Cada año, el informe Voice of the CISO de Proofpoint recoge las opiniones de los líderes en ciberseguridad que se encuentran en primera línea. En 2025, los CISO se enfrentan a un panorama marcado por ciberamenazas persistentes, entornos de datos complejos, tecnologías emergentes como la IA generativa (GenAI) y crecientes presiones tanto personales como profesionales.
Basado en una encuesta global a 1600 CISO de 16 países, el último informe ofrece información clave sobre sus desafíos, prioridades y la naturaleza cambiante de su rol. A continuación se incluyen las conclusiones más destacadas, organizadas en siete temas principales.
1: ¿Confianza o preocupación?
Aunque el 67 % de los CISO afirma que la cultura de ciberseguridad de su organización es sólida, un impresionante 76 % considera que corre el riesgo de sufrir un ciberataque grave en los próximos 12 meses, frente al 70 % en 2024. Esta paradoja refleja una percepción cada vez más extendida: las brechas de seguridad se ven más como inevitables que como evitables.
La creciente preocupación no carece de fundamento. Dos tercios (66 %) de los CISO informaron de la pérdida significativa de información sensible en el último año, un aumento drástico respecto al 46 % registrado en 2024. Y, a pesar de las inversiones en medidas de seguridad y en concienciación, más de la mitad (58 %) de los CISO todavía siente que sus organizaciones están poco preparadas para hacer frente a un ciberataque en 2025.
2: Las ciberamenazas llegan desde todos los frentes
Con tantas opciones entre las que elegir, los CISO se mostraron divididos sobre cuál constituye la mayor ciberamenaza. El fraude por correo electrónico y las amenazas internas empataron en el primer puesto (37 %), seguidos muy de cerca por el ransomware (36 %), la usurpación de cuentas cloud (34 %) y los ataques a la cadena de suministro (33 %).
¿El denominador común en todas estas amenazas? La pérdida de datos. Sea cual sea el vector de ataque, la información sensible sigue siendo el premio final para los ciberdelincuentes. No es de extrañar, entonces, que dos tercios (66 %) de los CISO reconozcan que su organización probablemente pagaría un rescate para restaurar los sistemas o evitar la exposición de datos, según las respuestas de la encuesta.
3: La dispersión de los datos supera a los controles de seguridad
Los datos no solo crecen; se dispersan o se "esparcen" entre nubes, dispositivos y ahora también en herramientas de IA generativa (GenAI). Esta distribución generalizada hace que la clasificación, el gobierno y la protección de los datos sean más difíciles que nunca. Aunque el 98 % de los CISO afirma contar con un programa de prevención de la pérdida de datos (DLP), solo un 6 % dispone de recursos dedicados para gestionarlo.
Los resultados son claros: el 66 % de los CISO encuestados experimentó una pérdida importante de información en los últimos 12 meses. Lo más notable es que las principales causas fueron de origen humano: empleados negligentes, comprometidos o malintencionados. Como señala Phil Ross, CISO de Air New Zealand: "Los datos no se pierden por arte de magia. Son las personas quienes los pierden".
4: El problema humano sigue vigente
Las personas siguen siendo, a la vez, el mayor activo y la mayor vulnerabilidad frente a ciberataques de una organización.
Un 66 % de los CISO coincide en que el riesgo humano es la principal amenaza de ciberseguridad a la que se enfrentan sus organizaciones, incluso cuando un 68 % cree que los empleados comprenden su papel en la protección de los datos.
A pesar de ello, muchas organizaciones carecen de protecciones adecuadas centradas en las personas. La formación en ciberseguridad para empleados ocupa un lugar secundario en la adopción de tecnologías, y únicamente el 70 % de las organizaciones cuenta con un programa dedicado a la gestión de riesgos internos. Esta discrepancia entre la percepción de la concienciación de los empleados y su comportamiento real sigue pasando desapercibida.
5: Del enfoque restrictivo al gobierno a con la IA
La IA generativa se ha convertido en una realidad tanto en las empresas como en el panorama de las ciberamenazas. El 60 % de los CISO considera que la IA generativa representa un riesgo de seguridad, frente al 54 % del año pasado. Entre sus principales preocupaciones destacan:
la filtración de datos a través de herramientas públicas de IA generativa, el uso de plataformas de colaboración como Slack y Teams, y la facilidad con la que los empleados pueden crear y compartir información sensible fuera de los mecanismos de protección tradicionales.
Aun así, los CISO reconocen el potencial de la IA. El 64 % afirma que habilitar un uso seguro de la IA es una prioridad en los próximos dos años, y un 68 % está explorando capacidades basadas en IA para defenderse del error humano y de amenazas avanzadas.
6: Un lugar cambiante en la mesa del consejo
Tras alcanzar su punto máximo en 2024, la sintonía entre CISO y los consejos de administración ha disminuido. Este año, solo el 64 % de los CISO considera que su consejo comparte su visión en materia de ciberseguridad, frente al 84 % del año pasado. Del mismo modo, únicamente el 66 % de los CISO cree que los consejeros deberían contar con experiencia en ciberseguridad, una caída notable desde el 84 %.
Aun así, se han dado pasos importantes. Por primera vez, el impacto en la valoración de la empresa se sitúa como la principal preocupación del consejo en caso de un ciberataque, lo que refleja una apreciación más estratégica del ciberriesgo a nivel ejecutivo.
7: Presión creciente, alivio limitado
Las exigencias sobre los CISO siguen siendo implacables. El 66 % afirma enfrentarse a expectativas excesivas, un dato estable respecto al año pasado, pero aún más alto que en años anteriores. Más preocupante aún, el 67 % se siente personalmente responsable en caso de incidente, mientras que solo el 67 % considera disponer de presupuestos, herramientas y personal suficientes para alcanzar sus objetivos.
No obstante, hay un rayo de esperanza: el 65 % de los CISO asegura que su organización ha adoptado medidas para protegerles de responsabilidades personales, un paso esencial para abordar la epidemia de agotamiento que crece año tras año.
Reflexión final
El informe de Voice of the CISO 2025 dibuja un panorama complejo: los líderes de seguridad son hoy más visibles y expertos que nunca, pero también más vulnerables, frente a los ciberataques, al agotamiento y a unas expectativas que en muchos casos resultan poco realistas.
El reto ahora es transformar la confianza organizativa en verdadera resiliencia. Eso exige, sin duda, una tecnología más inteligente, pero también una gobernanza (o gobierno) más sólida, mayor inversión en las personas y un compromiso real por parte de los consejos de administración. Porque, a medida que evoluciona el panorama de amenazas, también debe hacerlo nuestra forma de proteger lo que más importa: las personas y los datos.
Descargue el informe completo Voice of the CISO 2025 aquí.
Inscríbase en nuestro próximo webinar Voice of the CISO para repasar nuestras conclusiones clave y conocer de primera mano la visión de los CISO.
