La ciberseguridad empresarial entra en una nueva fase. A medida que la inteligencia artificial se integra en los procesos corporativos y los marcos regulatorios se endurecen, las estrategias tradicionales de protección digital muestran signos de agotamiento. Zscaler, proveedor global de seguridad en la nube, ha publicado sus diez predicciones clave para 2026, un ejercicio que, más allá del diagnóstico, apunta a una transformación estructural en cómo las organizaciones gestionan el riesgo digital.
Según el informe presentado por Zscaler, la confianza —o más bien su erosión— será uno de los ejes centrales del nuevo paradigma. La proliferación de contenido generado por IA, los ataques automatizados y la desinformación han debilitado los modelos de seguridad basados en supuestos estáticos. La compañía anticipa un giro hacia lo que denomina «confianza asimétrica»: sistemas que engañan a los atacantes mediante activos falsos, diseñados para proteger los reales. Una estrategia que recuerda a los honeypots clásicos, pero aplicada a escala y con inteligencia artificial generativa como telón de fondo.
La IA, de hecho, no solo altera el perfil de las amenazas, sino también la composición de la fuerza laboral. Zscaler advierte del auge de la «IA en la sombra», es decir, el uso no autorizado de herramientas generativas por parte de empleados. Este fenómeno plantea riesgos legales, de cumplimiento y de fuga de datos. La respuesta, según la compañía, pasa por tratar a los sistemas de IA como actores internos, sujetos a los mismos controles que los usuarios humanos. Una propuesta que, aunque lógica, plantea desafíos técnicos y éticos todavía no resueltos.
El modelo Zero Trust, adoptado por muchas empresas en los últimos años, también evoluciona. Zscaler propone una transición del principio de «mínimo privilegio» al de «mínima información». Esto implica no solo limitar quién accede a qué, sino también qué datos están disponibles para cada sistema o usuario. En entornos distribuidos, donde los datos fluyen entre APIs, proveedores y empleados remotos, esta visión exige una revisión profunda de los flujos de información. No se trata solo de proteger el perímetro, sino de rediseñar la arquitectura de datos.
Otro punto de fricción creciente es la seguridad en la cadena de suministro. Las dependencias de software de terceros, el uso de código abierto y la subcontratación de servicios críticos han multiplicado los vectores de ataque. Zscaler recomienda una monitorización continua de proveedores, así como mecanismos de respuesta rápida ante incidentes. No es una novedad, pero sí una urgencia: los ataques a través de terceros han aumentado en frecuencia y sofisticación, como demuestran los casos de SolarWinds o MOVEit.
En paralelo, la tensión entre soberanía de datos y agilidad operativa se intensifica. Las normativas europeas, como el GDPR y sus posibles revisiones, están empujando a las empresas a repatriar datos a jurisdicciones locales. Esto puede ralentizar servicios globales y aumentar costes. Para mitigar este impacto, Zscaler prevé un auge de las Tecnologías de Mejora de la Privacidad (PET), que permiten procesar datos sin exponerlos directamente. Sin embargo, su adopción masiva aún está lejos de consolidarse.
El papel del CISO también se redefine. Ya no se limita a la protección técnica, sino que se expande hacia funciones estratégicas y de gobernanza. Según Zscaler, emergerán perfiles híbridos como el Chief Security Officer, responsables tanto de la ciberseguridad como del uso ético de la IA, la seguridad física y el bienestar del personal. Esta ampliación del rol responde a una realidad más compleja, pero también puede diluir responsabilidades si no se acompaña de una estructura clara.
En el plano normativo, la presión regulatoria seguirá aumentando. Iniciativas como el EU Digital Omnibus Act y las revisiones del GDPR introducirán nuevos requisitos de cumplimiento. Zscaler subraya la necesidad de colaboración entre empresas, proveedores tecnológicos y autoridades para afrontar estos cambios. También advierte sobre la necesidad de evaluar con rigor las promesas de soberanía digital de los proveedores, un terreno donde el marketing a menudo va por delante de la realidad técnica.
La conectividad, por su parte, se convierte en un pilar crítico para la IA. A medida que proliferan los dispositivos IoT y los sistemas distribuidos, la fiabilidad de los datos dependerá de redes seguras y ubicuas. Zscaler plantea que la monitorización de estos flujos mediante plataformas Zero Trust será esencial para mantener la integridad de los modelos de IA. Aquí, la seguridad ya no es un complemento, sino una condición de posibilidad para la automatización.
La resiliencia digital, tradicionalmente relegada a los equipos técnicos, escala ahora al nivel del consejo directivo. Las interrupciones, tanto físicas como cibernéticas, han demostrado su capacidad para paralizar operaciones enteras. La visibilidad completa de los datos —dónde están, quién accede y cómo se mueven— se convierte en un activo estratégico. No solo para prevenir incidentes, sino para decidir dónde invertir en protección y recuperación.
Por último, la criptografía post-cuántica entra en escena. Aunque su adopción aún es incipiente, Zscaler prevé que se convierta en estándar en navegadores, aplicaciones SaaS y servicios en la nube. Organismos como el NIST o el BSI ya han publicado directrices, y sectores como el financiero están comenzando la transición. La clave, en este caso, no será solo técnica, sino también regulatoria: los marcos legales deberán adaptarse a una tecnología que aún está en fase de consolidación.
En conjunto, las predicciones de Zscaler no apuntan a una disrupción repentina, sino a una acumulación de cambios que, combinados, alteran el equilibrio de la ciberseguridad corporativa. Las empresas que quieran mantenerse a la altura en 2026 deberán integrar seguridad, cumplimiento y estrategia en un mismo plano. No como departamentos aislados, sino como funciones interdependientes en un entorno cada vez más automatizado, distribuido y regulado.
