La mayoría de los responsables de seguridad no necesitan que se les recuerde una vez más que se producen incidentes provocados por personas internas. Lo que resulta más fácil pasar por alto es la discreción con la que está cambiando el panorama de riesgos: ya no se trata tanto de «alguien que ha hecho algo claramente malintencionado», sino más bien de «patrones de trabajo rutinarios que transfieren datos a través de canales que vuestras políticas no habían previsto».
La magnitud de ese factor humano está bien establecida. El Informe de Investigaciones sobre Fugas de Datosde 2025 de Verizon sitúa el factor humano en aproximadamente el 60 % de las fugas, una cifra que se ha mantenido estable durante años. La pregunta más útil es dónde se concentra ahora esa exposición cotidiana.
El informe «Tendencias en la protección de datos» de Safetica analiza señales agregadas y anonimizadas de los entornos protegidos por Safetica durante el segundo semestre de 2025, y destacan cuatro patrones.
Más del 60 % de la actividad bloqueada y de las infracciones de políticas (aproximadamente tres de cada cinco) se produjeron en canales habituales: aplicaciones web, correo electrónico y mensajería instantánea, impulsadas por comportamientos laborales normales más que por intenciones maliciosas. Esto replantea el riesgo interno, pasando de ser un «incidente aislado» a una «vía habitual». Si la mayor parte de los movimientos de riesgo se producen allí donde tiene lugar la colaboración, la prevención no se limita al perímetro o a los terminales; se trata de controles coherentes y sensibles al contexto en todas las superficies donde realmente se lleva a cabo el trabajo.
Una pregunta útil para los responsables: ¿son nuestras políticas lo suficientemente sensibles al rol y al contexto como para distinguir la colaboración legítima de los movimientos de riesgo, sin causar interrupciones generalizadas?
Si todavía te imaginas la pérdida de datos como «archivos que salen de la organización», la tendencia de la IA es una llamada de atención. Los bloqueos relacionados con ChatGPT se dispararon un 86 % del tercer al cuarto trimestre, y el texto libre y las capturas de pantalla —y no los documentos de oficina clásicos— escalaron posiciones en la lista de los tipos de contenido más bloqueados. Los datos en uso —el texto y las imágenes pegadas que nunca adoptan la forma de un archivo protegido— se están convirtiendo en el centro de gravedad.
Conclusión preliminar: en el cuarto trimestre, solo ChatGPT representó aproximadamente una de cada cinco interacciones de IA bloqueadas (20,1 %) en nuestros datos, una señal de que el riesgo de la IA se está consolidando en torno a unas pocas herramientas dominantes y de uso general, en lugar de extenderse por muchas otras.
Investigaciones independientes apuntan en la misma dirección. El informe «2025 Enterprise AI» de LayerX reveló que aproximadamente el 45 % de los empleados utiliza IA generativa en el trabajo y que alrededor del 77 % de esos usuarios ha pegado datos de la empresa en chatbots, la mayoría a través de cuentas personales no gestionadas que nunca pasan por los controles corporativos. Un análisis anterior de Cyberhaven reveló que alrededor del 11 % del contenido pegado en ChatGPT era confidencial.
La implicación para los CISO: la gobernanza de la IA no puede limitarse a un PDF con políticas. Debe tener en cuenta cómo se comportan realmente las entradas y salidas de formato libre.
Muchos equipos conocen esa sensación de «juego del gato y el ratón con las políticas»: se bloquea una vía y la actividad se desplaza a otra parte. Los datos lo cuantifican. El uso de aplicaciones de mensajería cifrada superó el 64 % en el cuarto trimestre como porcentaje de la actividad de aplicaciones de riesgo. Cuando se bloquea un canal, los usuarios no suelen detenerse; cambian de canal, desplazando su exposición del correo electrónico y las redes a la web, la nube y la mensajería.
Por eso la medición debe ser multicanal (correo electrónico, web, chat, nube y USB), en lugar de estar aislada en silos. Y el objetivo no es bloquearlo todo, sino reducir los movimientos de riesgo sin empujar a los usuarios a buscar soluciones alternativas.
Ese equilibrio es el significado práctico de «Proteger más. Interferir menos».
El correo electrónico sigue siendo una de las principales fuentes de alerta temprana: fue el origen del 72 % de las alertas de nivel de amenaza en el segundo semestre de 2025. Pero la conclusión no es «centrarse únicamente en el correo electrónico». Es que la mayor parte de este riesgo se debe a la acumulación de pequeñas decisiones repetidas sobre el manejo de datos que se toman de forma discreta entre la plantilla, y no a un puñado de actos dramáticos y maliciosos.
Dato destacado: los dispositivos USB externos representaron el 36,1 % de los desencadenantes de actividad inusual en el cuarto trimestre (+7,7 % respecto al trimestre anterior), lo que nos recuerda que un canal que muchos equipos consideran «resuelto» sigue siendo una señal de comportamiento significativa, a menudo una vía de escape del flujo de trabajo cuando la colaboración se hace lenta.
El panorama externo respalda esta conclusión. Un estudio de Cyberhaven atribuye alrededor del 15,6 % de la filtración de datos por parte de empleados a soportes extraíbles, y Proofpoint señala que las memorias USB siguen siendo una de las principales vías de filtración en algunas zonas de Europa. El informe «Ponemon/DTEX Cost of Insider Risks 2025» plantea claramente la cuestión de la intención: los empleados negligentes están detrás de aproximadamente el 53 % de los incidentes internos.
El comportamiento repetitivo relacionado con el uso de USB o las copias puede indicar una intención, pero con mucha más frecuencia es señal de fricción. Ambos casos merecen ser investigados; ninguno de ellos encaja en el perfil simplista de un «empleado malintencionado».
Si quieres convertir lo anterior en una conversación interna concreta, aquí tienes cinco preguntas que vale la pena plantear este trimestre:
El informe completo de Safetica sobre tendencias en protección de datos incluye las tablas de datos completas, los desgloses trimestrales y los gráficos que reflejan estas tendencias. Descarga el informe.