¿Qué amenaza emergente identifica el informe Kordia 2026 más allá del robo de datos?

El informe señala el uso indebido de la IA por parte de los empleados como una de las amenazas emergentes más urgentes, como el personal que introduce datos sensibles en herramientas de IA externas o que utiliza plataformas de IA no autorizadas.

¿El uso indebido de herramientas de IA por parte de los empleados se considera generalmente intencionado o accidental?

Según el informe, el uso indebido de la IA por parte del personal generalmente no está motivado por intención maliciosa, sino por la conveniencia que se impone sobre la precaución.

¿Por qué los datos personales tienden a quedar expuestos en una proporción tan alta de incidentes cibernéticos exitosos?

La información personal se almacena en múltiples sistemas, se comparte ampliamente y es accedida regularmente en muchos niveles organizacionales, lo que significa que cualquier intrusión exitosa tiene una probabilidad razonable de tocar datos personales antes de ser detectada.

¿Qué tipos de organizaciones encuesta el informe de Kordia?

El informe de Kordia encuesta a empresas neozelandesas de diversos sectores y tamaños, convirtiéndolo en un análisis regional de cómo se desarrollan en la práctica los incidentes cibernéticos.

Informe Kordia 2026: El 17% de los incidentes cibernéticos en Nueva Zelanda terminan en robo de datos

Un informe sectorial recién publicado está poniendo una cifra exacta a un problema que la mayoría de las organizaciones saben que existe pero tienen dificultades para medir: los incidentes cibernéticos de robo de datos personales representan ahora una parte significativa de todos los eventos de seguridad. Según el Informe de Ciberseguridad Empresarial de Kordia Nueva Zelanda 2026, el 17% de los incidentes cibernéticos, aproximadamente uno de cada seis, resultan en el acceso no autorizado o el robo de información personal. Junto a esa cifra, el informe señala el uso indebido de la IA por parte de los empleados como una de las amenazas emergentes más urgentes que enfrentan hoy las organizaciones.

En conjunto, estos hallazgos dibujan un panorama de un entorno de amenazas que evoluciona más rápido de lo que muchas defensas convencionales están diseñadas para gestionar.

Qué encontró realmente el Informe Kordia 2026

El informe de Kordia encuesta a empresas neozelandesas de diversos sectores y tamaños, lo que lo convierte en uno de los análisis regionales más concretos sobre cómo se desarrollan en la práctica los incidentes cibernéticos. El dato principal —que el 17% de los incidentes termina en exposición de datos personales— es notable porque captura un resultado específico en lugar de limitarse al volumen o tipo de ataques.

Muchos informes de ciberseguridad se centran en cómo comienzan los ataques: correos electrónicos de phishing, credenciales comprometidas, software sin parches. Este informe llama la atención sobre dónde terminan los ataques, y en una proporción significativa, ese punto final es la información personal de alguien saliendo del control de la organización. Esa distinción es importante para comprender el riesgo en términos que realmente importan a los reguladores, clientes y juntas directivas.

El informe también destaca el uso indebido de la IA por parte del personal como un desafío emergente. Esto se refiere a empleados que introducen datos sensibles en herramientas de IA externas, utilizan plataformas de IA no autorizadas o comparten información confidencial mientras intentan automatizar su trabajo. En la mayoría de los casos no hay intención maliciosa. Es la conveniencia que se impone sobre la precaución.

Por qué uno de cada seis incidentes termina en una filtración de datos

La cifra del 17% refleja algunas realidades estructurales sobre cómo las organizaciones modernas gestionan los datos. La información personal tiende a almacenarse en múltiples sistemas, a compartirse ampliamente dentro de las organizaciones y a ser accedida regularmente por empleados en muchos niveles. Esa distribución significa que cualquier intrusión exitosa tiene una probabilidad razonable de tocar datos personales antes de ser detectada y contenida.

También refleja el alto valor de la información personal como objetivo. Los atacantes que obtienen acceso a una red suelen buscar específicamente nombres, datos de contacto, registros financieros e información de identidad. Estos tienen valor de reventa directo y pueden utilizarse en ataques de fraude y de ingeniería social posteriores.

La brecha entre la ocurrencia de un incidente y la confirmación de que los datos personales han sido comprometidos es también un factor. Los retrasos en la detección dan a los atacantes más tiempo para localizar y exfiltrar los registros más valiosos. Las organizaciones que carecen de registros robustos, segmentación o monitoreo tienen más probabilidades de descubrir una filtración solo después de que los datos ya han salido.

Este patrón no es exclusivo de Nueva Zelanda. Se alinea con lo que los investigadores han documentado a nivel mundial: las entidades reguladas y las organizaciones con buenos recursos aún gestionan mal de forma habitual los datos personales, como se exploró en la aplicación de verificación de edad de la UE que fue vulnerada a los pocos minutos de su lanzamiento, donde las suposiciones de diseño sobre seguridad resultaron ser fatalmente optimistas casi de inmediato.

La amenaza interna de la IA que las VPN no pueden resolver por sí solas

El hallazgo sobre el uso de la IA merece especial atención porque representa una categoría de riesgo para la que la mayoría de las herramientas de seguridad existentes no están diseñadas. Cuando un empleado pega registros de clientes en un asistente de IA público o usa una herramienta de productividad no autorizada para procesar datos de recursos humanos, ningún cortafuegos se activa, ninguna VPN genera una alerta y ningún sistema de detección de intrusiones lanza una alarma. Los datos salen a través de un canal perfectamente legítimo.

Este es el problema central de la exposición impulsada por actores internos: a menudo parece idéntica al trabajo normal. Una VPN protege la conexión entre un dispositivo y una red corporativa. No regula lo que un empleado hace con los datos una vez que tiene acceso legítimo a ellos. El cifrado protege los datos en tránsito entre puntos de confianza; no protege los datos que un usuario autorizado decide enviar a algún lugar no autorizado.

Las organizaciones que han invertido intensamente en herramientas de seguridad perimetral —incluidas VPN, protección de endpoints y cortafuegos— pueden seguir estando expuestas si no han abordado la capa humana y de políticas. Los hallazgos de Kordia sugieren que esta brecha está creciendo a medida que las herramientas de IA se vuelven más baratas, más capaces y más integradas en los flujos de trabajo cotidianos.

El desafío se agrava por la rapidez con que cambia el panorama de herramientas de IA. Una política redactada hace seis meses puede no cubrir las plataformas que los empleados están usando hoy.

Construir una defensa de privacidad que vaya más allá de las VPN

Abordar tanto la tasa de robo de datos como la amenaza interna de la IA requiere un enfoque por capas que combine controles técnicos con políticas organizacionales y formación de usuarios.

En el plano técnico, las herramientas de prevención de pérdida de datos (DLP) pueden configurarse para detectar cuándo se están enviando categorías sensibles de información a plataformas externas, incluidos los servicios de IA. El monitoreo de red que registra las transferencias de datos salientes puede ayudar a identificar patrones inusuales. Los controles de acceso que limitan qué empleados pueden acceder a qué datos reducen el radio de impacto de cualquier incidente individual.

En el plano de las políticas, las organizaciones necesitan orientaciones claras y actualizadas sobre las herramientas de IA aprobadas, qué categorías de datos pueden procesarse externamente y cuáles son las consecuencias de las infracciones de política. La ambigüedad es una responsabilidad. Los empleados que no están seguros de si una herramienta está aprobada a menudo optarán por usarla de todas formas, especialmente si les facilita el trabajo.

La formación de usuarios sigue siendo fundamental. La mayoría de los empleados que generan incidentes de exposición de datos relacionados con la IA no actúan con intención maliciosa. Están tratando de trabajar de forma eficiente. La formación que explica específicamente por qué ciertos datos no pueden introducirse en herramientas de IA externas —en lugar de limitarse a decir que no pueden— tiende a producir un mejor cumplimiento que los recordatorios genéricos de seguridad.

Para los individuos, el informe es un útil recordatorio para comprobar qué datos personales tienen las organizaciones sobre ellos y cómo están protegidos. Leyes como la Ley de Privacidad del Consumidor de California otorgan a algunos consumidores derechos formales sobre sus datos, aunque la aplicación de la CCPA tiene lagunas significativas en la práctica, y ejercer esos derechos requiere un esfuerzo activo.

Qué significa esto para usted

El informe Kordia 2026 es un estudio centrado en Nueva Zelanda, pero sus hallazgos reflejan patrones reconocibles en distintos sectores y geografías. Que uno de cada seis incidentes resulte en robo de datos personales es una tasa significativa, y la aparición del uso indebido de la IA como amenaza interna añade una nueva dimensión a la que muchos programas de seguridad aún están tratando de adaptarse.

Para los individuos, esto es un incentivo para reflexionar sobre qué datos personales comparte con las empresas, cuántos podrían quedar expuestos en una filtración y si está ejerciendo los derechos disponibles para minimizar esa exposición. Para las organizaciones, el informe es un argumento para trasladar las conversaciones sobre seguridad más allá de las herramientas perimetrales y hacia una gobernanza integral de los datos.

Las defensas técnicas son necesarias pero no suficientes. La cifra del 17% sugiere que incluso después de que ocurran los incidentes, contener el impacto sobre los datos personales requiere velocidad, visibilidad y políticas claras que la mayoría de las organizaciones aún están trabajando en desarrollar. Revisar su propia huella de datos, comprender qué derechos tiene bajo las leyes de privacidad aplicables y mantenerse informado sobre cómo ocurren realmente las filtraciones son primeros pasos prácticos que cualquiera puede dar hoy.