El 48% de los expertos en ciberseguridad navega a ciegas ante la IA

“La acelerada adopción de la inteligencia artificial introduce nuevos desafíos, desde la fuga de datos sensibles a través de prompts inseguros, hasta modelos con comportamientos inesperados que pueden perjudicar directamente al negocio”, advirtió Erik Moreno, director de Ciberseguridad en Indra Minsait.

Uno de los riesgos más inmediatos es el uso de herramientas de IA por parte de los empleados sin la autorización o verificación de sus empresas, un fenómeno que los expertos ya denominan Shadow AI.

Se trata de colaboradores que utilizan ChatGPT, Gemini o Copilot para resolver tareas cotidianas sin visibilidad ni controles corporativos, y que pueden alimentar a estos chatbots de información sensible como estados financieros, estrategias comerciales, datos de clientes o código propietario.

“Las organizaciones están perdiendo visibilidad sobre sus datos. Ya no se trata de proteger el perímetro, sino de proteger el dato en sí”, señaló Moreno.

De acuerdo con IDC, más del 60% de las empresas en Latinoamérica ya permite el uso de IA generativa en algún nivel, pero menos de la mitad cuenta con políticas claras de gobierno, clasificación de datos o control de prompts. Lo que deja a los departamentos de ciberseguridad de las empresas sin visibilidad.

A este riesgo se suman los modelos internos desarrollados a medida. Muchas organizaciones están creando soluciones de IA entrenadas con datos propios, sin marcos sólidos para evaluar sesgos.

“Los modelos pueden operar de forma distinta a lo esperado, y eso también es un riesgo de seguridad. Sobre todo si no están alineados desde el diseño, ya que pueden derivar en pérdida de datos o decisiones erróneas”, apuntó el especialista de Indra.

Por el lado contrario, los atacantes ya utilizan IA para automatizar campañas de phishing, generar malware más sofisticado y perfeccionar su ingeniería social.

Benjamin Chambi, director de análisis de seguridad empresarial en IDC, advierte que la IA está reduciendo drásticamente la barrera de entrada para el cibercrimen, pues con menos conocimiento técnico hay más impacto.

Según el reporte global de habilidades de Fortinet 2025, América Latina enfrenta un déficit estimado de alrededor de 329,000 profesionales en ciberseguridad, una cifra que refleja la dificultad de cubrir roles técnicos especializados pese al crecimiento del sector digital en negocios y gobiernos en los próximos tres años.

“La ciberseguridad no es un gasto, es un habilitador del negocio, si no protegemos los datos y las arquitecturas desde el inicio, estamos construyendo sobre arena”, apuntó Moreno.

¿Cuánto se puede perder?

En América Latina, informes como el de Intrust Security señala que el costo promedio de un ciberataque supera los 1.5 millones de dólares por incidente, con empresas grandes enfrentando costos aún mayores cuando se consideran pérdidas de productividad, recuperación y exposición de datos.

Cuando casi un 50% de los equipos de seguridad admite que avanza “a ciegas” frente a los riesgos de IA, las cifras anteriores significan que cada incidente que no se previene, se detecta tarde o se gestiona de manera deficiente cuesta dinero.