Los líderes de seguridad que enfrentan escasez de personal están recurriendo a la inteligencia artificial para subsanar la falta de habilidades en sus organizaciones, según los resultados de una encuesta publicada hoy por una empresa global de ciberseguridad.
Alrededor del 97% de 1.850 responsables de TI y ciberseguridad en 29 países informaron que utilizan o planean utilizar una solución de ciberseguridad que aprovecha la IA para abordar un número creciente de incidentes de seguridad, según la encuesta Fortinet Cybersecurity Skills Gap 2025, realizada por Sapio Research.
La encuesta indicó que la gran mayoría de los encuestados (86%) sufrió una o más brechas de seguridad en 2024, y casi un tercio (28%) reportó cinco o más. Estos niveles son notablemente más altos que en 2021, cuando Fortinet realizó su primera encuesta sobre brechas de habilidades. En aquel entonces, el 80% reportó una brecha y el 19% reportó cinco o más.
El impacto de estos incidentes de seguridad es significativo, según la encuesta. Más de la mitad (52%) de las organizaciones encuestadas afirman que las brechas de seguridad les cuestan más de un millón de dólares, lo que se acerca al 53% del año pasado y aumenta con respecto al 38% de 2021.
En respuesta a este creciente problema, el estudio señaló que las organizaciones recurren cada vez más a la IA para fortalecer sus capacidades y su estrategia, aun cuando reconocen que la IA también podría utilizarse en su contra como motor para nuevos o mejores ciberataques. Casi la mitad de los encuestados (49%) confesaron su preocupación de que el uso de la IA por parte de actores maliciosos aumente los ataques de ciberseguridad.
Se necesita inversión en talento cibernético.
Cuatro de cada cinco organizaciones (80%) indicaron a los encuestados que las herramientas de IA están ayudando a sus equipos de TI y seguridad a ser más eficaces, aunque casi todas son conscientes de que la IA no resolverá por sí sola la actual escasez de profesionales. Esta escasez supone un déficit global de más de 4,7 millones de profesionales de ciberseguridad, según el Estudio sobre la Fuerza Laboral de Ciberseguridad ISC2 de 2024.
“La encuesta de este año subraya aún más la urgente necesidad de invertir en talento en ciberseguridad”, declaró Carl Windsor, CISO de Fortinet, en un comunicado. “Si no se cierra la brecha de habilidades, las organizaciones seguirán enfrentándose a tasas crecientes de infracciones y costos cada vez mayores”.
“Los resultados señalan un punto de inflexión tanto para el sector público como para el privado”, continuó. “Sin acciones contundentes para desarrollar y retener la experiencia en ciberseguridad, los riesgos y los costos seguirán aumentando para nuestra sociedad”.
Thomas Vick, experto en contratación y consultoría tecnológica de Robert Half, firma global de selección y contratación de personal, explicó que sin suficientes profesionales cualificados, los equipos de TI pueden tener dificultades para corregir vulnerabilidades, gestionar la deuda técnica y anticiparse a amenazas cada vez más sofisticadas, dejando expuestos los sistemas críticos.
“A medida que aumentan los riesgos cibernéticos, atraer y retener profesionales cualificados en ciberseguridad sigue siendo una prioridad empresarial para proteger los activos digitales y anticiparse a las amenazas”, declaró.
“La brecha de habilidades en ciberseguridad sigue siendo un desafío para las organizaciones de todos los sectores, lo que dificulta la cobertura de puestos críticos en los departamentos de TI y los centros de operaciones de seguridad”, concluyó. “Para seguir siendo competitivos, muchos empleadores ofrecen salarios iniciales más altos y beneficios atractivos para los mejores talentos”.
Según una investigación realizada para la Guía Salarial 2026 de Robert Half, más de la mitad de los empleadores estadounidenses están dispuestos a aumentar la remuneración inicial de los candidatos con habilidades de ciberseguridad muy demandadas, y el 41% afirmó que aumentaría la remuneración de los candidatos con habilidades de seguridad en la nube, añadió.
Retener al personal cualificado no es solo una cuestión financiera, argumentó Mark St. John, cofundador y director de operaciones de Neon Cyber, proveedor de herramientas de seguridad basadas en navegador en Fort Worth, Texas. «Cambiar de trabajo es fácil para los profesionales cualificados», declaró. «Aprendes algunas herramientas, experimentas el tiempo en las trincheras y, de repente, te conviertes en un activo valioso».
«Me encanta esto para los analistas. Lo odio para la empresa», afirmó. «El conocimiento tribal sobre el funcionamiento de la empresa, la confidencialidad de los datos en las distintas unidades de negocio, las relaciones… todo suma y es importante con el tiempo. Por eso, estoy fácilmente convencido de que la rotación puede provocar filtraciones de datos».
La adopción de la IA choca con la falta de habilidades.
Aunque la mayoría de las organizaciones utilizan o planean utilizar IA, casi la mitad (48%) reconoció que el mayor desafío para integrar la IA en la ciberseguridad era la falta de personal con suficiente experiencia en IA.
“La escasez de habilidades crea una paradoja que limita el potencial de la IA en ciberseguridad”, afirmó Tim Freestone, director de estrategia de Kiteworks, proveedor de una plataforma segura para el intercambio de datos privados, en San Mateo, California.
“Las organizaciones carecen de personal con la experiencia necesaria para implementar, gestionar y optimizar adecuadamente las herramientas de seguridad basadas en IA, lo que significa que la solución diseñada para aliviar la presión del personal sigue infrautilizada”, declaró.
Esta brecha es particularmente grave porque una implementación eficaz de IA requiere competencias duales: operar sistemas de IA y defenderse de ataques impulsados por IA, habilidades que son aún más escasas que la experiencia tradicional en ciberseguridad.
“Sin profesionales capacitados que puedan configurar las herramientas de IA adecuadamente, interpretar sus resultados con precisión e integrarlos eficazmente en las operaciones de seguridad, las organizaciones corren el riesgo de implementar sistemas de IA que no alcancen su potencial defensivo o, peor aún, que introduzcan nuevas vulnerabilidades debido a una gestión inadecuada”, afirmó.
“El informe de Fortinet deja claro que la falta de habilidades en ciberseguridad se ha convertido en un riesgo empresarial, no solo técnico”, añadió Shane Barney, director de seguridad de la información de Keeper Security, empresa de gestión de contraseñas y almacenamiento en línea con sede en Chicago.
“Con casi todas las empresas adoptando la inteligencia artificial para reforzar las defensas”, declaró, “la ausencia de habilidades internas para gestionar estas herramientas de forma segura está ampliando la brecha entre la tecnología y la preparación”.
Diana Kelley, CISO de Noma Security, empresa de seguridad del ciclo de vida de la IA en Tel Aviv, Israel, explicó que las habilidades de IA pueden abarcar un espectro muy amplio. «Las habilidades tradicionales de IA, como la ciencia de datos y los ingenieros de aprendizaje automático, siguen siendo populares», declaró.
«Una de las habilidades GenAI más demandadas es la ingeniería rápida, que genera valor en todos los equipos, desde operaciones de seguridad hasta marketing, cumplimiento normativo y desarrollo de negocio», afirmó. «Y quienes se están involucrando y desarrollando agentes de IA también se están preparando para adquirir habilidades de IA con garantía de futuro».
«Por supuesto», continuó, «para cada implementación de IA o caso de uso empresarial, es necesario que la IA, especialmente la IA agentic, sea protegida por la organización del CISO».
Inversión en capacitación necesaria.
La encuesta recomendó una mayor inversión por parte de las organizaciones en capacitación y desarrollo en ciberseguridad. La disminución en la disposición a pagar por certificaciones este año, del 89% del año anterior al 73%, es preocupante, señaló. “Si esto se convierte en una tendencia emergente, las organizaciones deberían revisar esta decisión como parte de su estrategia de gestión de riesgos”, recomendó.
Lisa Simon, economista jefe de Revelio Labs, una empresa de inteligencia laboral de la ciudad de Nueva York, explicó que los empleadores recurren cada vez más a las certificaciones para verificar las competencias en ciberseguridad, especialmente en sectores de alto riesgo como el gobierno, las finanzas y la atención médica.
“Las certificaciones pueden garantizar que los candidatos cumplen con un estándar determinado y ayudan a las organizaciones a demostrar credibilidad ante clientes y organismos reguladores”, declaró, “pero la dependencia de las credenciales también presenta inconvenientes.
“Nuestros estudios muestran que solo uno de cada cinco profesionales de la ciberseguridad indica tener una certificación en su perfil en línea, lo que contribuye a una contratación más lenta y costosa, y corre el riesgo de excluir a candidatos destacados que han desarrollado su experiencia en puestos de TI o sistemas sin credenciales formales”.
“En la práctica, las certificaciones pueden ser una valiosa señal de competencia”, continuó, “pero no deberían ser el único filtro”. Las organizaciones también necesitan invertir en capacitación interna y en la diversificación de las reservas de talento para satisfacer la creciente demanda de talento cibernético.
La encuesta recomendó: «Contar con empleados y profesionales de la ciberseguridad capacitados y conscientes es crucial para la gestión integral del riesgo cibernético en un mundo que ha superado el ciclo de ataque y defensa. Hoy en día, para protegerse, las organizaciones necesitan mantener una postura de vigilancia constante y una concienciación continua de los riesgos».
