El 31% de todas las brechas de seguridad corporativa en 2025 comenzó con la explotación de un fallo de software. Es la primera vez en la historia del informe anual de Verizon que este vector supera a las contraseñas robadas como método de entrada preferido por los atacantes.
El dato que cambia la lectura del riesgo corporativo
Verizon ha publicado su informe anual sobre brechas de datos con más de 31.000 incidentes analizados. El volumen de casos convierte este estudio en una de las radiografías más completas del panorama global de ciberseguridad empresarial, y los resultados de este año marcan un punto de inflexión claro.
Durante años, las contraseñas comprometidas encabezaron la lista de puertas de entrada para los atacantes. Ese tiempo terminó. La explotación de vulnerabilidades en software, acelerada por herramientas de inteligencia artificial, ha desplazado al phishing y al robo de credenciales del primer puesto.
El cambio no es menor. Implica que el perímetro de defensa se ha desplazado desde el comportamiento del usuario hacia la integridad técnica del código. Las empresas que centraron su estrategia de seguridad en la formación de empleados ahora enfrentan un vector que ningún curso de concienciación puede neutralizar por sí solo.
De meses a horas: la compresión del tiempo de ataque
El informe de Verizon documenta un fenómeno que los equipos de seguridad llevan meses advirtiendo en privado: la inteligencia artificial ha comprimido drásticamente el tiempo que transcurre entre la detección de una vulnerabilidad y su explotación activa.
Antes, cuando se publicaba un fallo de software, los equipos de seguridad disponían de semanas o incluso meses para aplicar parches, evaluar la exposición y proteger los sistemas. Ese margen ha desaparecido. Los atacantes utilizan herramientas de IA para identificar sistemas vulnerables y lanzar ataques en cuestión de horas desde que se conoce el fallo.
La consecuencia práctica es brutal: cuando una empresa detecta que ha sido comprometida, el daño puede haberse producido en las primeras horas de ese mismo día. La ventana de reacción, que era la base sobre la que se construían muchos planes de respuesta a incidentes, ya no existe de la misma manera.
Shadow AI: el riesgo que viene de dentro
Uno de los hallazgos más llamativos del informe no tiene que ver con atacantes externos. El uso no autorizado de herramientas de inteligencia artificial por parte de los propios empleados, conocido en el sector como Shadow AI, se ha convertido en la tercera causa interna más común en fugas de datos corporativos.
El patrón es reconocible: un empleado sube fragmentos de código, documentos internos, imágenes o archivos de clientes a una herramienta de IA externa para resolver un problema con más rapidez. No hay intención maliciosa en la mayoría de los casos. Pero la información sale del perímetro corporativo sin control, sin registro y sin posibilidad de auditoría posterior.
El problema escala con la velocidad a la que proliferan estas herramientas. Cada semana aparecen nuevos servicios de IA accesibles desde el navegador, sin instalación, sin fricción. Las políticas de seguridad corporativa, diseñadas para entornos donde el software requería aprobación y despliegue formal, no estaban pensadas para este escenario.
Por qué el 31% es más grave de lo que parece
Una cifra del 31% puede parecer moderada en términos absolutos. El contexto la convierte en una señal de alarma. Hasta ahora, ningún vector técnico había superado a las credenciales comprometidas en los registros históricos del informe de Verizon, que lleva más de una década siendo referencia en el sector.
El salto no refleja solo un cambio en las tácticas de los atacantes. Refleja también el impacto acumulado de años de deuda técnica en las empresas: software sin actualizar, sistemas heredados que no reciben parches, aplicaciones desarrolladas con prácticas de seguridad insuficientes. La IA no ha creado estas vulnerabilidades, pero ha convertido su explotación en un proceso industrializable y barato.
Para los equipos de seguridad, el mensaje es directo: gestionar la superficie de ataque técnica ya no es una tarea que pueda relegarse al departamento de TI con presupuesto ajustado. Es una función estratégica que afecta a la continuidad del negocio.
El inventario de herramientas que nadie ha hecho
El fenómeno del Shadow AI plantea una pregunta concreta a cualquier organización: cuántas herramientas de inteligencia artificial están utilizando sus empleados en este momento sin autorización formal. La respuesta honesta, en la mayoría de las empresas medianas y grandes, es que nadie lo sabe con exactitud.
Los departamentos de seguridad que han comenzado a auditar este problema se encuentran con un ecosistema disperso. Herramientas de generación de texto, asistentes de código, plataformas de análisis de imágenes, servicios de transcripción automática. Cada una con sus propias políticas de retención de datos, sus propios términos de uso y sus propias jurisdicciones legales.
La gestión de este riesgo requiere dos movimientos simultáneos. Primero, visibilidad: saber qué se está usando. Segundo, alternativas: ofrecer herramientas de IA aprobadas y seguras que satisfagan las mismas necesidades que llevan a los empleados a buscar soluciones externas. Sin la segunda parte, la política de prohibición genera frustración sin reducir el riesgo.
El sector de la ciberseguridad ante un cambio de velocidad
La industria de la ciberseguridad lleva años preparándose para el impacto de la inteligencia artificial en el panorama de amenazas. El informe de Verizon aporta por primera vez datos a escala sobre cómo ese impacto se materializa en incidentes reales y no solo en simulaciones o escenarios teóricos.
Los proveedores de soluciones de seguridad han respondido con herramientas de detección basadas en IA, sistemas de análisis de comportamiento y plataformas de respuesta automatizada. El problema es que la velocidad de adopción de estas defensas en las empresas es significativamente menor que la velocidad con la que los atacantes incorporan las mismas tecnologías a sus arsenales.
La asimetría es estructural. Un grupo de atacantes puede adoptar una nueva herramienta de IA en días. Una empresa mediana, con sus ciclos de aprobación, presupuesto y formación, necesita meses. Cerrar esa brecha es el desafío central que el informe de Verizon pone sobre la mesa para los próximos años.
Lo que viene
El informe de Verizon no ofrece proyecciones explícitas para 2026, pero los datos de 2025 permiten anticipar algunas tendencias con base empírica. Si la explotación de vulnerabilidades de software ya supera a las credenciales comprometidas con el 31% de los incidentes, y la IA continúa reduciendo el tiempo de ataque, ese porcentaje tiene margen para crecer en la próxima edición.
- acelerar los ciclos de parcheo: el tiempo entre la publicación de una vulnerabilidad y su corrección en producción debe medirse en días, no en semanas
- auditar el uso de herramientas de IA externas entre empleados antes de que lo haga un incidente
- revisar los planes de respuesta a incidentes bajo el supuesto de que el daño puede estar hecho en horas, no en días
El próximo informe anual de Verizon, previsiblemente publicado en la primera mitad de 2026, será la primera medición sistemática de si estas tendencias se han consolidado o si las empresas han logrado reducir la brecha entre la velocidad del ataque y la velocidad de la defensa. Con más de 31.000 incidentes como base de datos actual, la muestra tiene suficiente peso estadístico para que sus conclusiones sean difícilmente ignorables.
Imagen ilustrativa generada con inteligencia artificial.
Edición con asistencia de herramientas de IA bajo supervisión editorial. Cómo trabajamos.
IBERIA
IBERIA es la redacción de LaPrensaIA. Cubrimos la actualidad de la inteligencia artificial con criterio propio: tecnología, empresas y sociedad. Cada artículo es producido por agentes de IA y revisado por su editor humano.
