Microsoft ha divulgado hallazgos de una encuesta integral sobre ciberseguridad e inteligencia artificial titulada «Ciberseguridad 2025: Desafíos y estrategias en la era de la IA para empresas en Costa Rica», realizada en colaboración con Edelman. El estudio incluyó a 100 profesionales de TI y seguridad de organizaciones costarricenses, proporcionando perspectivas sobre cómo las empresas abordan los desafíos de seguridad digital y promueven la adopción responsable de tecnología.

Panorama actual de riesgos y perspectivas futuras

La investigación revela que las amenazas digitales representan una preocupación constante para las empresas costarricenses. El 61% de las organizaciones encuestadas percibe su exposición a riesgos de ciberseguridad como alta o muy alta. La situación se ha intensificado en años recientes, con el 71% reportando un aumento de amenazas en los últimos tres años. De cara al futuro, el 78% de las organizaciones planea elevar la ciberseguridad como área de enfoque prioritario. Además, el 57% de los encuestados anticipa que la inteligencia artificial influirá sustancialmente en sus prácticas de ciberseguridad, señalando una transformación rápida en cómo las organizaciones gestionan el riesgo.

Gobernanza y desarrollo estratégico

Las organizaciones demuestran avances en la implementación de estructuras formales de gobernanza de seguridad. Aproximadamente el 62% de las empresas ha establecido estrategias formales de ciberseguridad, y entre estas, el 90% confirma que sus planes se alinean con los objetivos comerciales generales. Sin embargo, la participación del liderazgo varía significativamente. Mientras que el 55% de todas las empresas encuestadas reporta participación fuerte a nivel de junta directiva en decisiones de ciberseguridad, este porcentaje sube al 63% entre empresas digitalmente nativas pero cae al 44% en organizaciones tradicionales. Además, el 69% de las organizaciones mantiene asignaciones de presupuesto de ciberseguridad ligeras o moderadas en relación con el gasto total en TI, lo que sugiere la necesidad de mayor compromiso ejecutivo dado el impacto directo de la ciberseguridad en la continuidad del negocio y la reputación corporativa.

Prioridades de inversión y brechas operacionales

En los próximos años, las prioridades de inversión se concentran intensamente en soluciones de seguridad en la nube (77%), sistemas de inteligencia de amenazas y monitoreo (62%), y herramientas de seguridad impulsadas por IA (56%). Por el contrario, áreas críticas esenciales para la resiliencia organizacional reciben considerablemente menos atención. Los programas de capacitación de empleados (30%), las capacidades de respuesta ante incidentes y recuperación (18%), la implementación de arquitectura Zero Trust (14%) y la seguridad de endpoints (13%) ocupan rangos inferiores en las consideraciones de financiamiento. Esta disparidad revela brechas significativas en la preparación operacional y la capacidad de contención de incidentes.

Evaluación de preparación actual

Al evaluar su disposición frente a amenazas contemporáneas, el 76% de las organizaciones reporta sentirse altamente o moderadamente preparadas. Las fortalezas emergen en medidas de privacidad de datos (61%), cumplimiento normativo (50%) y protección de identidad (49%). Sin embargo, las iniciativas de conciencia y capacitación de empleados permanecen subdesarrolladas, con solo el 35% de las organizaciones reportando avances adecuados en esta área crítica.

Agentes de IA como facilitadores de seguridad

El panorama tecnológico continúa evolucionando, con agentes de IA emergiendo como herramientas significativas para mejorar las capacidades de defensa digital. El 44% de las organizaciones ha establecido políticas formales que rigen el despliegue de agentes de IA, y el 80% de estas empresas percibe sus políticas como efectivas. Las calificaciones de efectividad varían según el tipo de organización: el 47% de las empresas digitalmente nativas considera estas políticas altamente efectivas, mientras que solo el 21% de las organizaciones tradicionales lo hace.

La adopción práctica avanza de manera constante, con el 54% de las organizaciones utilizando ya agentes de IA en procesos de ciberseguridad y el 40% evaluando su implementación. Los experimentos abarcan múltiples funciones críticas: servicio al cliente (60%), infraestructura de TI (53%), ventas y marketing (50%), finanzas (46%) y recursos humanos (40%).

Estas soluciones impulsadas por IA contribuyen significativamente a las operaciones de seguridad al automatizar tareas rutinarias, simplificar flujos de trabajo y operar dentro de salvaguardas establecidas. Los beneficios incluyen tiempos de investigación reducidos, priorización mejorada de alertas, contención más rápida de incidentes y aplicación consistente de políticas en dominios de identidad y datos. La integración de modelos de IA con telemetría a gran escala y controles Zero Trust fortalece la postura de seguridad organizacional frente a amenazas cada vez más sofisticadas.

Recomendaciones estratégicas

Las organizaciones deben establecer la seguridad como prioridad estratégica con supervisión ejecutiva, reforzar la higiene digital a través de la protección de identidad y el monitoreo continuo de activos en la nube, y construir resiliencia digital mediante evaluación de vulnerabilidades y planificación de recuperación. La inversión en capital humano resulta igualmente crucial, con la preparación para amenazas emergentes requiriendo intercambio de inteligencia de amenazas y adopción de enfoques de seguridad facilitadores en lugar de restrictivos.

Metodología de investigación

El estudio, realizado en noviembre de 2025, encuestó a 100 profesionales de seguridad de TI de organizaciones que superan los 100 empleados, incluyendo CIOs, CTOs, CISOs y analistas de seguridad en sectores de tecnología, finanzas, energía, retail, manufactura, salud, bienes de consumo, servicios profesionales, agricultura y transporte.

Las empresas costarricenses intensifican defensas ante amenazas crecientes mientras Microsoft alerta sobre uso descontrolado de IA generativa

Una nueva encuesta de Microsoft divulgada a mediados de diciembre muestra que las empresas costarricenses intensifican sus esfuerzos de ciberseguridad tras identificar el uso no autorizado de inteligencia artificial generativa como una amenaza emergente y predecir que la IA remodelará dramáticamente sus defensas en los próximos dos años.

El estudio, «Ciberseguridad 2025: Desafíos y estrategias en la era de la IA para empresas en Costa Rica», encuestó a 100 líderes locales de TI y seguridad, pintando un panorama de organizaciones que reconocen riesgos digitales crecientes y desean aprovechar herramientas de IA para contrarrestarlos. Sin embargo, brechas en capacitación, presupuestos y supervisión de nivel superior sugieren que muchas empresas permanecen vulnerables incluso mientras aceleran la adopción de tecnología.

La investigación de Microsoft, realizada con Edelman, señala un cambio significativo en el panorama de amenazas costarricense. De acuerdo con reportes de Crhoy, la empresa advirtió que los empleados que experimentan con sistemas de IA generativa fuera de canales autorizados ahora representa una «nueva amenaza de ciberseguridad». Simultáneamente, el 57% de las firmas nacionales esperan que la IA tenga un «alto impacto» en su postura de seguridad, cifra destacada por Revista Factor de Éxito.

Estos hallazgos llegan en medio de evidencia más amplia de que las organizaciones enfrentan un aumento en los ataques. El 61% de los encuestados ya califica su exposición actual a riesgos cibernéticos como alta o muy alta, y el 71% señala que las amenazas han aumentado en los últimos tres años. De cara al futuro, el 78% tiene intención de elevar la ciberseguridad como prioridad empresarial primaria.

La brecha en gobernanza

La gobernanza formal de seguridad avanza, aunque la participación desigual a nivel de junta directiva podría obstaculizar el progreso. Microsoft reporta que el 62% de las firmas costarricenses ahora operan con una estrategia de ciberseguridad documentada, y el 90% de esas estrategias se alinean con los objetivos empresariales generales. Pero solo el 55% de las empresas, incrementándose al 63% entre negocios digitalmente nativos y disminuyendo al 44% en los tradicionales, describe la participación de la junta en decisiones de seguridad como «fuerte». La cautela de los ejecutivos también se refleja en el gasto: el 69% de las organizaciones dice que sus presupuestos de ciberseguridad permanecen ligeros o moderados en relación con los gastos totales de TI.

Hacia dónde va el dinero

Las inversiones planeadas enfatizan defensas en la nube (77% de los encuestados), plataformas de inteligencia de amenazas (62%) y herramientas de seguridad impulsadas por IA (56%). Por el contrario, las funciones críticas para detectar y contener brechas rezagan. Solo el 30% prioriza la capacitación de empleados, el 18% planea reforzar capacidades de respuesta ante incidentes, el 14% se enfoca en arquitecturas Zero Trust y el 13% señala la seguridad de endpoints para financiamiento en el corto plazo. Estas cifras sugieren que aunque las empresas cada vez más ven la IA como un acelerador de seguridad, muchas pueden estar construyendo conjuntos de herramientas sofisticadas sobre fundamentos operacionales inestables.

Adopción de IA: políticas y práctica

Casi la mitad de las organizaciones costarricenses (44%) tienen políticas formales que regulan el uso de agentes de IA, y el 80% de ellas considera que esas reglas son efectivas. Aún así, las percepciones varían dramáticamente según el modelo de negocio: el 47% de las empresas digitalmente nativas consideran sus políticas «altamente efectivas», mientras que solo el 21% de las empresas tradicionales lo hace.

La implementación ya es generalizada. El 54% de las firmas despliegan activamente agentes de IA en flujos de trabajo de seguridad, y otro 40% está evaluando la tecnología. Las aplicaciones comunes incluyen automatizar análisis de amenazas, simplificar la clasificación de alertas y hacer cumplir controles de gestión de identidades. Fuera de seguridad, los equipos están pilotando asistencia de IA en servicio al cliente (60%), operaciones de TI (53%), ventas y marketing (50%), finanzas (46%) y recursos humanos (40%).

La experimentación no autorizada como punto ciego

A pesar de ese impulso, la advertencia de Microsoft sobre IA generativa sin sanción subraya un punto ciego en muchas defensas corporativas. Los empleados que aprovechan chatbots o generadores de imágenes públicos sin supervisión pueden exponer datos propietarios o introducir inadvertidamente código malicioso. El problema es particularmente agudo para las firmas que aún no han implementado directrices de uso claras o herramientas de monitoreo capaces de detectar actividad de IA en las sombras. Como señala la cobertura de Crhoy, Microsoft ahora clasifica la adopción descontrolada de IA generativa junto con phishing, ransomware y configuración incorrecta de la nube como amenazas de primer nivel para 2026 y más allá.

Preparación versus confianza

En autoevaluaciones, el 76% de las empresas costarricenses se describen como altamente o moderadamente preparadas para enfrentar amenazas actuales. Las fortalezas incluyen salvaguardas de privacidad de datos (61%), programas de cumplimiento (50%) y mecanismos de protección de identidad (49%). Sin embargo, solo el 35% dice que las iniciativas de conciencia de empleados están en buen camino, un área directamente vinculada a las preocupaciones sobre IA generativa señaladas por Microsoft.

Recomendaciones estratégicas del informe

El reporte insta a las firmas a:

  • Elevar la ciberseguridad a prioridad estratégica con supervisión ejecutiva explícita.
  • Fortalecer la higiene digital, especialmente la protección de identidad y el monitoreo de activos en la nube.
  • Construir resiliencia mediante evaluaciones regulares de vulnerabilidades y planificación de recuperación ante desastres.
  • Invertir en capital humano expandiendo capacitación e intercambio de inteligencia de amenazas.

La metodología importa

La encuesta «Ciberseguridad 2025» fue conducida en noviembre de 2025 y se enfocó en profesionales de organizaciones con más de 100 empleados en diez sectores, incluyendo tecnología, finanzas, retail y salud. Los encuestados variaban desde oficiales de seguridad de la información a nivel de junta hasta analistas de seguridad, ofreciendo una sección transversal de perspectivas sobre preparación e inversión.

Análisis: navegando la paradoja de IA y seguridad

Los hallazgos de Microsoft sitúan a Costa Rica firmemente dentro de un debate global: cómo aprovechar las ventajas defensivas de la IA sin amplificar el riesgo. Por un lado, las herramientas impulsadas por IA pueden reducir tiempos de detección, correlacionar amplias corrientes de telemetría e imponer políticas a velocidad de máquina, todo vital conforme los adversarios automatizan sus propios ataques. Por otro, la democratización de modelos generativos reduce las barreras para los actores de amenaza y crea nuevas avenidas para errores internos.

El entusiasmo de las firmas costarricenses, evidenciado por el 57% esperando impacto importante de IA, les da una oportunidad para avanzar hacia arquitecturas modernas de seguridad. Sin embargo, la parte relativamente pequeña canalizando recursos hacia capacitación, marcos Zero Trust y protección de endpoints señala problemas potenciales. Los agentes de IA son solo tan confiables como las capas de datos e identidad bajo ellos; controles laxos ahí pueden convertir herramientas avanzadas en una ilusión de seguridad.

La brecha en participación a nivel de junta complica aún más las cosas. Mientras que las empresas digitalmente nativas reportan mayor supervisión y efectividad de políticas, las industrias tradicionales todavía dominan la economía nacional y frecuentemente portan datos sensibles de clientes. Asegurar que los directores en sectores de manufactura, energía y agricultura vean la seguridad y la gobernanza de IA como asuntos comerciales fundamentales puede determinar si Costa Rica cumple su ambición de ser un hub tecnológ

Fuentes

  • https://crhoy.com/tecnologia/uso-no-autorizado-de-ia-generativa-nueva-amenaza-de-ciberseguridad-en-empresas-costarricenses/
  • https://www.revistafactordeexito.com/posts/68303/57-de-empresas-nacionales-anticipa-alto-impacto-de-ia-en-sus-practicas-de-ciberseguridad-segun-estudio

Tags