La Inteligencia Artificial (IA) no solo representa una ventaja competitiva para las empresas, sino también una poderosa aliada para fortalecer la ciberseguridad. Esta tecnología permite transformar radicalmente la forma en que las organizaciones detectan, previenen y responden a los ataques. Pero también plantea nuevos vectores de riesgo que deben ser gestionados de forma integral y anticipada.
Así lo revela el último sondeo de ‘Pulso Empresarial’, realizado por KPMG y La Vanguardia, donde se constata una creciente conciencia del tejido empresarial: el 85% de las compañías afirma que su equipo directivo es consciente o muy consciente de los riesgos derivados del uso de la IA, y el 75% ya cuenta con un plan definido de seguridad en fase de implementación. No obstante, el 70% reconoce que el uso de la IA es un factor determinante para el éxito de los ciberataques, y un 75% considera que la IA genera riesgos en materia de ciberseguridad.
Los datos dibujan un escenario dual: por un lado, la mayoría de las empresas ya ha comenzado a implementar herramientas basadas en IA, como copilotos de productividad, y un 60% cree que el auge de estas tecnologías modificará su previsión de contratación de servicios de ciberseguridad. Por otro lado, el 34% alerta sobre la automatización de ataques a gran escala como uno de los principales riesgos, y un 33% menciona la creación de contenido falso como los deepfakes o las noticias fabricadas como amenazas emergentes.
Desde la industria manufacturera hasta los servicios financieros o la sanidad, cada sector enfrenta un desafío particular. En entornos industriales, donde confluyen tecnologías operativas (OT) y sistemas de TI, la automatización masiva mediante IA abre nuevas superficies de ataque, especialmente en la cadena de suministro, cada vez más interconectada y automatizada. En sectores críticos como la salud o la alimentación, donde la trazabilidad y la protección de datos son esenciales, la IA permite optimizar procesos, pero expone también vectores sensibles si no se gestiona con una seguridad integrada desde el diseño (security by design).
Un punto clave en todos los sectores es la cadena de suministro. No solo porque amplía el espectro de exposición, sino porque muchas veces es el camino más débil por donde se cuelan los ataques. Hoy, las grandes empresas han reforzado sus defensas, pero eso ha desplazado el foco de los atacantes hacia sus proveedores, muchos de los cuales no cuentan con políticas ni controles suficientes.
Además, estamos entrando en una fase de ciberataques personalizados, donde los atacantes utilizan IA para adaptar sus métodos según el objetivo: perfiles falsos hiperrealistas, lenguaje convincente, y estrategias diseñadas con una precisión quirúrgica. Ya no hablamos de ataques masivos y genéricos, sino de tácticas dirigidas, sofisticadas y altamente eficaces.
Ante este panorama, el papel del CISO (Chief Information Security Officer) debe experimentar una evolución radical. No basta con reaccionar a incidentes o implementar firewalls. La seguridad debe integrarse en la visión del negocio. Es necesario que el CISO forme parte de los comités de dirección por convicción estratégica.
Muchas veces, el problema no es técnico, sino de lenguaje: los responsables de seguridad no hablan el mismo idioma que los directivos, y eso mina la comunicación y la toma de decisiones. Alinear ideas, integrar la ciberseguridad en la agenda de resiliencia y no dejarla al margen como un apéndice técnico es una cuestión de supervivencia empresarial.
En este contexto, las personas siguen siendo el eslabón más débil, pero también el más determinante. La mayoría de los ciberataques se originan por errores humanos, falta de concienciación o uso inapropiado de herramientas no autorizadas. La IA está presente ya en múltiples aplicaciones corporativas, muchas veces sin evaluación ni control. Y aquí es donde entran las políticas internas: sandbox seguros para pruebas, trazabilidad de herramientas, campañas periódicas de concienciación, simulacros de ataques y formaciones adaptadas a cada perfil de la organización.
El desafío ya no es solo tecnológico, sino de gestión del cambio: los proyectos fallan cuando las personas no entienden el porqué de las medidas, o cuando les resulta más cómodo saltarse los protocolos. La seguridad, como la innovación,depende de la confianza y la comprensión compartida.
En definitiva, la IA no debe verse solo como una herramienta de eficiencia, sino como un vector de transformación profunda que exige un nuevo enfoque de gobernanza. Implementarla sin una estrategia de ciberseguridad sólida es como construir un rascacielos sin cimientos. Puede levantarse rápido, pero también puede derrumbarse con facilidad.
Debemos abandonar la visión de la ciberseguridad como coste y asumirla como una inversión estratégica en competitividad y sostenibilidad digital. En la era de la IA, proteger no es frenar: es garantizar que el crecimiento sea seguro, confiable y duradero. A medida que la inteligencia artificial redefine nuestras capacidades, también redefine nuestras responsabilidades. Y no podemos quedarnos atrás.
Deja un comentario