Muchas empresas creen que su mayor riesgo está afuera, en los hackers. Pero hoy una parte crítica del problema nace adentro: datos sensibles que circulan sin control entre correos, nubes, chats, hojas de cálculo e incluso herramientas de IA.
La pérdida de información privilegiada ya no es un incidente aislado ni un problema exclusivo del área de tecnología. Se ha convertido en una señal de desorden estructural dentro de las organizaciones. Cuando los datos estratégicos circulan sin contexto, sin responsables claros y sin una arquitectura funcional que los gobierne, la empresa queda expuesta a errores, filtraciones, sanciones, pérdidas económicas y daño reputacional. En este artículo comprenderá por qué este problema sigue creciendo incluso en organizaciones que invierten más en ciberseguridad, qué errores empresariales lo alimentan y cómo abordarlo desde una perspectiva de arquitectura empresarial funcional, donde la tecnología deja de ser un parche y pasa a ser un instrumento coherente de control, continuidad y confianza.
Durante años, muchas empresas construyeron su seguridad pensando casi exclusivamente en el enemigo externo. Firewalls, antivirus, segmentación de red, controles perimetrales y listas interminables de restricciones parecían suficientes para transmitir tranquilidad. Sin embargo, la realidad actual está mostrando algo incómodo: una parte importante de la pérdida de información ya no ocurre solo por un atacante que rompe una barrera, sino por la forma cotidiana en que la propia organización crea, mueve, comparte y reutiliza sus datos.
El dato que sirve de punto de partida para esta reflexión es contundente. Un informe difundido en octubre de 2025 indicó que el 77 % de las organizaciones reportó al menos un incidente relacionado con pérdida de información privilegiada en los 18 meses previos, y el 58 % reportó seis o más incidentes. Además, 72 % dijo no tener visibilidad suficiente sobre cómo los empleados interactúan con datos sensibles, y una proporción relevante reportó impactos financieros de millones de dólares por incidente.
La primera lectura de esa cifra suele llevar a una conclusión rápida: “necesitamos más herramientas de ciberseguridad”. Pero esa respuesta, aunque comprensible, es insuficiente. De hecho, el mismo panorama muestra que muchas organizaciones sí han aumentado su inversión. El problema no desaparece porque el fondo del asunto no es únicamente técnico. Es empresarial. Es estructural. Es funcional.
Cuando una empresa pierde información privilegiada, rara vez está viendo solo una falla de software. Lo que aparece es una suma de debilidades más profundas: procesos mal definidos, roles ambiguos, exceso de confianza, falta de clasificación documental, cultura de urgencia, uso improvisado de plataformas en la nube, tercerización sin gobierno claro y adopción acelerada de herramientas de inteligencia artificial sin criterio de confidencialidad. En otras palabras, la fuga del dato suele ser el síntoma visible de una arquitectura empresarial mal resuelta.
Ese es el punto que muchos empresarios no logran ver a tiempo. La información sensible no se pierde únicamente porque alguien “robó” algo. También se pierde porque nadie definió con precisión qué información era crítica, quién podía acceder a ella, bajo qué contexto debía usarse, cómo debía circular y qué controles debían activarse cuando cambiaba de entorno. Una base de datos enviada a un proveedor por correo, un reporte financiero subido a una nube personal, una propuesta comercial copiada en una IA pública o una hoja de cálculo compartida sin restricción pueden parecer actos menores. Pero cuando se repiten dentro de una empresa con desorden funcional, dejan de ser excepciones y se convierten en patrón.
Hoy ese patrón se agrava por dos factores. El primero es la descentralización del trabajo. El dato ya no vive en un solo servidor ni en un solo edificio. Se mueve entre plataformas SaaS, aplicaciones colaborativas, dispositivos móviles, proveedores, consultores y automatizaciones. El segundo es la presión por productividad inmediata. Muchas personas comparten información sensible no por mala intención, sino por rapidez, costumbre o desconocimiento. Fortinet reportó precisamente que una parte significativa de estos incidentes surge de la actividad normal de los usuarios más que de una intención maliciosa.
Eso cambia por completo la conversación. Ya no basta con pensar en “ataques”. Hay que pensar en comportamiento organizacional. Y cuando una empresa entra en ese nivel de análisis, descubre que la ciberseguridad moderna no puede depender solo del área de sistemas. Debe conectarse con dirección, procesos, talento humano, cumplimiento, cultura y estrategia.
Aquí es donde la arquitectura empresarial funcional adquiere verdadero valor. Una empresa funcional no pregunta solamente qué herramienta comprar. Primero pregunta qué dato sostiene el negocio, en qué proceso nace, quién lo transforma, quién lo aprueba, dónde se almacena, cuándo cambia de riesgo, qué terceros lo tocan y qué consecuencias tendría perderlo, alterarlo o exponerlo. Esa mirada parece más lenta al principio, pero es la única que evita gastar en tecnología desconectada de la realidad operativa.
En muchas organizaciones ocurre un error clásico: se implementan controles técnicos sobre una estructura desordenada. Entonces aparecen más alertas, más licencias, más paneles y más políticas, pero no aparece más claridad. El equipo se acostumbra a convivir con reglas que nadie entiende y excepciones que todo el mundo normaliza. Allí nace una falsa seguridad. Desde afuera parece que la empresa está protegida. Desde adentro, la información sigue viajando sin gobierno.
Otro aspecto crítico del contexto reciente es la inteligencia artificial generativa. Kaspersky alertó en 2025 que el uso de plataformas públicas de IA por parte de empleados puede abrir una nueva puerta de fuga de datos, precisamente porque muchos usuarios cargan reportes, bases de datos, documentos internos o consultas sensibles buscando rapidez en sus tareas. El problema no es la IA en sí misma, sino usarla sin política, sin clasificación de información y sin inteligencia humana sobre el riesgo.
Esta es una de las mayores lecciones empresariales del momento: la innovación acelera los flujos de información mucho más rápido de lo que madura la gobernanza de esa información. Por eso tantas compañías creen estar modernizándose, cuando en realidad están ampliando su superficie de exposición. Adoptan nube, automatización e IA, pero conservan hábitos administrativos viejos: documentos sin propietario, accesos heredados, carpetas compartidas por comodidad, aprobaciones informales y ausencia de trazabilidad.
Desde la experiencia empresarial, he visto que las organizaciones que más sufren este problema no son necesariamente las más pequeñas ni las menos tecnificadas. A veces son precisamente las que han crecido rápido, digitalizaron muchas áreas y nunca se detuvieron a rediseñar su arquitectura de decisiones. Tienen ventas, tienen operación, tienen sistemas, tienen presencia digital; pero no tienen una visión