En este momento estás viendo La IA está volviendo rápidamente obsoletas las ciberdefensas, según un informe

La IA está volviendo rápidamente obsoletas las ciberdefensas, según un informe

  • Autor de la entrada:
  • Categoría de la entrada:Análisis
  • Última modificación de la entrada:febrero 5, 2026

La rápida adopción de la inteligencia artificial por parte de las empresas está superando la capacidad de las organizaciones para proteger sus operaciones, según un nuevo informe sobre seguridad de infraestructura que indica que los ataques impulsados ​​por IA ya avanzan a una velocidad superior a la que pueden responder las defensas tradicionales.

En su Informe de Seguridad de IA ThreatLabz 2026, Zscaler advierte que las empresas no están preparadas para la próxima ola de ciberriesgos impulsados ​​por la IA, incluso a medida que esta se integra en las operaciones comerciales.

El informe, basado en un análisis de casi un billón de transacciones de IA/ML en la plataforma Zscaler Zero Trust Exchange entre enero y diciembre de 2025, predijo que las empresas están llegando a un punto de inflexión en el que la IA ha pasado de ser una herramienta de productividad a un vector principal para los conflictos autónomos a velocidad de máquina.

«La IA ya no es solo una herramienta de productividad, sino un vector principal para los ataques autónomos a velocidad de máquina, tanto por parte de crimeware como de estados-nación», declaró Deepen Desai, vicepresidente ejecutivo de Ciberseguridad de Zscaler.

“En la era de la IA con agentes”, continuó, “una intrusión puede pasar del descubrimiento al movimiento lateral y al robo de datos en minutos, volviendo obsoletas las defensas tradicionales”.

Adopción que supera la supervisión.

El informe advirtió que la adopción de la IA se está acelerando más rápido que la supervisión empresarial y reveló que, a pesar de que su uso ha crecido un 200% en sectores clave, muchas organizaciones aún carecen de un inventario básico de modelos y funciones de IA integradas.

Los hallazgos de Zscaler confirman exactamente lo que advertimos el año pasado, señaló Stu Bradley, vicepresidente sénior de soluciones de riesgo, fraude y cumplimiento de SAS, una empresa de software de análisis e inteligencia artificial con sede en Cary, Carolina del Norte. “Las empresas están adoptando la IA más rápido de lo que construyen las barreras de seguridad de gobernanza adecuadas, y ahora estamos empezando a ver las consecuencias”, declaró.

“La mayoría de las organizaciones aún no tienen un inventario completo de dónde se ejecuta la IA ni de qué datos está involucrada”, continuó. “Hablamos de millones de interacciones de IA sin gestionar e incontables terabytes de datos potencialmente sensibles que fluyen hacia sistemas que nadie supervisa. No hace falta ser CISO para reconocer el riesgo inherente que esto conlleva”.

“Estamos terminando con IA en todas partes y control en ninguna”, añadió Ryan McCurdy, vicepresidente de marketing de Liquibase, una empresa de automatización de cambios en bases de datos con sede en Austin, Texas.

“La gente pasa datos de clientes, fragmentos de código y contexto de producción a los asistentes porque es la forma más rápida de realizar el trabajo”, declaró. “Al mismo tiempo, los proveedores están integrando la IA en herramientas que ya se utilizan, por lo que su uso se extiende sin una revisión de seguridad formal”.

“El riesgo no es teórico”, declaró. “Cuando no se puede inventariar dónde se ejecuta la IA y qué está tocando, no se pueden aplicar políticas ni investigar incidentes con seguridad”.

Michael Bell, director ejecutivo de Suzu Testing, proveedor de servicios de ciberseguridad basados ​​en IA en Las Vegas, explicó que todos los principales proveedores de SaaS están integrando funciones de IA en sus productos. «Estas funciones suelen estar activas por defecto, heredan los permisos existentes y escapan a la detección de los filtros de seguridad tradicionales», declaró.

«Sus empleados no eligen usar IA», afirmó. «La IA simplemente se desarrolla en segundo plano en las herramientas que ya utilizan. Este perfil de riesgo es fundamentalmente diferente al de la IA en la sombra, ya que no se puede solucionar bloqueando ChatGPT en el firewall. La IA ya está dentro de las aplicaciones que se autorizaron».

Ataques lanzados a velocidad de máquina.

Los investigadores de Zscaler también informaron que los sistemas de IA empresariales son vulnerables a la velocidad de máquina. Descubrieron que la mayoría de los sistemas de IA empresariales podían verse comprometidos en tan solo 16 minutos, con fallos críticos descubiertos en el 100% de los sistemas analizados.

Si bien los debates sobre seguridad de la IA suelen centrarse en amenazas futuras hipotéticas, según el informe, las pruebas del equipo rojo de Zscaler revelaron una realidad más inmediata: cuando los sistemas de IA empresariales se prueban en condiciones adversas reales, fallan casi de inmediato.

«Los sistemas de IA se ven comprometidos rápidamente porque dependen de la colaboración de múltiples permisos, ya sean otorgados mediante cuentas de servicio o heredados del acceso a nivel de usuario», explicó Sunil Gottumukkala, director ejecutivo de Averlon, una empresa de seguridad en la nube basada en IA con sede en Redmond, Washington.

«Una cuenta de identidad puede acceder a datos confidenciales, otra puede activar acciones automatizadas y una tercera puede escribir en sistemas de producción», declaró. «Individualmente, estos permisos suelen parecer legítimos. Combinados, pueden crear cadenas de ataques no intencionados a datos confidenciales o sistemas críticos».

“Algunas empresas aún operan centrándose en las identificaciones de los empleados para distinguir la autorización correcta, pero la proporción de identidades no humanas a humanas es actualmente de 82:1, con menos supervisión sobre el acceso y las capacidades del modelo de IA”, explicó Troy Leach, director de estrategia de Cloud Security Alliance, una organización sin fines de lucro dedicada a las mejores prácticas en la nube.

“Además, la creciente cantidad de API y la autonomía de los agentes de IA para tener o conceder acceso privilegiado a las herramientas crean nuevas formas de eludir los controles de seguridad”. “La práctica de rotación y revocación de permisos debe evolucionar hacia iniciativas más dinámicas para mantenerse al día con la innovación”.

La mayoría de las empresas tratan la seguridad de la IA como una extensión de la seguridad de las aplicaciones, pero la superficie de ataque es fundamentalmente diferente, añadió Brad Micklea, director ejecutivo y cofundador de Jozu, una empresa con sede en Toronto que desarrolla herramientas para empaquetar, implementar, gobernar y gestionar modelos de IA de forma segura.

“Los modelos no son código”, declaró. Son artefactos con datos de entrenamiento, ponderaciones y dependencias integrados que pueden ser contaminados en cualquier punto de la cadena de suministro. Las herramientas tradicionales de AppSec no inspeccionan los componentes internos del modelo porque no fueron diseñadas para ello.

La fiebre del oro de la IA genera código de mala calidad.

Muchas empresas se apresuran a sumarse a la fiebre del oro de la IA, por lo que equipos de desarrollo sin experiencia la utilizan para generar código de baja calidad que introduce errores y vulnerabilidades de seguridad, explicó Eric Hulse, director de investigación de Command Zero, una empresa de automatización de ciberinvestigación en Austin, Texas.

“Los departamentos de la empresa sin procesos de seguridad formales están implementando funciones con asistencia de IA, pero sin una verificación adecuada”, declaró. “Desde una perspectiva técnica, estos sistemas se están implementando con la postura de seguridad de un prototipo, no de un sistema de producción”.

“Estamos viendo puntos finales de modelos expuestos sin la autenticación adecuada, vulnerabilidades de inyección rápida e integraciones de API inseguras con permisos excesivos”, concluyó. Las configuraciones predeterminadas se envían directamente a producción. En definitiva, se trata de un campo nuevo y novedoso, y todos se apresuran a conseguir un puesto, aumentar sus ingresos y comercializarlo lo antes posible.

«Con la prisa por lanzar la IA al mercado rápidamente, los equipos de ingeniería y producto suelen recortar gastos para cumplir con los ajustados plazos de lanzamiento», añadió Randolph Barr, CISO de Cequence Security, empresa global de seguridad de API y gestión de bots.

«Cuando esto sucede, se omiten los controles básicos de seguridad y esos atajos se trasladan a producción», declaró. «Por lo tanto, aunque las organizaciones están empezando a pensar en la protección de modelos, la inyección inmediata, la fuga de datos y la detección de anomalías, estos esfuerzos son de poca utilidad si no se han protegido la identidad, el acceso y la configuración desde un nivel fundamental».

El informe también señaló que, en 2025, las transferencias de datos empresariales a aplicaciones de IA/ML se dispararon a 18.033 terabytes, un aumento interanual del 93%, equivalente aproximadamente a 3.600 millones de fotos digitales.

La magnitud de este riesgo se cuantifica en 410 millones de infracciones de las políticas de prevención de pérdida de datos (DLP) relacionadas únicamente con ChatGPT, añadió, incluyendo intentos de compartir números de la Seguridad Social, código fuente e historiales médicos.

Estos hallazgos indican que la gobernanza de la IA ha pasado de ser un debate político a una necesidad operativa inmediata, argumentó el informe. Advirtió que, a medida que estos repositorios crecen, se están convirtiendo en objetivos prioritarios para el ciberespionaje.

No hay necesidad de entrar en pánico.

La principal conclusión del informe es que la IA ya forma parte del trabajo diario y que las personas transfieren datos empresariales reales a través de ella, a menudo sin ser conscientes del riesgo, señaló Riaan Gouws, director de tecnología de Forward Edge-AI, una empresa de inteligencia artificial especializada en seguridad pública, seguridad nacional y tecnologías antifraude en San Antonio, Texas.

«Las empresas no necesitan entrar en pánico, pero sí necesitan ponerse al día rápidamente», declaró. «Decidan qué herramientas están permitidas, establezcan medidas de seguridad para los datos confidenciales y garanticen que el personal de seguridad pueda ver realmente qué se está utilizando». “Lo que el informe destaca en última instancia no es un problema de IA, sino un problema de gobernanza de la identidad”, añadió Rosario Mastrogiacomo, director de estrategia de Sphere Technology Solutions, empresa de software y servicios de gobernanza de datos con sede en Hoboken, Nueva Jersey.

“Hasta que las empresas no reconozcan los sistemas de IA como identidades que requieren descubrimiento, propiedad, supervisión del comportamiento y gestión del ciclo de vida, seguiremos viendo una innovación impresionante acompañada de una seguridad frágil”, declaró. “Las organizaciones que acierten en esto no frenarán la adopción de la IA. La harán sostenible”.

Etiquetas: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,