El escenario cibernético ha cambiado drásticamente con la rápida adopción de la inteligencia artificial. En la frenética carrera por aprovechar el potencial de la IA, las organizaciones a menudo se encuentran contrarreloj, ansiosas por desplegar IA sin antes evaluar sus medidas fundamentales de ciberseguridad. Esto crea un paralelo peligroso: mientras las empresas se apresuran a adoptar la IA para obtener una ventaja competitiva, los delincuentes cibernéticos están incorporando con la misma rapidez estas tecnologías a sus arsenales de ataque.
No todo son malas noticias. Por primera vez en cinco años, los costos globales de filtración de datos han disminuido. El Informe del costo de una filtración de datos de 2025 recientemente publicado por IBM encontró que los costos globales promedio cayeron a 4.44 millones de dólares, frente a los 4.88 millones de dólares, o el 9 %, en el año anterior. ¿El catalizador? Contención más rápida de las filtraciones gracias a las defensas impulsadas por IA. Según el informe, las organizaciones pudieron identificar y contener una filtración en un tiempo medio de 241 días, el más bajo en nueve años.
Sin embargo, este progreso viene con una advertencia: la velocidad del despliegue de la IA y la automatización que está ayudando a las organizaciones a defenderse mejor también está creando nuevos riesgos. Este fenómeno de adopción de IA que supera la supervisión puede conducir a una deuda de seguridad significativa, lo que representa un riesgo para las empresas decididas a mantener una ventaja competitiva. Esta deuda —las consecuencias acumulativas de prácticas de ciberseguridad retrasadas o insuficientes— puede provocar vulnerabilidades graves con el tiempo. Con la IA, las organizaciones ya están empezando a mostrar señales de advertencia.
Considere esto: un asombroso 97 % de las organizaciones filtradas que experimentaron un incidente de seguridad relacionado con la IA dicen que carecían de controles de acceso adecuados a la IA, según los hallazgos del Informe del costo de una filtración de datos. Además, entre las 600 organizaciones investigadas por el Ponemon Institute independiente, el 63 % reveló que no cuenta con políticas de gobernanza de la IA para gestionar la IA o evitar que los trabajadores utilicen la IA en la sombra.
Esta brecha de supervisión en IA conlleva elevados costos financieros y operativos. El informe muestra que tener un alto nivel de IA en la sombra, donde los trabajadores descargan o utilizan herramientas de IA no aprobadas basadas en Internet, agregó 670 000 USD adicionales al costo promedio global de las filtraciones. Las filtraciones relacionadas con la IA también tuvieron un efecto dominó: provocaron un compromiso generalizado de datos y una interrupción operativa. Esa interrupción puede impedir que las organizaciones procesen pedidos de ventas, brinden atención al cliente y mantengan en funcionamiento las cadenas de suministro.
Al descuidar las prácticas fundamentales de ciberseguridad al adoptar IA, las compañías se vuelven vulnerables a la interrupción operativa de las cargas de trabajo basadas en IA, filtraciones de datos a gran escala que abarcan entornos on premises y multinube, y la posible exposición de la propiedad intelectual empleada para capacitar o ajustar sus implementaciones de IA.
A medida que los líderes empresariales continúan sumergiendo e impulsando el bombo de IA, deben enfrentar el riesgo exagerado que persiste dentro de sus infraestructuras generales. Esto es especialmente cierto en lo que respecta a la seguridad en la nube, donde las cargas de trabajo y los datos de IA pasan la mayor parte del tiempo. Para garantizar que estos se mantengan dentro de los niveles de apetito de riesgo organizacionales, los líderes de seguridad deben ayudar a sus compañías a triunfar en IA reevaluando sus marcos de ciberseguridad. Estos líderes deben asegurarse de que sus empresas puedan adaptarse a los riesgos cambiantes que acompañan a las tecnologías de IA.
Esto incluye auditorías periódicas de las políticas de seguridad y protección de datos, la adaptación de los controles, la evolución de los planes de respuesta y la inversión en la capacitación de los empleados. A medida que los directivos de IA (CAIO) recién nombrados se unen gradualmente a las filas de los altos ejecutivos, los líderes de seguridad deben estar a su lado. Deben fortalecer sus vínculos con los equipos de gobernanza, riesgo y cumplimiento (GRC) para ayudar a romper los silos actuales o emergentes con el departamento que supervisa el cumplimiento normativo. Esto contribuirá en gran medida a garantizar la coordinación y a crear un sólido vínculo de respuesta ante crisis en caso de que se produzca una filtración de datos que afecte a los activos de IA.
¿Qué tan riesgosa es esta situación? Los delincuentes cibernéticos son muy conscientes de esta debilidad circunstancial, y posicionan las cargas de trabajo de IA como objetivos de alto valor listos para ser comprometidos. ¿El riesgo se está materializando en el mundo real? La respuesta, como se puede ver en los datos anteriores, es sí. El informe revela que el 13 % de las organizaciones encuestadas han experimentado un ataque que afectó a sus modelos o aplicaciones de IA. Ese porcentaje es pequeño, por ahora. Es probable que veamos muchos más en los próximos 12 meses, a menos que los líderes de seguridad y sus homólogos empresariales reconozcan el riesgo y se centren más en la seguridad de la IA.
Para mitigar estos riesgos y fortalecer su postura de seguridad, las organizaciones deben:
1. Fortalecer la gestión de identidad y acceso: implementar una gestión de identidad sólida y una gestión de acceso de privilegios para identidades humanas y no humanas (NHI), especialmente en entornos de nube. Utilice esquemas avanzados de autenticación multifactor (MFA), manteniéndose alejado de los códigos basados en SMS. Aprovecha soluciones de gestión de identidad que mejoran la seguridad y agilizan una gestión eficaz de accesos.
2. Revisar y reforzar la seguridad en la nube: lo más probable es que sus datos de IA se muevan a través de las nubes, trabajen en la nube y requieran interacciones en la nube de terceros. Realice evaluaciones exhaustivas de las configuraciones y permisos de la nube. Utilice herramientas de seguridad nativas de la nube para supervisar las actividades y aplicar las políticas de seguridad de manera eficaz. Cambie a la automatización mejorada por IA para detectar y mitigar riesgos rápidamente.
3. Fortalecer la gobernanza, el riesgo y el cumplimiento (GRC) de la IA: alinee las iniciativas de la IA con los objetivos de la organización garantizando una sólida gobernanza de la IA. Esa gobernanza debe centrarse en el desarrollo y despliegue de sistemas de IA, supervisando procesos, políticas y controles que abordan las complejidades y riesgos únicos que introduce la IA. Apoye este proceso apoyándose en las políticas de gobernanza de datos existentes para garantizar que ambas funcionen al unísono para minimizar los riesgos de datos y privacidad.
Emplee tecnologías que permitan el seguimiento del linaje de datos que sigue el recorrido de los datos dentro de su organización, desde su origen hasta su destino final, y todas las transformaciones que experimenta a lo largo del camino. Esto puede ayudar a su organización con visibilidad, prácticas éticas de IA y responder más rápido al posible compromiso de los datos.
4. Brindar educación y capacitación continuas: educar y capacitar regularmente al personal sobre las amenazas emergentes de la IA y las mejores prácticas. Desarrolle planes sólidos, playbooks y estrategias de respuesta en escenarios de riesgo relevantes. Realizar ejercicios y simulaciones de mesa para preparar a los equipos ante posibles incidentes cibernéticos.
Cerrar la brecha entre la rápida adopción de la IA y prácticas de seguridad diligentes preparará mejor a los equipos para afrontar el escenario de amenazas de la IA. Priorizar la gobernanza, las consideraciones éticas y la seguridad hoy sentará las bases para la resiliencia mañana.
