición a ataques y errores humanos. Estas plataformas permiten detectar comportamientos de riesgo, prevenir acciones peligrosas y aplicar medidas correctivas en tiempo real.
