Safetica > Resources > El riesgo interno se está convirtiendo en un riesgo laboral cotidiano

El riesgo interno se está convirtiendo en un riesgo laboral cotidiano

Lo que los últimos datos indican que los responsables de seguridad deberían tener en cuenta.

La mayoría de los responsables de seguridad no necesitan que se les recuerde una vez más que se producen incidentes provocados por personas internas. Lo que resulta más fácil pasar por alto es la discreción con la que está cambiando el panorama de riesgos: ya no se trata tanto de «alguien que ha hecho algo claramente malintencionado», sino más bien de «patrones de trabajo rutinarios que transfieren datos a través de canales que vuestras políticas no habían previsto».

La magnitud de ese factor humano está bien establecida. El Informe de Investigaciones sobre Fugas de Datosde 2025 de Verizon sitúa el factor humano en aproximadamente el 60 % de las fugas, una cifra que se ha mantenido estable durante años. La pregunta más útil es dónde se concentra ahora esa exposición cotidiana.

El informe «Tendencias en la protección de datos» de Safetica analiza señales agregadas y anonimizadas de los entornos protegidos por Safetica durante el segundo semestre de 2025, y destacan cuatro patrones.

1. El riesgo reside en las herramientas que la gente utiliza a diario

Más del 60 % de la actividad bloqueada y de las infracciones de políticas (aproximadamente tres de cada cinco) se produjeron en canales habituales: aplicaciones web, correo electrónico y mensajería instantánea, impulsadas por comportamientos laborales normales más que por intenciones maliciosas. Esto replantea el riesgo interno, pasando de ser un «incidente aislado» a una «vía habitual». Si la mayor parte de los movimientos de riesgo se producen allí donde tiene lugar la colaboración, la prevención no se limita al perímetro o a los terminales; se trata de controles coherentes y sensibles al contexto en todas las superficies donde realmente se lleva a cabo el trabajo.

Una pregunta útil para los responsables: ¿son nuestras políticas lo suficientemente sensibles al rol y al contexto como para distinguir la colaboración legítima de los movimientos de riesgo, sin causar interrupciones generalizadas?

2. La pérdida de datos ya no se limita a los documentos

Si todavía te imaginas la pérdida de datos como «archivos que salen de la organización», la tendencia de la IA es una llamada de atención. Los bloqueos relacionados con ChatGPT se dispararon un 86 % del tercer al cuarto trimestre, y el texto libre y las capturas de pantalla —y no los documentos de oficina clásicos— escalaron posiciones en la lista de los tipos de contenido más bloqueados. Los datos en uso —el texto y las imágenes pegadas que nunca adoptan la forma de un archivo protegido— se están convirtiendo en el centro de gravedad.

Conclusión preliminar: en el cuarto trimestre, solo ChatGPT representó aproximadamente una de cada cinco interacciones de IA bloqueadas (20,1 %) en nuestros datos, una señal de que el riesgo de la IA se está consolidando en torno a unas pocas herramientas dominantes y de uso general, en lugar de extenderse por muchas otras.

Investigaciones independientes apuntan en la misma dirección. El informe «2025 Enterprise AI» de LayerX reveló que aproximadamente el 45 % de los empleados utiliza IA generativa en el trabajo y que alrededor del 77 % de esos usuarios ha pegado datos de la empresa en chatbots, la mayoría a través de cuentas personales no gestionadas que nunca pasan por los controles corporativos. Un análisis anterior de Cyberhaven reveló que alrededor del 11 % del contenido pegado en ChatGPT era confidencial.

La implicación para los CISO: la gobernanza de la IA no puede limitarse a un PDF con políticas. Debe tener en cuenta cómo se comportan realmente las entradas y salidas de formato libre.

3. Los usuarios se adaptan más rápido que los controles estáticos

Muchos equipos conocen esa sensación de «juego del gato y el ratón con las políticas»: se bloquea una vía y la actividad se desplaza a otra parte. Los datos lo cuantifican. El uso de aplicaciones de mensajería cifrada superó el 64 % en el cuarto trimestre como porcentaje de la actividad de aplicaciones de riesgo. Cuando se bloquea un canal, los usuarios no suelen detenerse; cambian de canal, desplazando su exposición del correo electrónico y las redes a la web, la nube y la mensajería.

Por eso la medición debe ser multicanal (correo electrónico, web, chat, nube y USB), en lugar de estar aislada en silos. Y el objetivo no es bloquearlo todo, sino reducir los movimientos de riesgo sin empujar a los usuarios a buscar soluciones alternativas.

Ese equilibrio es el significado práctico de «Proteger más. Interferir menos».

4. La mayor parte del riesgo interno es de carácter conductual, no excepcional

El correo electrónico sigue siendo una de las principales fuentes de alerta temprana: fue el origen del 72 % de las alertas de nivel de amenaza en el segundo semestre de 2025. Pero la conclusión no es «centrarse únicamente en el correo electrónico». Es que la mayor parte de este riesgo se debe a la acumulación de pequeñas decisiones repetidas sobre el manejo de datos que se toman de forma discreta entre la plantilla, y no a un puñado de actos dramáticos y maliciosos.

Dato destacado: los dispositivos USB externos representaron el 36,1 % de los desencadenantes de actividad inusual en el cuarto trimestre (+7,7 % respecto al trimestre anterior), lo que nos recuerda que un canal que muchos equipos consideran «resuelto» sigue siendo una señal de comportamiento significativa, a menudo una vía de escape del flujo de trabajo cuando la colaboración se hace lenta.

El panorama externo respalda esta conclusión. Un estudio de Cyberhaven atribuye alrededor del 15,6 % de la filtración de datos por parte de empleados a soportes extraíbles, y Proofpoint señala que las memorias USB siguen siendo una de las principales vías de filtración en algunas zonas de Europa. El informe «Ponemon/DTEX Cost of Insider Risks 2025» plantea claramente la cuestión de la intención: los empleados negligentes están detrás de aproximadamente el 53 % de los incidentes internos.

El comportamiento repetitivo relacionado con el uso de USB o las copias puede indicar una intención, pero con mucha más frecuencia es señal de fricción. Ambos casos merecen ser investigados; ninguno de ellos encaja en el perfil simplista de un «empleado malintencionado».

Una breve lista de comprobación para los responsables de seguridad

Si quieres convertir lo anterior en una conversación interna concreta, aquí tienes cinco preguntas que vale la pena plantear este trimestre:

  1. ¿En qué ámbitos estamos experimentando un aumento de la presión en torno a los datos confidenciales: correo electrónico, aplicaciones web, mensajería instantánea, la nube o dispositivos USB?
  2. ¿Son nuestras políticas lo suficientemente sensibles al rol y al contexto como para distinguir la colaboración legítima de los movimientos de riesgo?
  3. ¿Tenemos cobertura para comportamientos relacionados con los «datos en uso», como texto pegado, capturas de pantalla y entradas de IA de formato libre?
  4. ¿Estamos atentos a los cambios de canal? Si bloqueamos el correo electrónico, ¿detectamos el mismo patrón cuando se traslada al chat?
  5. ¿Cuál es nuestra postura respecto a las herramientas de IA y los canales cifrados? ¿Se regulan como flujos de trabajo de gestión de datos o se tratan simplemente como otra categoría de sitios web?

Lee el informe completo

El informe completo de Safetica sobre tendencias en protección de datos incluye las tablas de datos completas, los desgloses trimestrales y los gráficos que reflejan estas tendencias. Descarga el informe.

Similar posts