La Visibilidad Cero: El Punto Ciego de la IA en las Organizaciones Modernas

El reciente Security Report Iberia 2026 de Check Point Software revela una paradoja alarmante: mientras la inteligencia artificial transforma radicalmente tanto la ofensiva como la defensa cibernética, la mayoría de las empresas operan en la oscuridad total respecto al uso interno de estas tecnologías. Mario García, director general para España y Portugal de Check Point, expone en una entrevista exclusiva cómo esta falta de visibilidad está creando vulnerabilidades críticas en un panorama donde los ataques se han vuelto multicanal y extraordinariamente sofisticados.

La Ingeniería Social Multicanal: El Nuevo Paradigma de Ataque

"El correo electrónico es solo un canal entre centenares", advierte García al describir la evolución de las amenazas. La realidad actual es que los atacantes utilizan WhatsApp, redes sociales, SharePoint, aplicaciones de colaboración como Teams, y cualquier plataforma donde los usuarios intercambien información. Esta multicanalidad, potenciada exponencialmente por la IA, representa uno de los mayores desafíos de seguridad que enfrentarán las organizaciones en los próximos años.

Lo que antes eran ataques "planos y burdos" se ha transformado en operaciones de ingeniería social altamente elaboradas. García describe casos reales donde usuarios encuentran captchas falsos, mensajes de actualización de Chrome que en realidad otorgan permisos a atacantes, o incluso sistemas de segundo factor de autenticación interceptados. La sofisticación ha alcanzado niveles donde "un programador poco experimentado puede desarrollar software muy potente apoyándose en IA con herramientas actuales".

La Doble Cara de la IA: Defensa Avanzada vs. Ataques Descontrolados

García establece una distinción crucial entre "IA en la seguridad" y "seguridad para la IA". En el primer aspecto, Check Point ya emplea más de 60 motores de IA para detectar vulnerabilidades, patrones de ataque y amenazas de día cero. "Aquí los defensores vamos por delante", afirma, gracias a bases de conocimiento masivas que permiten identificar el "ADN" del malware incluso cuando muta.

Sin embargo, el panorama cambia radicalmente cuando hablamos de proteger los sistemas basados en IA. "La mayoría de empresas no tiene visibilidad real sobre cómo se está usando la IA internamente", revela García. "No saben si sus empleados usan ChatGPT, Copilot u otras herramientas, desde qué dispositivos, qué datos comparten… Y tampoco cuentan con políticas claras ni controles efectivos".

La Superficie de Ataque Híbrida: Cuando Todo Está Conectado y Nada Está Controlado

El problema se agrava con la expansión de la superficie digital. Un usuario típico se conecta desde el PC en la oficina, desde casa, desde el móvil, accede a aplicaciones en la nube, servicios SaaS… y todas estas conexiones son directas, sin pasar por un punto central de control. "Es como si dejaras la buhardilla abierta, el sótano sin cerrar, y las llaves duplicadas sin control", ilustra García.

Check Point realiza ejercicios donde muestran a los clientes cómo se ven externamente, sin atacarles. "La reacción es: 'Madre mía, tengo todo abierto'", comenta. Esta falta de conciencia sobre la exposición externa, combinada con ataques multicanal y el uso de IA por parte de atacantes, crea un cóctel explosivo para la seguridad corporativa.

La Prioridad Absoluta: Proteger la Colaboración y la IA Interna

Cuando se le pregunta por la inversión prioritaria en ciberseguridad, García es contundente: "Quienes vayan a usar la IA tienen que protegerla. Punto". Explica que si una organización no utiliza IA, debe proteger su colaboración como primera medida. Pero si usa IA, el riesgo es mayor porque "no sólo hablamos de usuarios, sino de agentes autónomos con acceso a sistemas, bases de datos, etc. Y esos agentes pueden ser manipulados, infectados o utilizados para robar información".

La solución pasa por dos frentes: educar a lo que llama la "capa 8" (el usuario) con procedimientos claros, y después implementar tecnología adecuada. Check Point, por ejemplo, analiza más de 200 parámetros en tiempo real para detener el 99,9% del phishing. "Hay herramientas que prácticamente podrían acabar con el phishing", asegura, aunque reconoce que "otra cosa es que se usen o no".

Diferencias Regionales y Prioridades Estratégicas

El informe revela diferencias significativas entre Iberia y el panorama global. Mientras en Estados Unidos la educación y la sanidad son objetivos principales, en Iberia son las industrias de bienes y servicios las que encabezan la lista de sectores más atacados. "Aquí las universidades son atacadas, sí, pero el volumen de información que se obtiene tampoco es tan relevante ni tiene tanto impacto, al menos por ahora", explica García.

Respecto a las preocupaciones para 2026, el ejecutivo identifica tres elementos clave: la automatización del ataque, la expansión de la superficie digital y la presión regulatoria. Sobre esta última, hace una observación crítica: "La regulación debería obligarte a tener los sistemas que deberías tener de por sí. Si los tienes porque debes tenerlos, entonces el cumplimiento no debería ser un problema".

El Imperativo de la Visibilidad y el Control

La conclusión es clara: las organizaciones deben primero "saber dónde estás" y luego "cómo se te ve desde fuera". A partir de ahí, pueden priorizar y reforzar sus puntos débiles. Pero el desafío fundamental sigue siendo la falta de visibilidad sobre el uso interno de IA, un problema que se agrava con la automatización creciente en DevOps y la adopción de herramientas como aplicaciones de búsqueda documental con IA.

Este contexto de incertidumbre se ve exacerbado por desafíos más amplios en la industria, como los costes energéticos de la IA que han llevado incluso a pausar proyectos ambiciosos como Stargate de OpenAI. Mientras tanto, las empresas deben navegar este panorama complejo implementando no solo tecnología, sino también políticas claras y controles efectivos sobre cómo se utiliza la IA internamente.

La integración de IA en flujos de trabajo, como se discute en nuestra guía sobre productividad con Microsoft 365, debe ir acompañada de medidas de seguridad robustas. El mensaje final de García es inequívoco: en un mundo donde la IA potencia tanto la defensa como el ataque, la visibilidad y el control sobre su uso interno no son opcionales, sino requisitos fundamentales para la supervivencia empresarial.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.