La inteligencia artificial ha dejado de ser una tecnología experimental para convertirse en una capa estructural de los procesos empresariales. La cuestión ya no es si las compañías la adoptan, sino en qué condiciones lo hacen y con qué nivel de preparación. Esa tensión atraviesa el nuevo informe de DigitalES, la Asociación Española para la Digitalización, que sitúa la seguridad y la ética como variables críticas en un contexto de adopción acelerada.
El documento, titulado Inteligencia Artificial y Ciberseguridad: recomendaciones para una implementación segura en las empresas , se presenta en Madrid en un momento en el que la incorporación de sistemas de IA avanza más rápido que los marcos internos de control. Según datos de COTEC, el número de empresas españolas que aplican estas tecnologías se duplicó entre 2022 y 2024, una evolución que suele interpretarse como síntoma de madurez digital, aunque también amplía la superficie de exposición a nuevos riesgos.
A escala global, el 77% de las compañías ya utiliza o explora soluciones de inteligencia artificial en sus operaciones. Sin embargo, ese despliegue convive con un aumento notable de los ataques dirigidos específicamente a modelos de IA. El Informe de Amenazas de Ciberseguridad 2025 de Check Point recoge que este tipo de incidentes se multiplicaron por cinco desde 2023, explotando vulnerabilidades propias de estos sistemas, como la manipulación de instrucciones o la contaminación de datos de entrenamiento.
El impacto no es solo técnico. El Cost of a Data Breach Report 2025 de IBM Security sitúa en 4,5 millones de euros el coste medio de una brecha vinculada a inteligencia artificial, un 15% más que el año anterior. En España, el escenario resulta especialmente delicado: casi el 80% de las empresas reconoce haber sufrido incidentes relacionados con IA, según el Cisco Cybersecurity Readiness Index 2025, mientras solo el 27% de las pymes declara contar con una estrategia de ciberseguridad plenamente implantada, de acuerdo con un informe reciente de Kaspersky sobre ataques a pequeñas y medianas empresas en Europa y África.
Ese desfase entre velocidad de adopción y capacidad defensiva es uno de los ejes del análisis de DigitalES. El informe plantea que la inteligencia artificial se está integrando en procesos críticos sin que, en muchos casos, exista una gobernanza clara sobre los datos, los modelos o las responsabilidades internas. La consecuencia es una dependencia creciente de sistemas cuyo comportamiento no siempre es transparente ni fácilmente auditable.
Desde la asociación subrayan que la IA introduce riesgos distintos a los de otras tecnologías digitales. No se trata únicamente de proteger infraestructuras o redes, sino de garantizar la integridad de los datos, evitar sesgos no deseados, asegurar la trazabilidad de las decisiones automatizadas y cumplir con un marco regulatorio cada vez más exigente. El Reglamento Europeo de Inteligencia Artificial, junto con el RGPD, aparece como un telón de fondo constante en el documento.
Miguel Sánchez Galindo, director general de DigitalES, resume esa preocupación en términos estratégicos. La inteligencia artificial, señala, actúa como palanca de innovación, pero sin un enfoque sólido de ciberseguridad puede convertirse en un factor de riesgo para la continuidad del negocio, la reputación corporativa y la confianza de clientes y socios. El informe, añade, busca ofrecer una guía práctica, especialmente orientada a pymes, que permita avanzar en la adopción sin perder de vista esas amenazas.
La propuesta de DigitalES se articula alrededor de un enfoque integral que combina tres planos. El primero es el normativo, con la necesidad de alinear los proyectos de IA con la legislación europea y con estándares internacionales emergentes, como la norma ISO/IEC 42001 para la gestión de sistemas de inteligencia artificial. El segundo es técnico, centrado en la protección de datos, la robustez de los modelos y la detección temprana de vulnerabilidades. El tercero es cultural, quizá el menos visible, pero clave para que las medidas anteriores no queden en papel.
Uno de los conceptos recurrentes es el de security by design. El informe insiste en que la ciberseguridad no puede añadirse al final del proceso, sino que debe incorporarse desde las fases iniciales de diseño y entrenamiento de los modelos. Eso implica, entre otras prácticas, aplicar técnicas de anonimización y cifrado de datos, utilizar métodos como la differential privacy para reducir riesgos de reidentificación y establecer controles de acceso estrictos a los sistemas de IA.
La gobernanza aparece como otro elemento central. DigitalES recomienda definir claramente quién es responsable de cada sistema, cómo se supervisa su funcionamiento y con qué frecuencia se realizan auditorías y pruebas de robustez. En un entorno donde los modelos pueden aprender y evolucionar con el uso, la ausencia de controles periódicos incrementa la probabilidad de fallos difíciles de detectar a tiempo.
El informe desciende también al terreno sectorial. En el retail, por ejemplo, el uso de chatbots y sistemas de recomendación basados en IA plantea retos específicos en la protección de datos de clientes y en el cumplimiento de estándares como PCI DSS para pagos. En el ámbito sanitario, la prioridad se desplaza hacia la anonimización de historiales médicos y la gestión segura de datos especialmente sensibles, bajo el paraguas del RGPD. En las grandes corporaciones, la atención se centra en la segmentación de accesos y en la prevención de fraudes internos, como la suplantación de identidad apoyada en sistemas automatizados.
Un capítulo específico aborda la expansión de la IA generativa y de los grandes modelos de lenguaje. Estas herramientas han reducido las barreras de entrada y acelerado la adopción, pero también han ampliado la superficie de ataque. El informe apunta a un equilibrio complejo entre transparencia, entendida como explicabilidad y trazabilidad de los modelos, y seguridad, vinculada a su estabilidad y comportamiento predecible. Beatriz Arias, directora de Transformación Digital de DigitalES, advierte de que en un contexto donde una gran parte de los ataques se dirige a modelos de lenguaje, la prevención deja de ser una opción secundaria.
El documento no plantea soluciones cerradas ni recetas universales. Más bien dibuja un marco de referencia que invita a las empresas a revisar sus prioridades y a asumir que la inteligencia artificial introduce una nueva categoría de riesgo, con implicaciones técnicas, legales y organizativas. La confianza emerge como un activo frágil, construido tanto sobre la innovación como sobre la capacidad de protegerla.
El informe ha sido elaborado por el Grupo de Trabajo de Ciberseguridad e IA de DigitalES, liderado por NTT DATA, con la participación de expertos de compañías y firmas como IBM, EY, Nokia o American Tower. Esa diversidad de perfiles se refleja en un enfoque que combina visión tecnológica, jurídica y operativa, sin ocultar las incertidumbres que todavía rodean a estos sistemas.
A medida que la IA se integra en decisiones cada vez más relevantes para el negocio, la pregunta que subyace no es solo cuánto puede automatizarse, sino qué nivel de control están dispuestas a asumir las organizaciones. La respuesta, sugiere el informe, sigue abierta.
