América Latina paga, en promedio, 3.81 millones de dólares por cada violación de datos. La cifra, reportada en la edición 2025 del Cost of a Data Breach Report (IBM/Ponemon), supone una reducción frente a 2024 (4.16 millones) y coloca a la región por debajo del promedio global (4.44 millones) y muy lejos de Estados Unidos, donde el costo alcanzó un máximo histórico de 10.22 millones.

El descenso global del costo promedio, de 4.88 millones en 2024 a 4.44 millones en 2025, se explica por investigaciones más rápidas y contención más ágil, impulsadas por defensas con IA y automatización. Aun así, el informe advierte una carrera armamentista: 16% de las brechas ya involucraron a atacantes usando IA, sobre todo en phishing y deepfakes.

La reducción de costos va de la mano de una caída del tiempo total del ciclo de la brecha (identificación + contención) a 241 días, el nivel más bajo en nueve años. Cuando ese ciclo se mantiene por debajo de 200 días, el costo promedio cae a 3.87 millones; si supera los 200 días, sube a 5.01 millones.

Otro factor que inclina la balanza es quién descubre la brecha. Este año, los equipos internos y sus herramientas identificaron 50% de los incidentes (frente a 42% en 2024 y 33% en 2023). Cuando la detección corre a cargo del propio equipo, el costo promedio se ubicó en 4.18 millones; si quien “avisa” es el atacante, una situación que suele implicar más tiempo para causar daño el costo se disparó a 5.08 millones.

Inteligencia artificial en defensa

Las organizaciones que usan ampliamente la inteligencia artificial y la automatización registraron un costo promedio de 3.62 millones de dólares, frente a 5.52 millones entre las que no las usan, con un ahorro de 1.9 millones y 80 días menos en el ciclo de respuesta. Aunque esa adopción extensiva apenas subió a 32%, su correlación con menores costos y más velocidad es consistente.

Del otro lado, la IA “en la sombra” (shadow AI), el uso de sistemas sin aprobación ni controles, encarece las brechas. Los incidentes con shadow AI agregaron 200,000 dólares al promedio global y extendieron los tiempos de detección y contención aproximadamente una semana. En esos casos, lo más comprometido suele ser la propiedad intelectual de clientes (65%) y los datos estaban con frecuencia repartidos en múltiples entornos, lo que amplifica la exposición.

El estudio también recuerda que el ransomware sigue siendo costoso. En 2025, la media histórica asociada a este tipo de ataque alcanzó 5.08 millones; y, aunque 63% de las organizaciones se negó a pagar el rescate, por encima de 59% de 2024, el costo de los incidentes de extorsión sigue siendo alto, especialmente cuando la brecha se conoce por el propio atacante.

Salud, con el costo más alto

En el plano sectorial, salud continúa como la industria con el costo promedio más alto (7.42 millones de dólares), pese a una fuerte baja interanual; seguido por el financiero (5.56 millones), el industrial (5 millones), el de energía (4.83 millones) y el de tecnología (4.72 millones.

Por países, Estados Unidos rompe récord con 10.22 millones, impulsado por sanciones regulatorias y mayores costos de detección y escalamiento. La mayoría de las regiones, entre ellas América Latina, vieron descensos, en buena medida por menores costos de detección y escalamiento. Además de Estados Unidos, Bélgica, Países Bajos, Luxemburgo, la Asociación de Naciones del Sudeste Asiático (ASEAN) y la India vieron un incremento en esta cifra.

Si bien el reporte no desagrega el promedio por país dentro de América Latina, los hallazgos ofrecen una guía clara: acelerar detecciones internas, gobernar la inteligencia artificial (IA) (con controles de acceso, auditorías y pruebas adversarias) y evitar la sombra de herramientas no autorizadas.

Donde hay IA defensiva madura y ciclos de respuesta más cortos, los costos caen; donde la IA opera sin gobierno, o donde la noticia la da el atacante, los costos suben. En un entorno donde México forma parte del clúster medido, el costo de 3.81 millones de dólares en la región es tanto una referencia de riesgo como una hoja de ruta de mitigación basada en velocidad, gobernanza y automatización.

rodrigo.riquelme@eleconomista.mx