La integración masiva de la inteligencia artificial en el tejido corporativo español ha dejado de ser una promesa de eficiencia para convertirse en el principal vector de vulnerabilidad interna. A medida que las organizaciones delegan procesos críticos en algoritmos, la frontera entre la herramienta y la amenaza se difumina.
No se trata solo de ataques externos sofisticados, sino de cómo la propia arquitectura de la IA, diseñada para consumir y procesar información a velocidades inhumanas, está exponiendo las costuras de la ciberseguridad tradicional. Este escenario plantea una pregunta que los comités de dirección aún intentan resolver: ¿es posible innovar con IA sin perder definitivamente el rastro de dónde reside la información sensible?
La brecha entre la adopción y el control
El panorama actual revela una asimetría preocupante. Mientras las empresas compiten por implementar modelos agénticos y automatizaciones de servicio al cliente, la infraestructura básica de protección no parece seguir el mismo ritmo de expansión. Según los datos recogidos en el informe Thales 2026 Data Threat Report , elaborado tras consultar a más de 3.100 profesionales del sector, el 70% de las organizaciones identifican la IA como su riesgo más crítico para la seguridad de los datos. Esta cifra no es un indicador aislado, sino el reflejo de una transformación en la que los sistemas automatizados obtienen accesos privilegiados que, en manos humanas, estarían sujetos a una supervisión mucho más estricta.
La visibilidad, pilar fundamental de cualquier estrategia de cumplimiento y seguridad, muestra signos de erosión. Apenas el 34% de las empresas afirma conocer con exactitud la ubicación de sus activos de información, independientemente de su nivel de importancia. Esta falta de inventario real se traduce en una ceguera operativa que la IA tiende a amplificar. Si una organización no sabe dónde están sus datos, difícilmente podrá restringir el acceso de un agente de IA que, por diseño, busca conectar silos de información para generar valor.
En este contexto de opacidad, el cifrado, la última línea de defensa, presenta lagunas significativas. Casi la mitad de la información sensible alojada en la nube, un 47%, carece de este tipo de protección. El problema reside en que la IA no solo ingiere datos, sino que los transforma y los desplaza entre entornos SaaS y nubes híbridas, a menudo eludiendo los controles perimetrales que antes funcionaban como aduanas estables.
Identidad y secretos: el nuevo perímetro
El robo de credenciales se ha consolidado como la vía de entrada predilecta para los atacantes, afectando al 67% de las infraestructuras cloud analizadas por Thales Cybersecurity Products. Sin embargo, la naturaleza del riesgo ha mutado. Ya no hablamos únicamente de empleados que caen en ataques de ‘phishing’, sino de la gestión de identidades de máquinas, claves API y tokens que los sistemas de IA utilizan para comunicarse entre sí. La gestión de estos «secretos» corporativos se ha convertido en un quebradero de cabeza para el 50% de los responsables de seguridad, quienes ven cómo la escala de estas identidades no humanas desborda sus capacidades de monitorización.
Sebastien Cano, Vicepresidente Senior de Thales Cybersecurity Products, señala que el riesgo interno ya no es una exclusividad de las personas físicas. La confianza depositada con celeridad en sistemas automatizados ha generado un entorno donde, si la gobernanza de accesos es débil, la IA actúa como un altavoz para esas vulnerabilidades. El peligro radica en la velocidad: lo que un empleado desleal tardaría meses en extraer, un sistema mal configurado puede exponerlo en cuestión de segundos.
Esta aceleración de la amenaza se manifiesta también en el uso de técnicas de desinformación. El 59% de las compañías ya ha reportado incidentes relacionados con ‘deepfakes’, y casi la mitad reconoce haber sufrido daños reputacionales derivados de contenidos sintéticos. La IA agéntica, capaz de tomar decisiones de forma autónoma, introduce una variable de imprevisibilidad que los marcos de ciberseguridad actuales, diseñados para un mundo de interacciones humanas, no alcanzan a cubrir totalmente.
Presupuestos tradicionales para amenazas disruptivas
A pesar de la magnitud del desafío, la respuesta financiera de las corporaciones muestra una inercia conservadora. Aunque el 30% de las empresas ha comenzado a asignar partidas específicas para securizar la inteligencia artificial, la mayoría —un 53%— sigue financiando estas necesidades a través de programas de seguridad generales. Esta dependencia de presupuestos tradicionales sugiere que muchas organizaciones aún perciben la IA como una aplicación más, en lugar de entenderla como un cambio de paradigma en la superficie de ataque.
Eutimio Fernández, Regional Sales Manager para Iberia en Thales Cybersecurity Products, apunta que nos encontramos en un punto de inflexión donde la IA no sustituye a las amenazas de siempre, sino que las dota de una escala y un alcance inéditos. Los ataques son ahora más rápidos y difíciles de detectar porque se camuflan en el tráfico legítimo de los propios sistemas de automatización de la empresa.
Para los directivos en España, la cuestión no es solo tecnológica, sino de gobernanza estructural. La implementación del principio de «mínimo privilegio» se vuelve casi imposible de ejecutar si los sistemas de IA requieren acceso total para ser eficaces. Existe una tensión latente entre la utilidad del modelo y la seguridad del activo, una contradicción que a menudo se resuelve a favor de la operatividad, dejando la puerta abierta a filtraciones inadvertidas por parte de los propios agentes internos.
Hacia una gobernanza del dato automatizada
La evolución del mercado sugiere que el enfoque perimetral ha quedado obsoleto. La seguridad debe residir en el dato mismo, acompañándolo en su viaje a través de los modelos de aprendizaje y los flujos de trabajo automatizados. Las organizaciones que logren integrar el cifrado y la gestión de identidades no como un añadido, sino como parte del ADN de sus proyectos de IA, serán las únicas capaces de mitigar el impacto de una brecha que parece, a todas luces, inevitable.
Sin embargo, queda por ver cómo reaccionarán los marcos regulatorios y los estándares de auditoría ante una tecnología que evoluciona cada semana. La duda que planea sobre las mesas de los CISO (Chief Information Security Officers) es si las herramientas de defensa basadas también en IA llegarán a tiempo para equilibrar la balanza, o si la capacidad de ataque de los modelos agénticos siempre mantendrá esa ventaja competitiva que hoy parece otorgarles la iniciativa. El futuro de la confianza digital en la empresa española depende de resolver esta asincronía antes de que la próxima gran brecha deje de ser una estadística para convertirse en una crisis de continuidad de negocio.
