AI, Responsabilidad y la Llamada de Atención en Ciberseguridad
A medida que las organizaciones continúan adoptando la inteligencia artificial (IA) para impulsar la innovación, transformar operaciones y optimizar la toma de decisiones, deben enfrentar otra realidad: la IA está reconfigurando rápidamente el paisaje de amenazas cibernéticas. Mientras que la IA ayuda a los Chief Information Security Officers (CISOs) a mejorar la detección y respuesta, también conduce a ciberataques más sofisticados. Los mismos motores de IA que generan información valiosa pueden generar identidades falsas, campañas de phishing y malware.
El informe Estado de la Ciberseguridad 2025 de Wipro retrata con precisión esta realidad. A pesar de la promesa de la IA para fortalecer la seguridad, las organizaciones aún quedan cortas. Sin embargo, esto no se debe a la tecnología, sino a vacíos de responsabilidad, planes de gobernanza aislados y una mala capacitación en concientización sobre ciberseguridad. Muchos incidentes de ciberseguridad no provienen solo de adversarios avanzados, sino también de errores humanos y de la falta de inversión en ciberseguridad básica.
El Paisaje de Amenazas en Expansión
La IA ha cambiado el paisaje para los ciberdelincuentes. Ahora pueden utilizar modelos generativos para crear mensajes de phishing personalizados, automatizar la creación de malware que puede evadir la detección e incluso manipular audio y video para suplantar a ejecutivos a través de deepfakes. Estas tácticas ya no están limitadas a actores estatales o grupos de hackers de élite, ya que son accesibles a través de herramientas de código abierto y plataformas de IA como servicio.
La investigación de Wipro muestra que el 44% de las organizaciones citan ahora la negligencia interna y la falta de concientización en ciberseguridad como las principales vulnerabilidades, incluso más que el ransomware en el índice de riesgos. Esto demuestra que muchas empresas no están manteniendo el ritmo con la naturaleza evolutiva de los ataques: sistemas heredados, software obsoleto y estrategias de gestión de parches débiles facilitan que los ciberdelincuentes accedan a las redes.
Ignorar las prácticas de seguridad fundamentales ya no es un error perdonable; es un riesgo crítico para el negocio. El aumento de los ataques habilitados por IA solo amplía la brecha entre las organizaciones que toman en serio la ciberseguridad y aquellas que no lo hacen.
Líneas de Responsabilidad Borrosas
Uno de los hallazgos clave del informe es la falta de claridad en torno a la propiedad de la ciberseguridad. Si bien el 53% de los CISOs informan directamente a los CIOs, el resto está disperso a través de diversas funciones ejecutivas, incluidos COOs, CFOs y equipos legales. Esto debilita la toma de decisiones y hace confuso saber quién es realmente responsable de los resultados de seguridad.
Este problema se agudiza cuando la IA entra en la ecuación. El informe encontró que el 70% de los encuestados europeos cree que la implementación de la IA debe ser una responsabilidad compartida, pero solo el 13% tiene un equipo designado para supervisarlo. La adopción de la IA a menudo avanza sin una supervisión crítica de riesgos, sin una propiedad claramente definida, lo que lleva a prácticas inconsistentes, vulnerabilidades no gestionadas y oportunidades perdidas para alinearse con los marcos regulatorios.
Los líderes de TI deben tratar la ciberseguridad y la gobernanza de IA como prioridades estratégicas a nivel de junta ejecutiva. Los ejecutivos deben ir más allá de la supervisión pasiva y participar en ejercicios de simulación, planificación de escenarios y revisiones de preparación cibernética. En el entorno actual, la colaboración, la comunicación y la gestión de crisis son necesarias para mantener la resiliencia.
El Papel de la IA en la Reconfiguración de la Seguridad
Aunque la IA ha creado nuevas amenazas, también ofrece capacidades poderosas para ayudar a las organizaciones a proteger sus redes. La detección de amenazas impulsada por IA puede analizar grandes cantidades de datos en tiempo real, reducir los falsos positivos e identificar irregularidades de comportamiento que podrían indicar una brecha. Puede automatizar la triage de incidentes, acelerar los tiempos de respuesta y ayudar a los centros de operaciones de seguridad.
Según Wipro, el 93% de las organizaciones encuestadas priorizan la IA para la detección y respuesta a amenazas, reflejando el valor que las organizaciones dan a la detección de amenazas. Esta naturaleza de doble uso de la IA exige un enfoque medido y responsable para su implementación. Las organizaciones necesitan marcos de gobernanza que cubran la explicabilidad de modelos, la mitigación de sesgos y el cumplimiento de las leyes de privacidad de datos. Sin estos, la IA puede convertirse en un riesgo impredecible en lugar de una herramienta para la resiliencia.
Por Qué la Capacitación de Empleados Sigue Siendo Importante
En un mundo de herramientas avanzadas de IA, el error humano sigue siendo la vulnerabilidad más constante en ciberseguridad. El phishing sigue siendo el principal vector de ataque para el 65% de las organizaciones. A medida que los atacantes utilizan IA para crear tácticas de ingeniería social más convincentes, el riesgo de brechas provocadas por el usuario aumenta.
Una razón principal de esto es que las organizaciones a menudo ven la capacitación en ciberseguridad como una actividad de cumplimiento única. Debe ser un proceso continuo que evoluciona con el tiempo. Los empleados deben ser capacitados en amenazas comunes y riesgos impulsados por IA, como la suplantación de voz mediante deepfake o ataques de inyección de solicitudes en plataformas habilitadas por IA. Las actualizaciones descuidadas, los sistemas no parcheados y la dependencia de infraestructuras heredadas siguen siendo problemas persistentes, y estas omisiones crean oportunidades para brechas. La capacitación debe ir de la mano con auditorías de rutina, gestión de parches y coordinación entre departamentos.
Para defenderse verdaderamente contra amenazas modernas, las organizaciones deben invertir en inteligencia humana y de máquina y garantizar que sus equipos sean tan ágiles y adaptables como sus tecnologías.
Construyendo una Cultura de Responsabilidad
La base de una estrategia de ciberseguridad no es la tecnología; es la claridad. Las organizaciones deben definir quién es responsable de qué, establecer estructuras de gobernanza y fomentar una cultura de seguridad que abarque todas las áreas.
La clave es empoderar al CISO o un rol equivalente en liderazgo de TI con autoridad y visibilidad. Es aconsejable formar consejos de riesgos cibernéticos multifuncionales, que incluyan a representantes de TI, cumplimiento, legal y unidades de negocio. Algunas empresas están estableciendo comités a nivel de junta enfocados específicamente en la supervisión de ciberseguridad.
Los marcos de gobernanza para las implementaciones de IA deben incluir controles sobre datos de entrenamiento, implementación de modelos, derechos de acceso y monitoreo en tiempo real. Estos marcos deben evolucionar junto con regulaciones como la Ley de IA de la UE y los estándares emergentes de la industria para el uso ético de la IA.
La educación de los empleados en torno a la IA también debe estar incrustada en este cambio cultural. La seguridad de la IA no es solo un problema de TI; es una responsabilidad compartida entre departamentos, regiones y roles. La empresa entera gana cuando todos en la organización comprenden su rol en la protección de datos y sistemas.
De la Conciencia a la Acción
La IA está redibujando el paisaje de ciberseguridad. Los atacantes son más rápidos, escalables y cada vez más automatizados. Los defensores cuentan con herramientas poderosas a su disposición, pero las herramientas por sí solas no los salvarán.
Las organizaciones deben construir mejores procesos de gobernanza, no solo algoritmos más poderosos. Esto incluye aclarar la responsabilidad por los sistemas de IA e incluir posiblemente la IA en la mezcla de ciberseguridad.
El informe envía un mensaje claro: la tecnología avanza rápidamente, pero las personas, los procesos y las prioridades se están quedando atrás. Superar esa brecha es una imperativa estratégica, especialmente ahora que la IA ha entrado en escena. No hay duda de que la IA seguirá transformando la forma en que vivimos y trabajamos. Pero si esa transformación fortalece o compromete a su organización depende de cuán en serio tome la responsabilidad, comenzando hoy.
