El ecosistema de la ciberseguridad empresarial se encuentra en plena mutación. La irrupción de la inteligencia artificial generativa, el aumento de las amenazas internas, la presión regulatoria y el agotamiento de los responsables de seguridad conforman un escenario de alta volatilidad. En este contexto, el informe “Voice of the CISO 2025” de Proofpoint revela los grandes retos que los CISOs (Chief Information Security Officers) afrontan a escala global y, especialmente, en España.
Ciberseguridad en alerta: un panorama de amenazas fragmentado y más difícil de contener
El 59% de los CISOs españoles prevé que su organización sufrirá un ciberataque importante en los próximos 12 meses, y un 33% reconoce no estar preparado para responder. El temor principal ya no se limita al ransomware o al malware: el nuevo riesgo dominante es la pérdida de datos, especialmente aquellos provocados por errores humanos o fugas internas.
El 70% de los CISOs que han sufrido pérdidas de datos vinculan estos incidentes a empleados que abandonaron la empresa, lo que confirma la persistencia del riesgo humano como amenaza crítica. Además, el 51% de los responsables de seguridad estaría dispuesto a pagar un rescate para restaurar los sistemas o evitar una filtración de datos confidenciales.
Este contexto está produciendo un cambio de paradigma: las estrategias reactivas ya no son suficientes. Las organizaciones deben implementar sistemas de detección proactiva, segmentación de datos, educación continua y tecnologías de prevención adaptativa. El tiempo de respuesta ante incidentes se ha convertido en una métrica clave de eficiencia y resiliencia empresarial.
IA generativa: una aliada poderosa con riesgos emergentes
El auge de la IA generativa está redefiniendo la ciberseguridad. Aunque el 48% de los CISOs españoles considera una prioridad permitir el uso seguro de estas herramientas, el 39% muestra preocupación por posibles fugas de datos a través de plataformas como los chatbots o herramientas de IA de uso público.
Este dilema ha generado una transición desde la prohibición al gobierno responsable del uso de la IA. El 53% de las organizaciones ya ha implantado directrices para el uso de estas tecnologías y el 51% explora defensas basadas en IA. Sin embargo, el entusiasmo ha disminuido respecto al 84% de adhesión observado en 2024.
Una preocupación común entre los expertos es la posibilidad de que códigos maliciosos generados por IA o deepfakes sofisticados pasen desapercibidos incluso para los filtros más avanzados. Por ello, se hace urgente el desarrollo de mecanismos de detección específicos para contenidos generados artificialmente, así como la integración de algoritmos explicables y auditables.
El factor humano sigue siendo el eslabón más débil
Pese a los esfuerzos en concienciación y formación, el 49% de los CISOs identifica al factor humano como su principal riesgo. Esta brecha entre el conocimiento y el comportamiento evidencia que la cultura de ciberseguridad aún no está plenamente interiorizada por las plantillas.
Aunque el 55% cree que sus empleados entienden las buenas prácticas, casi la mitad de las organizaciones no cuenta con recursos dedicados a la gestión del riesgo interno. Esta carencia debilita las estrategias de prevención y pone en jaque la resiliencia empresarial.
Las amenazas internas pueden ser tanto involuntarias (por descuidos o desconocimiento) como maliciosas (por venganza o beneficio propio). Según el informe, es fundamental contar con políticas de onboarding seguras, monitorización de comportamientos anómalos y una cultura de seguridad transversal. La protección de datos ya no es solo una responsabilidad del departamento de IT, sino una prioridad organizativa.
Agotamiento y desconexión entre los CISOs y sus organizaciones
Uno de los datos más preocupantes del informe es el que revela el agotamiento de los CISOs. El 56% de los encuestados ha experimentado o presenciado síntomas de burnout en el último año. El 40% considera que enfrenta expectativas desmedidas por parte de sus organizaciones.
Además, la alineación entre los CISOs y las juntas directivas ha caído abruptamente en España: del 87% en 2024 al 47% en 2025. A pesar de que la pérdida de información confidencial se ha convertido en la principal preocupación de los consejos de administración, los responsables de seguridad siguen sintiéndose aislados y mal dotados. El 51% afirma no disponer de los recursos necesarios para cumplir con sus objetivos.
Este déficit de apoyo institucional limita la eficacia de las estrategias de ciberseguridad y eleva el riesgo reputacional. Es fundamental avanzar hacia un modelo de gobernanza donde el CISO tenga voz, voto y capacidad de influencia en la estrategia corporativa.
Gobernanza de IA y seguridad contextual: las nuevas fronteras
La aceleración de la IA ha obligado a los equipos de seguridad a repensar sus estrategias. Ya no basta con contener los ataques: hay que establecer un marco de gobernanza que permita utilizar estas herramientas de forma segura y ética. La IA ha pasado de ser una tecnología emergente a una prioridad estratégica.
En este sentido, las organizaciones están avanzando hacia una seguridad dinámica y contextual, que tenga en cuenta los flujos de información, los comportamientos de los usuarios y los posibles vectores de fuga. La adopción de herramientas de inteligencia artificial defensiva es clave, pero también lo es formar a los empleados para minimizar los riesgos involuntarios.
Además, el desarrollo de políticas éticas de IA, protocolos de revisión y auditorías constantes son aspectos que deben integrarse desde el diseño. No se trata solo de regular, sino de crear entornos seguros e inclusivos, donde la tecnología esté al servicio de las personas y no al revés.
Recomendaciones clave para una ciberseguridad más resiliente
El informe de Proofpoint concluye con un llamamiento a fortalecer el papel del CISO dentro de las organizaciones. Estas son algunas recomendaciones clave:
- Reforzar la relación entre la dirección y el CISO, con participación activa en la estrategia empresarial.
- Invertir en formación continua y herramientas para mitigar el riesgo humano.
- Desarrollar protocolos de gobernanza para el uso de IA, combinando innovación con seguridad.
- Implementar soluciones de detección contextual y prevención de fuga de datos.
- Proteger a los CISOs frente a la responsabilidad personal, estableciendo marcos legales claros.
- Apostar por una cultura de ciberseguridad transversal, alineada con los valores y objetivos de la organización.
- Establecer métricas de éxito alineadas con el negocio, que valoren la prevención y no solo la respuesta.
El CISO, pieza clave en la era del riesgo digital
El informe “Voice of the CISO 2025” evidencia que el rol del CISO ya no es técnico: es estratégico, humano y transversal. En un mundo donde la IA amplifica tanto las amenazas como las oportunidades, y donde el error humano sigue siendo el principal riesgo, los responsables de seguridad deben asumir un liderazgo transformador.
Para ello, necesitan respaldo, recursos y un marco de acción claro. Porque la seguridad no es un coste, es una condición de competitividad. Y el CISO es quien debe liderar esa narrativa.
Es vital reforzar la colaboración entre la dirección y los CISOs, invertir en formación continua y establecer políticas de gobernanza para la IA. Solo así se podrá construir una ciberseguridad sólida y alineada con los objetivos empresariales, convirtiendo el desafío en una oportunidad de competitividad.
