Proofpoint ha publicado su quinto informe anual Voice of the CISO en el que se analizan los principales retos, expectativas y prioridades de directores de seguridad de la información (CISOs) de todo el mundo.
Este informe de 2025, para el que se encuestaron a 1.600 CISOs de 16 países, destaca dos tendencias críticas: el aumento de los ciberataques está provocando una mayor ansiedad entre los CISOs, además de una creciente disposición a pagar rescates cuando se producen incidentes; y, asimismo, el rápido auge de la IA generativa está obligando a los responsables de seguridad a equilibrar la innovación con el riesgo, a pesar de la creciente preocupación por la exposición y el uso indebido de los datos.
A medida que las ciberamenazas son más frecuentes y multifacéticas, los CISOs se muestran cada vez más preocupados por la capacidad de sus organizaciones para resistir un ataque importante. En cuanto a las conclusiones globales, el 76% de los CISOs se siente en riesgo de sufrir un ciberataque importante en los próximos 12 meses, y el 58% afirma no estar preparado para responder ante ello. Dos tercios de los CISOs sufrieron pérdidas de datos importantes en el último año, con incidentes provocados por personal interno encabezando la lista de causas. Según los datos de la encuesta, el 92% atribuye al menos parte de estas pérdidas de datos a los empleados que abandonan la empresa, por lo que el comportamiento humano sigue siendo una vulnerabilidad crítica. Como reflejo de la presión, el 66% de los CISOs asegura que consideraría pagar un rescate para evitar fugas de datos o restaurar los sistemas, de acuerdo a las respuestas de esta encuesta.
La IA pasa a ser rápidamente una prioridad, pero también una preocupación fundamental para los CISOs: el 64% de los responsables de seguridad de todo el mundo considera que habilitar el uso de herramientas de IA generativa es un objetivo estratégico para los próximos dos años, pese a que persisten las inquietudes en materia de seguridad. En España, el 39% de los CISOs expresa su preocupación por la posible pérdida de datos de clientes a través de plataformas públicas de IA generativa. Mientras se acelera su adopción, las organizaciones están pasando de la restricción a la gobernanza, con un 53% que implementa directrices de uso y un 51% que explora defensas basadas en IA, aunque el entusiasmo disminuye con respecto al máximo del 84% alcanzado el año pasado.
“Los resultados de este año revelan una creciente desconexión entre la confianza y la capacidad de los CISOs”, indica Patrick Joyce, CISO residente global de Proofpoint. “Aunque muchos responsables de seguridad se muestran optimistas sobre el posicionamiento de sus organizaciones, la realidad es muy diferente: el aumento de la pérdida de datos, las deficiencias en la preparación y el riesgo humano persistente siguen socavando la resiliencia. A medida que la adopción de la IA generativa acelera tanto las oportunidades como las amenazas, se pide a los CISOs que hagan más con menos, que naveguen por una complejidad sin precedentes y que sigan protegiendo lo que más importa. Está claro que el papel del CISO nunca ha sido tan crucial, ni ha estado tan presionado”.
Sobre los CISOs españoles, estas son las principales conclusiones de este informe para 2025:
- Confianza frente a realidad: Los CISOs se preparan para los ataques mientras aumenta la pérdida de datos y surgen deficiencias en la preparación. En 2025, el 59% de los CISOs españoles encuestados se siente en riesgo de sufrir un ciberataque importante en los próximos 12 meses, lo que supone un ligero descenso con respecto al 61% del año pasado. Sin embargo, un tercio (33%) admite que su organización no está preparada para responder. También el 33% tuvo una pérdida importante de datos en el último año (frente al 46% en 2024), a pesar de que la mayoría de los CISOs expresó su confianza en su cultura de ciberseguridad.
- Ataques desde todos los ángulos y las mismas consecuencias. Los CISOs de España se enfrentan a un panorama de amenazas cada vez más fragmentado, sin un riesgo dominante único: el malware, el ransomware, las amenazas internas y la apropiación de cuentas en la nube son las principales preocupaciones. A pesar de la variedad de tácticas, la mayoría de los ataques tiene el mismo resultado: la pérdida de datos. Como reflejo de lo mucho que hay en juego, el 51% de los CISOs consideraría pagar un rescate para restaurar los sistemas o evitar fugas de datos, porcentaje que asciende al 84% en otros países como Canadá y México.
- Los datos no salen solos por la puerta. El 70% de los CISOs españoles que sufrió pérdidas de datos afirma que los empleados que abandonaron la empresa tuvieron algo que ver, al igual que el año pasado. Pese a la adopción casi universal de herramientas de prevención de pérdida de datos, el 55% asegura que sus datos siguen sin estar protegidos adecuadamente. Asimismo, a medida que se acelera la IA generativa, el 55% considera ahora la protección y la gobernanza de la información como una prioridad máxima, impulsando un cambio hacia una seguridad dinámica y sensible al contexto.
- El problema humano persiste. El error humano sigue siendo la principal vulnerabilidad en materia de ciberseguridad en 2025, ya que casi la mitad (49%) de los CISOs españoles cita a las personas como su mayor riesgo, a pesar de que el 55% cree que los empleados entienden cuáles son las mejores prácticas de ciberseguridad. Esta desconexión pone de relieve una brecha crítica: la concienciación por sí sola no es suficiente. Casi el 46% de las organizaciones sigue careciendo de recursos dedicados al riesgo interno para ayudar a salvar la brecha entre conocimiento y comportamiento.
- ¿Amiga o enemiga? La IA como espada de doble filo. El rápido auge de la IA generativa está amplificando las preocupaciones en torno al riesgo humano. El 39% de los CISOs españoles se preocupa por la pérdida de datos de clientes a través de herramientas públicas de IA generativa, y considera que las plataformas de colaboración y los chatbots son las principales amenazas para la seguridad. A pesar de ello, el 48% afirma que permitir un uso seguro de la IA generativa es una prioridad máxima, lo que pone de relieve un cambio de las restricciones a la gobernanza. La mayoría está respondiendo con medidas de protección: el 53% implementó directrices de uso y el 51% está explorando defensas basadas en IA, aunque el entusiasmo se ha enfriado con respecto al 84% del año pasado. Casi dos de cada cinco (38%) restringen por completo el uso de herramientas de IA generativa por parte de los empleados.
- La conformidad de la junta directiva se resiente a medida que aumenta la presión sobre los CISOs. La alineación entre la junta directiva y los CISOs en España descendió desde un máximo del 87% en 2024 hasta el 47% este año. Aun así, la pérdida de información confidencial se convirtió en la principal preocupación de las juntas directivas tras un ciberataque, lo que indica que el ciberriesgo está ganando importancia como prioridad estratégica.
- Año diferente, aunque con las mismas presiones. Los CISOs en España continúan enfrentándose a una presión cada vez mayor ante el aumento de las amenazas y la limitación de recursos: el 40% afirma enfrentarse a expectativas excesivas y el 56% dice haber experimentado o sido testigo de agotamiento en el último año. Aunque la mitad (50%) confirma ahora que sus organizaciones han tomado medidas para protegerlos de la responsabilidad personal, el 51% nota todavía que carece de los recursos necesarios para cumplir sus objetivos de ciberseguridad.
“La IA ha pasado de ser un concepto a un elemento fundamental, transformando la manera en que operan tanto los defensores como los adversarios”, comenta Ryan Kalember, director de estrategia de Proofpoint. “Los CISOs se enfrentan ahora a una doble responsabilidad: aprovechar la IA para reforzar su postura de seguridad y garantizar al mismo tiempo su uso ético y responsable. Este equilibrio los sitúa en el centro de la toma de decisiones estratégicas. Sin embargo, la IA es solo una de las muchas fuerzas que están remodelando el papel del CISO. A medida que las amenazas se intensifican y los entornos se vuelven más complejos, las organizaciones están reevaluando cómo es realmente el liderazgo en ciberseguridad en la empresa actual”.
