La inteligencia artificial no solo está transformando la productividad empresarial, sino que también se ha convertido en el nuevo caballo de Troya de los ciberdelincuentes. Un reciente estudio de ISACA, titulado AI Pulse Poll, revela una realidad inquietante: una de cada tres organizaciones europeas (35%) no puede confirmar si ha sido víctima de un ciberataque impulsado por IA. Esta falta de visibilidad, sumada a la creciente sofisticación de las amenazas, está generando una brecha de seguridad que pone en jaque a empresas de todos los sectores.

El nuevo paradigma de las amenazas: ataques invisibles

Según el informe, más de dos tercios (71%) de los profesionales de seguridad afirman que los ataques de phishing e ingeniería social basados en IA son ahora mucho más difíciles de detectar. La IA permite a los atacantes personalizar mensajes, imitar voces y generar contenido falso con un realismo escalofriante. Además, el 58% de los encuestados señala que la IA ha complicado significativamente la autenticación de información digital, lo que socava la confianza en los métodos tradicionales de verificación.

Chris Dimitriadis, director de Estrategia Global de ISACA, advierte: “El mayor riesgo hoy puede no ser un hacker, sino el propio sistema de IA que la organización ha implementado”. Esta paradoja se refleja en los datos: aunque el 92% de las empresas cree que sus empleados usan IA, un porcentaje mucho menor cuenta con políticas claras para regular su uso. Es decir, la tecnología avanza más rápido que la gobernanza, creando puntos ciegos peligrosos.

La desinformación y la privacidad, en el punto de mira

El estudio identifica la desinformación y la información errónea como los principales riesgos relacionados con la IA en la actualidad, seguidos de las violaciones de privacidad y la ingeniería social. La consecuencia es directa: los equipos de seguridad no pueden gestionar lo que no ven, y las herramientas en las que antes confiaban se están quedando obsoletas frente a ataques que evolucionan a velocidad de máquina.

Este fenómeno no es exclusivo de Europa. En España, el Instituto Nacional de Ciberseguridad (INCIBE) reportó más de 122.000 incidentes de ciberseguridad en 2025, y atendió 142.767 consultas, un 44,9% más que el año anterior. La presión sobre los canales de respuesta es cada vez mayor, lo que evidencia la necesidad de estrategias más robustas.

La IA como espada de doble filo: defensa vs. ataque

A pesar del panorama sombrío, la IA también ofrece un rayo de esperanza. El 43% de los profesionales encuestados afirma que la IA ha mejorado la capacidad de su organización para detectar y responder a ciberamenazas, y el 34% ya la está implementando específicamente para reforzar la ciberseguridad. Sin embargo, este potencial defensivo solo se materializa si se cuenta con la experiencia y la gobernanza adecuadas, algo que muchas organizaciones aún no tienen.

Dimitriadis insiste: “Si no entiendes la IA, no hay forma de protegerla”. Y es que la rápida adopción de la IA en el lugar de trabajo no ha ido acompañada de la supervisión necesaria. Por ejemplo, el 82% de las organizaciones permite el uso de IA de forma expresa, y el 74% autoriza específicamente la IA generativa. Las aplicaciones más populares incluyen la creación de contenido escrito (69%), el aumento de productividad (63%) y la automatización de tareas repetitivas (54%). Los beneficios son tangibles: el 77% reporta ahorro de tiempo y el 40% afirma haber aumentado su capacidad de producción sin contratar más personal.

No obstante, solo el 42% de las empresas cuenta con una política formal e integral de IA, y el 33% no exige a los empleados que declaren cuándo la IA ha contribuido a sus productos de trabajo. Esto deja importantes puntos ciegos en toda la empresa, como señala ISACA.

La brecha de habilidades: un riesgo creciente

La falta de gobernanza se agrava por la escasez de talento. Más de la mitad (54%) de los profesionales de seguridad cree que necesita mejorar sus competencias en los próximos seis meses para conservar su empleo o avanzar en su carrera, y el 79% lo considera necesario en el plazo de un año. El 41% identifica la creciente brecha de competencias como uno de los mayores riesgos que plantea la IA. Sin embargo, una quinta parte (21%) de las organizaciones aún no ofrece ninguna formación formal en IA.

Esta situación recuerda a la necesidad de adoptar enfoques proactivos como el hacking ético y las pruebas de penetración, que permiten a las empresas identificar vulnerabilidades antes de que los atacantes las exploten. Además, la virtualización de servidores con Proxmox puede ayudar a aislar cargas de trabajo críticas y reducir la superficie de ataque.

El marco regulatorio: un camino a medio andar

En cuanto a la regulación, el 45% de las organizaciones sigue el marco de gobernanza del Reglamento de IA de la UE, por delante del NIST (26%). Pero más de una cuarta parte (26%) aún no sigue ningún marco, lo que demuestra una brecha entre la conciencia regulatoria y la acción. Dimitriadis lo resume así: “Aunque iniciativas como el EU AI Act están marcando el camino en Europa, su implementación sigue siendo limitada”.

La evolución en el tiempo muestra avances en la implementación de políticas, pero un empeoramiento en el panorama de riesgos y en la brecha de habilidades. Como próximos pasos, ISACA anuncia el desarrollo de un nuevo marco basado en CMMI para evaluar la madurez en IA, con el objetivo de ayudar a las organizaciones a mejorar su gobernanza y preparación.

En este contexto, la adopción de tecnologías como las que ofrece SAP con su apuesta por la IA o la escalabilidad de plataformas como OpenAI con Ory pueden ser ejemplos de cómo integrar la IA de forma segura. Asimismo, soluciones de bases de datos como ScyllaDB ofrecen rendimiento y fiabilidad para manejar grandes volúmenes de datos sin comprometer la seguridad.

La conclusión es clara: la IA ha llegado para quedarse, y las empresas deben cerrar la brecha de gobernanza y habilidades si quieren defenderse de las amenazas que ellas mismas han ayudado a crear. Como bien dice Dimitriadis, “si no entiendes la IA, no hay forma de protegerla”.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.