El coste medio de una brecha de datos bajó a 4,44 millones de dólares en 2025, un 9% menos y el primer descenso en cinco años, según el Cost of a Data Breach Report 2025 de IBM y Ponemon Institute.
La cifra global invita a respirar, pero conviene leerla como se lee la temperatura media de una ciudad: útil para orientarse, mala para decidir si sales con abrigo. El propio informe de IBM muestra que las organizaciones con uso intensivo de IA y automatización afrontaron un coste medio de 3,62 millones, mientras que las que no las usaron se fueron a 5,52 millones. La diferencia es de 1,9 millones de dólares por incidente, un hueco que no se está cerrando.
Ese “premio” económico tiene un efecto secundario: incentiva a automatizar deprisa, incluso cuando los controles y la disciplina operativa no están listos. La paradoja es incómoda: la tecnología que ayuda a bajar costes también puede crear nuevas zonas ciegas si se despliega sin gobernanza de IA.
La paradoja de la automatización: menos trabajo… hasta que no
La presión por automatizar no es capricho; es aritmética. La telemetría crece, el personal no. El Nextgen Cyber Report 2025–2026 dibuja un contexto de fatiga en el SOC con un dato muy gráfico: se llega a ignorar el 30% de las alertas por puro desbordamiento y el desgaste empuja una rotación anual cercana al 25%, con reemplazos que pueden tardar entre 6 y 12 meses.
Aquí es donde la automatización del SOC funciona como un lavavajillas industrial: quita de encima lo repetitivo, acelera lo mecánico y evita que un equipo humano pase el día “fregando” el mismo tipo de tarea. El problema aparece cuando el lavavajillas empieza a “inventarse” platos sucios que no existen o, peor, deja pasar uno contaminado sin avisar. En seguridad, eso se traduce en falsos positivos, respuestas inconsistentes y, en el caso de modelos generativos, alucinaciones que pueden contaminar la toma de decisiones.
IBM aporta otra pista: el promedio global de tiempo para identificar y contener brechas se mueve en torno a los 241 días. En paralelo, los incidentes con ciclos por debajo de 200 días costaron 3,87 millones, frente a 5,01 millones cuando se superó ese umbral. Reducir días no es un KPI estético: es dinero y exposición real.
Cuando el ruido se convierte en vector de ataque
La fatiga de alertas no es una queja de pasillo; es una superficie de ataque. Si todo suena a alarma, el cerebro humano aprende a bajar el volumen. Pasa como con el coche que enciende luces por cualquier cosa: al final conduces “por intuición” y te acostumbras a que algo parpadee. En un SOC, esa habituación puede ser justo lo que busca un adversario: camuflar la señal importante dentro del ruido.
El propio informe de IBM subraya que los entornos complejos penalizan: cuando los datos comprometidos están repartidos entre varios entornos (nube pública, nube privada y on-premise), el coste medio sube a 5,05 millones y el tiempo para identificar y contener llega a 276 días. Es la versión ciber de buscar una gotera cuando el agua puede venir del techo, de una pared o de una tubería enterrada: el problema no es solo la fuga, es la incertidumbre.
En sanidad, la combinación es explosiva. IBM mantiene al sector como el más caro, con 7,42 millones de dólares por brecha y 279 días para identificar y contener. ENISA, al analizar 215 incidentes entre 2021 y 2023, encontró que el ransomware estuvo presente en el 54% y que los datos de pacientes fueron el activo más buscado en el 30%. Cuando un hospital se atasca en detección y respuesta, el impacto se mide en sistemas caídos, agendas retrasadas y decisiones clínicas bajo presión.
Shadow AI: el atajo que encarece el incidente
La otra gran grieta se abre por el lado “humano”, justo donde muchas empresas creen que la IA es más inocua: empleados usando herramientas no autorizadas para resumir logs, redactar informes o “pasar a limpio” datos sensibles. IBM calcula que los incidentes asociados a shadow AI añadieron, de media, 670.000 dólares a los costes de una brecha.
El matiz más preocupante está en la proporción: IBM señala que, entre las organizaciones que reportaron una brecha relacionada con IA, el 97% no tenía controles adecuados de acceso para esos sistemas. Y, a nivel de políticas, otro dato funciona como alarma silenciosa: un 63% carecía de iniciativas de gobernanza de IA.
En la práctica, esto significa que muchas compañías han dado a la IA “las llaves de la casa” sin cambiar la cerradura. No hace falta mala fe: basta con prisa, comodidad y un equipo que intenta sobrevivir al volumen diario.
Europa aprieta: DORA, NIS2 y la Ley de IA piden pruebas, no promesas
En Europa, el debate deja de ser solo técnico porque la regulación está convergiendo hacia una exigencia común: demostrar resiliencia operativa con evidencias trazables.
DORA es el ejemplo más claro en el sector financiero. Está en aplicación desde el 17 de enero de 2025. Y su filosofía empuja a reportar rápido y con estructura: los estándares técnicos publicados por autoridades europeas describen plazos muy cortos, como una notificación inicial dentro de 4 horas desde la clasificación de un incidente como “mayor” y no más tarde de 24 horas desde que se tiene conocimiento, con informes posteriores en ventanas también muy ajustadas.
Por su parte, NIS2 amplía el perímetro: cubre 18 sectores y obligó a los Estados miembros a transponerla antes del 17 de octubre de 2024, aunque el grado de implementación ha variado por país. En el plano de gobierno corporativo, el mensaje es directo: la responsabilidad ya no se queda en “el área de IT”. Diversos análisis legales apuntan a responsabilidad personal de la alta dirección y, en ciertos marcos nacionales, posibilidad de suspensión temporal de funciones de gestión si no se atienden medidas exigidas.
La tercera pieza es la Ley de IA de la UE (EU AI Act). La Comisión Europea indica que las reglas para IA de alto riesgo empezarán a aplicarse en agosto de 2026 y agosto de 2027, con obligaciones sobre gestión de riesgos, documentación, transparencia, supervisión humana y robustez. Para muchas herramientas de seguridad “inteligentes”, esto introduce una pregunta nueva: no solo si detectan bien, sino si pueden explicar y registrar cómo llegaron a una decisión.
Autonomía gobernada: el nuevo estándar del SOC “auditable”
Con esta presión, empieza a consolidarse una idea que encaja con el clima europeo: autonomía gobernada. No es “dejar que el agente haga lo que quiera”, es diseñar la automatización como un sistema con carriles, límites y trazabilidad, como un coche con asistente de conducción que mantiene el carril, pero te obliga a tener las manos y la atención.
En un modelo así, la correlación y el enriquecimiento dejan de ser lujos y pasan a ser arquitectura. El objetivo es que una investigación no genere solo acciones operativas, sino una “pieza probatoria” reutilizable: línea temporal, decisiones, fuentes de evidencia, quién aprobó qué, qué se ejecutó y con qué permisos. IBM muestra que la complejidad y la dispersión de entornos encarecen y alargan incidentes. Por eso, cualquier automatización que sume cajas negras o “pasos mágicos” empeora el problema justo donde DORA y NIS2 piden precisión.
En el mercado europeo, varios proveedores están empujando hacia plataformas que intentan unir detección, investigación y reporting de cumplimiento. Nextgen Software, por ejemplo, describe CYBERQUEST como un enfoque de flujo único para producir casos enriquecidos y su rastro de auditoría, con módulos para visibilidad OT sin agentes en ciertos escenarios industriales. Es un ejemplo de tendencia, no una garantía por sí mismo: el valor real depende de controles, calidad de datos y de si la organización adopta prácticas coherentes de gobernanza.
De asistentes a agentes: el paso que exige freno y registro
La evolución hacia agentes de IA que no solo recomiendan, sino que ejecutan, está en marcha. Gartner ha advertido en distintos análisis públicos sobre el ruido del mercado alrededor de la IA “agentic”, con riesgo de proyectos cancelados por costes y resultados poco claros, y sobre el “agent washing” como práctica comercial. En seguridad, esa cautela se traduce en una regla práctica: primero confiarles tareas acotadas y medibles; luego permitirles acciones con permisos limitados; finalmente, si se justifica, ampliar autonomía con supervisión y evidencias.
El punto de llegada no es un SOC sin humanos, es un SOC donde el humano entra cuando ya está montado el contexto, como llegar a una cocina con los ingredientes lavados y pesados, en lugar de empezar pelando patatas bajo una alarma constante. Y, sobre todo, donde cada paso queda registrado para un regulador, una auditoría interna o una aseguradora.