Las brechas de datos reportadas en EE. UU. alcanzaron un récord en 2025.

Análisis de las causas, las consecuencias y el impacto en la industria del aumento de los ciberataques

Conclusiones

• Las brechas de datos en EE. UU. alcanzaron un récord en 2025, con 3,322 incidentes reportados, lo que representa un aumento del 4 % con respecto al año anterior.
• Los ciberataques siguen siendo la causa principal, responsables del 80% de las brechas de datos, principalmente dirigidos a información personal identificable como números de la Seguridad Social y detalles de cuentas bancarias.
• Los sectores de servicios financieros, healthcare y servicios profesionales experimentaron el mayor número de brechas reportadas.
• El número de notificaciones de violaciones enviadas a los consumidores se redujo drásticamente en comparación con 2024, probablemente debido a que hubo menos violaciones a gran escala.
• Los cambios normativos pueden haber contribuido al aumento de las tasas de notificación, por lo que no está claro si los incidentes reales han aumentado o si ha mejorado la transparencia.

Según la entidad sin ánimo de lucro Identity Theft Resource Center (ITRC), el número de filtraciones de datos reportadas el año pasado alcanzó un máximo histórico en EE.UU. con 3.322 reportadas, lo que representa un aumento del 4% respecto al año anterior.

En el lado positivo, el número de notificaciones de brechas enviadas el año pasado —aproximadamente 279 millones— se redujo drásticamente con respecto a 2024, año en el que se enviaron 1.400 millones de notificaciones a raíz de varios incidentes de brechas masivas.

Lo que no está claro, sin embargo, es el grado en que ese número de brechas de datos representa un aumento en el total de incidentes reales frente a un reflejo del simple hecho de que se están reportando más. Ahora hay más regulaciones que requieren divulgación, por lo que puede resultar que simplemente se estén reportando más incidentes.

Lo que es evidente, sin embargo, es que el 80% de estas violaciones (2.656 incidentes) fueron el resultado directo de ciberataques. En estos casos, los criminales cibernéticos principalmente se centraron en la información personal identificable, que es difícil de cambiar, en lugar de los números de tarjetas de crédito que pueden ser reemplazados más fácilmente. Dos tercios de las violaciones reportadas el año pasado involucraron números de Seguridad Social, seguidos de un tercio que divulgó información de cuentas bancarias, números de permisos de conducir o ambos.

Las empresas de servicios financieros reportaron el mayor número de brechas (739), seguidas por healthcare (534), servicios profesionales (478), industria (299) y educación (188).

El impacto de una brecha de datos exitosa

Por preocupante que todo eso pueda parecer, sin embargo, hay decenas de millones de empresas en EE. UU., por lo que 3.322 incidentes puede que no sea un número tan alto, relativamente hablando. Por supuesto, no todas las empresas van a reportar cada brecha de datos, pero en general muchas organizaciones parecen estar haciendo un trabajo creíble protegiendo los datos.

Desafortunadamente, cuando se produce un incidente, el impacto suele ser considerable. Una encuesta independiente realizada por el ITRC a 1.040 consumidores revela que el 80 % de los encuestados ha recibido una notificación de brecha de datos en los últimos 12 meses. Casi el 40 % afirmó haber recibido entre tres y cinco notificaciones distintas durante el último año.

El 88 % de las personas que recibieron una notificación de brecha de datos experimentaron al menos una consecuencia negativa tras la misma, incluyendo un aumento de los intentos de phishing dirigidos tras la violación (54 %), un aumento de los correos electrónicos no deseados o llamadas automáticas (49 %), un aumento de los intentos de phishing o estafa (40 %) y el intento de apropiación de una cuenta existente (40 %).

No todos esos ataques son exitosos, pero claramente hay suficientes como para justificar inversiones continuas en ciberseguridad. El desafío, por supuesto, es encontrar el equilibrio adecuado entre la amenaza para el negocio y el coste total de la inversión que se está realizando en ciberseguridad.

A medida que el porcentaje del presupuesto de TI asignado a la ciberseguridad ha aumentado en los últimos años, más líderes empresariales están preocupados. En sus mentes, cada dólar gastado en ciberseguridad es uno menos que podría usarse mejor para generar ingresos adicionales.

Los responsables de ciberseguridad que buscan aumentar agresivamente el gasto cada año se encontrarán inevitablemente con escepticismo sobre el riesgo real que existe para la empresa. El reto, como siempre, es garantizar que se alcance el nivel adecuado de ciberseguridad sin arruinarse.