Microsoft comisionó a la consultora global Edelman el estudio «Ciberseguridad 2025: Desafíos y estrategias en la era de la IA», una radiografía táctica basada en la visión de 100 líderes de seguridad y TI de grandes empresas en Chile.
Francisco Carrasco M.
El informe no solo ofrece métricas, sino que expone una tensión crítica en el ecosistema corporativo nacional: existe una consciencia aguda sobre la escalada de amenazas, pero esta percepción no siempre se traduce en la asignación de recursos financieros proporcionales.
Para la alta dirección, entender esta brecha documentada es vital no solo para proteger activos, sino para garantizar la viabilidad del negocio y el cumplimiento normativo en un entorno donde la exposición al riesgo se ha vuelto un estado permanente.
El entorno de amenazas: Un riesgo en ascenso que compromete la operación
La percepción de seguridad en el entorno empresarial chileno se ha deteriorado objetivamente frente a un panorama de amenazas que, según el 70% de los encuestados, ha aumentado de manera significativa en los últimos tres años. Los datos confirman que la sensación de urgencia está justificada, ya que una abrumadora mayoría de los especialistas reporta un incremento tangible en la actividad maliciosa dirigida a sus infraestructuras críticas.
Este consenso sobre el agravamiento del riesgo obliga a los tomadores de decisiones a replantear sus posturas defensivas de inmediato. Asumir que el entorno digital actual es intrínsecamente más hostil que en el pasado reciente es el primer paso para evitar una crisis de continuidad operativa.
No obstante, el problema no radica solo en la frecuencia de los ataques, sino en la naturaleza disruptiva de los mismos, que amenaza directamente la capacidad de generar ingresos y sostener la reputación. El predominio del malware y el ransomware como las principales preocupaciones del sector indica que los adversarios buscan secuestrar la operatividad misma de la compañía, convirtiendo un incidente técnico en una crisis financiera inmediata.
La ingeniería social sigue siendo un vector de ataque altamente efectivo y persistente en las organizaciones locales. Esto subraya que la vulnerabilidad no reside únicamente en el software, sino en el capital humano de la organización, que requiere procesos de capacitación y concientización constantes.
La desconexión financiera: Gobernanza activa con presupuestos conservadores
Uno de los hallazgos más inquietantes para cualquier comité de auditoría es la discrepancia entre el discurso de gobernanza y la realidad presupuestaria, donde el 66% de las organizaciones mantiene una inversión ligera o moderada en ciberseguridad.
Si bien más de la mitad de las grandes empresas chilenas declara involucrar a su junta directiva en las decisiones de ciberseguridad, esta visibilidad en la mesa de decisiones no está detonando el flujo de capital necesario para blindar a la compañía.
Esta incoherencia sugiere que, aunque el tema está en la agenda prioritaria, todavía se gestiona con una mentalidad de contención de costos operativos. La falta de inversión estratégica en resiliencia deja a las empresas expuestas ante atacantes que sí invierten fuertemente en sus capacidades ofensivas.
La asignación de recursos revela que la gran mayoría de las organizaciones no ha logrado equiparar su gasto en seguridad con el nivel de riesgo que dicen percibir. Esta falta de «músculo financiero» expone a los directores a cuestionamientos sobre su deber de cuidado fiduciario, especialmente en industrias altamente reguladas o con una fuerte dependencia digital.
Madurez estratégica y responsabilidad legal
La formalización de la estrategia de ciberseguridad es hoy un indicador clave de madurez corporativa y un escudo ante posibles responsabilidades legales derivadas de una brecha de datos o incumplimiento regulatorio. El estudio muestra que un segmento mayoritario del mercado ha logrado integrar la ciberseguridad dentro de su plan de negocios general, lo cual es un avance positivo hacia una cultura de seguridad integral.
Sin embargo, existe un porcentaje preocupante de empresas que operan bajo prácticas informales o inconsistentes en su aplicación diaria.
- Un 35% no cuenta con una estrategia plenamente consolidada
- Un 12% carece de cualquier estrategia
- Un 23% aplica prácticas sin un marco formal definido.
Esta situación las sitúa en una zona de alto riesgo de cumplimiento, donde la improvisación puede costar millones en multas y daños a la marca.
Operar sin una estrategia formal documentada y actualizada no es solo una falencia administrativa menor. La alta gerencia debe asegurar que la ciberseguridad sea una política corporativa robusta, auditable y alineada estrictamente con los objetivos comerciales de la firma, para responder con coherencia ante incidentes y exigencias regulatorias.
El nuevo desafío de gobernanza: Agentes de IA y «Shadow AI»
La irrupción de la IA ha introducido una nueva variable de riesgo y oportunidad, donde el 61% de las organizaciones ya emplea agentes de IA para fortalecer sus defensas. Sin embargo, el uso no autorizado de herramientas de IA generativa por parte de los empleados, fenómeno que suele denominarse «Shadow AI», representa una puerta trasera para la fuga de propiedad intelectual que escapa a los controles tradicionales.
A pesar de que la IA se perfila como un aliado crítico para cerrar brechas de talento y automatizar tareas complejas de seguridad, su adopción desregulada constituye una amenaza interna. La gobernanza de estos nuevos «empleados digitales» requiere atención inmediata del gobierno corporativo para evitar exposiciones innecesarias y conflictos con marcos regulatorios de datos y privacidad.
Resulta alarmante que, frente a esta tecnología transformadora, apenas poco más de la mitad de las empresas cuente con políticas formales que regulen el uso de agentes de IA dentro de su operación. Un 51% declara tener políticas formales, mientras que un 39% opera con lineamientos informales o en desarrollo y un 10% no tiene ningún tipo de política.
Marcelo Felman, Director de Ciberseguridad de Microsoft, enfatiza que el desafío ya no es «si» invertir, sino «cómo» escalar la seguridad con gobernanza responsable en cada capa de la organización:
"La IA no solo aumenta la velocidad y el alcance de las defensas: a través de agentes especializados, ayuda a cerrar brechas de talento, estandarizar procesos y elevar la resiliencia del negocio. El desafío ya no es 'si' invertir en seguridad, sino 'cómo' escalarla con IA y con gobernanza responsable en cada capa de la organización".
Conclusiones estratégicas para el C-Level
El análisis del panorama 2025 deja tres lecciones imperativas que la alta gerencia debe internalizar de inmediato:
- Inversión vs. Riesgo: La asignación actual de recursos es insuficiente para mitigar el riesgo percibido, lo que exige una revisión urgente y realista de los presupuestos de protección digital.
- Factor Humano: Es necesario trascender el enfoque puramente tecnológico para invertir en las personas; la capacitación sigue siendo el eslabón más débil y requiere recursos más allá del software.
- El Rol Dual de la IA: Al actuar simultáneamente como defensa y amenaza, la IA redefine las reglas del juego, convirtiendo la ciberseguridad en una responsabilidad indelegable del directorio para asegurar la sostenibilidad del negocio.
