El uso de aplicaciones de inteligencia artificial en España creció un 123,5% durante 2025, según el informe ThreatLabz 2026 AI Security de Zscaler. El país se sitúa así entre los mercados europeos con mayor ritmo de adopción, concentrando el 5,6% del tráfico regional de IA y aprendizaje automático. Esta aceleración, sin embargo, ha expuesto una brecha cada vez más visible entre la innovación tecnológica y la capacidad de las empresas para proteger sus entornos digitales.
El estudio, basado en el análisis de casi un billón de transacciones de IA/ML registradas en la plataforma Zscaler Zero Trust Exchange entre enero y diciembre de 2025, apunta a un crecimiento global del 91% en la actividad de IA. En Europa, España se posiciona justo detrás de Reino Unido, Alemania y Francia en volumen de transacciones, y forma parte del grupo de países que concentraron casi la mitad de la actividad regional en la segunda mitad del año.
Aunque el despliegue de IA se ha intensificado en sectores clave, muchas organizaciones siguen operando sin un inventario claro de los modelos que utilizan ni controles integrados para su gestión. Esta falta de visibilidad ha convertido la gobernanza de la IA en una cuestión estratégica, especialmente ante la aparición de amenazas que operan a velocidad de máquina.
“La IA ya no es solo una herramienta de productividad, sino un vector principal para ataques autónomos”, advierte Deepen Desai, vicepresidente ejecutivo de ciberseguridad en Zscaler. Las pruebas realizadas por el Red Team de la compañía revelan que el 100% de los sistemas de IA analizados presentaban vulnerabilidades críticas. En algunos casos, los atacantes lograron eludir las defensas en apenas un segundo. El tiempo medio de compromiso fue de 16 minutos.
Este tipo de ataques, cada vez más automatizados, anticipan la llegada de lo que Zscaler denomina IA agéntica: sistemas capaces de ejecutar ciberataques completos sin intervención humana. En estos escenarios, una intrusión puede evolucionar desde el reconocimiento hasta el robo de datos en cuestión de minutos, desbordando los marcos de defensa tradicionales.
En paralelo, el número de aplicaciones que generan transacciones de IA/ML se ha cuadruplicado en un año, superando las 3.400. Esta expansión ha incrementado la complejidad operativa y ha diluido la visibilidad centralizada, especialmente en lo que respecta a la cadena de suministro digital. La proliferación de herramientas con funciones de IA integradas, muchas de ellas activadas por defecto, ha creado nuevos vectores de exposición que escapan a los filtros de seguridad convencionales.
Entre las plataformas más activas en este ámbito destaca Atlassian, cuyas herramientas empresariales como Jira y Confluence incorporan funciones de IA que pueden procesar datos sensibles sin supervisión explícita. Este fenómeno, conocido como IA integrada, ha crecido de forma silenciosa y representa una de las principales fuentes de riesgo no gestionado, según el informe.
El volumen de datos transferidos a aplicaciones de IA/ML alcanzó los 18.033 terabytes en 2025, un aumento del 93% respecto al año anterior. Para dimensionar este flujo, equivale a unos 3.600 millones de fotografías digitales. Herramientas como Grammarly y ChatGPT concentran buena parte de este tráfico, con 3.615 TB y 2.021 TB respectivamente.
El informe también documenta 410 millones de infracciones de políticas de Prevención de Pérdida de Datos (DLP) asociadas únicamente a ChatGPT. Entre ellas, intentos de compartir datos personales, código fuente e incluso información médica. Este volumen de incidentes refuerza la idea de que la gobernanza de la IA ha dejado de ser un debate normativo para convertirse en una urgencia operativa.
Frente a este escenario, Zscaler insiste en la necesidad de adoptar arquitecturas de seguridad basadas en Zero Trust. A diferencia de los modelos tradicionales, que dependen de perímetros definidos y conexiones persistentes, el enfoque Zero Trust parte de la premisa de que ningún usuario o dispositivo debe ser confiable por defecto. Esto permite reducir la superficie de ataque, bloquear amenazas en tiempo real y proteger los datos incluso en entornos altamente dinámicos.
La plataforma Zscaler Zero Trust Exchange, distribuida en más de 150 centros de datos, se presenta como una alternativa para reforzar la seguridad en entornos empresariales que ya operan con múltiples aplicaciones de IA. Su despliegue permite a las organizaciones mejorar la visibilidad, controlar el movimiento lateral de amenazas y neutralizar ataques impulsados por IA antes de que escalen.
La investigación se basa en el análisis de 989.300 millones de transacciones de IA/ML generadas por unas 9.000 organizaciones a lo largo de 2025. Esta muestra ofrece una visión amplia y operativa de cómo se está utilizando la IA en entornos reales, más allá de los casos de uso declarativos o los escenarios de laboratorio.
España, al igual que otros mercados europeos, se encuentra en una fase de adopción acelerada que no siempre va acompañada de una estrategia de protección proporcional. La velocidad de integración de la IA en procesos empresariales, combinada con la falta de controles adaptados, plantea una tensión creciente entre eficiencia operativa y exposición al riesgo. Una tensión que, según los datos del informe, no parece estar cerca de resolverse.
