La inteligencia artificial está acelerando la ciberseguridad, pero también está dejando al descubierto algo incómodo: muchas empresas no tienen todavía la casa ordenada.
Durante años, muchas organizaciones han construido su seguridad como quien va poniendo cerraduras nuevas en una casa donde nadie tiene claro cuántas puertas hay.
- Un firewall por aquí.
- Un antivirus por allá.
- Un EDR porque “lo pide el mercado”.
- Un backup porque “alguna copia tendremos”.
- Un MFA activado a medias.
- Una formación anual que la plantilla pasa en segundo plano mientras responde correos.
Y durante un tiempo, esa forma de trabajar parecía suficiente.
Hasta que llegaron el cloud, el teletrabajo, las aplicaciones SaaS, los accesos de terceros, la automatización, los dispositivos conectados, los entornos OT expuestos y ahora la inteligencia artificial metida hasta en la sopa.
La IA ha cambiado el ritmo de la partida.
Los atacantes la usan para escribir mejor, engañar mejor, automatizar mejor y escalar mejor. Un correo de phishing ya no suena necesariamente a príncipe nigeriano con problemas de herencia. Ahora puede imitar tono, contexto, urgencia, idioma, cargo y estilo corporativo con una precisión bastante desagradable.
Pero la IA también puede ayudar a defender mejor. Puede correlacionar eventos, reducir ruido, priorizar alertas, acelerar investigaciones, enriquecer contexto y ayudar a los equipos de seguridad a tomar mejores decisiones.
El problema aparece cuando una empresa quiere correr con IA sin haber aprendido todavía a caminar con gobierno.
Y aquí empieza la parte que muchos prefieren evitar.
La IA no tapa el desorden interno
Cuando una empresa conecta IA sobre sus documentos, correos, repositorios, datos, tickets, contratos o carpetas compartidas, la IA no distingue entre “esto debería estar aquí” y “esto se quedó mal compartido desde 2019”.
Simplemente accede a lo que técnicamente tiene permitido ver.
Y en muchas organizaciones hay demasiado contenido mal clasificado, demasiadas carpetas heredadas, demasiados permisos concedidos por comodidad, demasiados usuarios con accesos que ya no necesitan y demasiada información sensible circulando sin dueño claro.
La IA no crea ese problema.
Lo ilumina con focos de estadio.
Por eso, antes de desplegar asistentes corporativos, agentes autónomos o modelos conectados a información interna, conviene hacer una pregunta básica:
¿Sabemos realmente qué datos tenemos, dónde están, quién puede acceder y qué impacto tendría que esa información saliera de la organización?
Si la respuesta es “más o menos”, ya tenemos trabajo.
Gobernar IA empieza bastante antes de hablar de prompts, modelos o automatizaciones. Empieza por clasificar datos, revisar permisos, definir políticas de uso, controlar herramientas autorizadas, proteger información sensible y establecer trazabilidad.
La innovación sin gobierno acaba siendo una máquina muy rápida para repartir problemas.
La identidad se ha convertido en la llave maestra
La frontera de la empresa ya no está en la oficina.
Está en cada usuario, cada portátil, cada móvil, cada proveedor, cada cuenta de servicio, cada API y cada agente de IA que puede ejecutar acciones en nombre de alguien.
Por eso la identidad se ha convertido en una de las piezas más críticas de la seguridad moderna.
Una empresa debería poder responder sin sufrir demasiado:
- ¿Quién tiene acceso a qué?
- ¿Por qué lo tiene?
- ¿Quién lo aprobó?
- ¿Cuándo se revisó por última vez?
- ¿Qué ocurre cuando alguien cambia de rol?
- ¿Qué pasa cuando un proveedor termina el servicio?
- ¿Qué permisos tienen las cuentas privilegiadas?
- ¿Qué puede hacer una automatización?
- ¿Qué puede tocar un agente de IA?
Estas preguntas parecen administrativas, pero son profundamente estratégicas.
Porque muchos incidentes no empiezan con una técnica sofisticada digna de película. Empiezan con una credencial robada, un acceso excesivo, una cuenta abandonada, una contraseña reutilizada o un proveedor que conserva permisos meses después de terminar un proyecto.
No es épico. Es operativo. Y precisamente por eso ocurre tanto.
La identidad necesita gobierno: MFA resistente a phishing, mínimo privilegio, PAM, SSO, revisión periódica de accesos, control de terceros, trazabilidad y detección de comportamientos anómalos.
El atacante no necesita romper una puerta si encuentra una llave olvidada debajo del felpudo.
Tener backup no significa estar preparado
Pocas frases dan una falsa tranquilidad tan peligrosa como esta:
“Tenemos copias.”
Perfecto. La pregunta es qué tipo de copias.
¿Son inmutables?
¿Están aisladas?
¿Se prueban de forma periódica?
¿Sabemos cuánto tardamos en restaurar?
¿Hay una copia limpia?
¿Tenemos claro qué sistemas se levantan primero?
¿La dirección conoce el impacto económico de una parada?
¿Existe un plan de comunicación si hay exfiltración de datos?
El ransomware actual no se limita a cifrar archivos. Busca presionar, exfiltrar, destruir copias, afectar reputación, paralizar operaciones y negociar desde una posición de fuerza.
Aquí entra una diferencia importante: recuperar tras una avería técnica no es lo mismo que recuperar tras un ciberataque.
Un desastre natural, una caída eléctrica o un fallo de hardware tienen una lógica. Un atacante tiene intención, persistencia y conocimiento progresivo del entorno. Puede haber tocado sistemas, credenciales, backups y datos antes de que la empresa detecte el incidente.
Por eso hace falta hablar de Cyber Recovery con seriedad: bóvedas aisladas, copias inmutables, pruebas de restauración, runbooks, prioridades de negocio, simulacros y toma de decisiones preparada antes del golpe.
Durante una crisis no conviene descubrir quién decide, qué se recupera primero o dónde está la última copia buena.
La improvisación en ciberseguridad suele salir cara. Y además no suele traer descuento por pronto pago.
La exposición empieza fuera de la empresa
Hay organizaciones que invierten mucho en detectar ataques dentro de la red, pero dedican poca energía a mirar qué están enseñando hacia fuera.
Y el atacante empieza precisamente ahí.
- Dominios olvidados.
- Subdominios antiguos.
- VPNs heredadas.
- APIs expuestas.
- Credenciales filtradas.
- Paneles de administración publicados.
- Aplicaciones de prueba que nadie apagó.
- Servicios cloud mal configurados.
- Dispositivos conectados sin inventario.
- Proveedores con accesos antiguos.
- Todo eso forma parte de la superficie real de ataque.
El inventario que tiene IT suele contar una parte de la historia. El inventario que ve un atacante desde fuera puede contar otra bastante distinta.
Por eso la gestión de exposición se está convirtiendo en una disciplina clave. No se trata de acumular informes infinitos con miles de vulnerabilidades. Eso ya lo hemos visto todos y, sinceramente, a veces sirve más para decorar SharePoint que para reducir riesgo.
La pregunta útil es más concreta:
¿Qué tenemos expuesto ahora mismo que puede explotarse de forma realista y qué impacto tendría sobre el negocio?
Ahí cambia la conversación.
La ciberseguridad gana madurez cuando deja de priorizar solo por severidad técnica y empieza a priorizar por criticidad del activo, exposición real, disponibilidad de exploit, impacto operativo y contexto de negocio.
- No todo lo urgente es importante.
- No todo lo crítico en una herramienta es crítico para la empresa.
- No todo se puede corregir a la vez.
- Priorizar también es proteger.
En OT, un incidente puede salir de la pantalla
En entornos industriales, la conversación sube de nivel.
Una cosa es perder datos. Grave, por supuesto.
Otra cosa es parar una línea de producción, alterar un proceso físico, afectar maquinaria, comprometer seguridad humana o detener una cadena logística.
OT no funciona como IT.
Hay sistemas legacy, protocolos industriales, ventanas de mantenimiento limitadas, dependencia de producción, dispositivos que no se pueden apagar alegremente y proveedores que llevan años tocando piezas concretas del entorno.
Aquí no sirve entrar como elefante en cacharrería tecnológica.
Hace falta inventario pasivo, segmentación entre IT y OT, control estricto de accesos remotos, monitorización específica, firewalls capaces de entender tráfico industrial, gestión de proveedores, backups de configuraciones críticas y pruebas en entornos seguros.
La ciberseguridad industrial no puede quedarse en “eso lo lleva planta”.
Hoy es un riesgo de negocio, de continuidad, de cumplimiento y de responsabilidad directiva.
Con NIS2, esta conversación deja de ser recomendable y pasa a ser bastante seria.
Zero Trust necesita bajar del PowerPoint
Zero Trust suena bien. Todo el mundo lo incluye ya en alguna presentación.
Pero en la práctica exige disciplina.
Implica verificar identidad, dispositivo, ubicación, comportamiento, aplicación, dato y nivel de riesgo. Implica asumir que ningún acceso debería ser permanente, excesivo o invisible. Implica revisar privilegios, segmentar, monitorizar, automatizar respuestas y aplicar contexto.
Activar MFA ayuda, claro. Pero no convierte una empresa en Zero Trust.
Del mismo modo, SASE puede ser una arquitectura muy potente para empresas distribuidas, con usuarios remotos, cloud, sedes, proveedores y aplicaciones SaaS. Puede simplificar seguridad y red, mejorar control y reducir dependencia de VPNstradicionales.
Pero SASE tampoco hace milagros si debajo hay permisos caóticos, datos sin clasificar, dispositivos sin control y procesos que nadie respeta.
La arquitectura ayuda cuando la organización sabe qué quiere proteger y cómo quiere operar.
Sin ese criterio, solo cambiamos el envoltorio.
La hoja de ruta razonable para 2026
Una empresa que quiera madurar en ciberseguridad no necesita empezar con un proyecto faraónico.
Necesita empezar con orden.
Primero, saber qué tiene: activos, usuarios, aplicaciones, datos, proveedores, accesos, sistemas críticos y exposición externa.
Después, gobernar la identidad: altas, bajas, cambios de rol, accesos privilegiados, terceros, cuentas de servicio y agentes de IA.
Luego, proteger el dato: clasificación, DLP, cifrado, retención, permisos, trazabilidad y limpieza documental antes de conectar IA.
También debe reforzar resiliencia: backup inmutable, pruebas de restauración, planes de continuidad, respuesta a incidentes, simulacros y comunicación de crisis.
Y, por supuesto, convertir la concienciación en algo vivo. Menos formación anual para cubrir expediente y más hábitos medibles: microformación, simulaciones, métricas, acompañamiento y mejora continua.
La ciberseguridad no madura por acumulación de herramientas. Madura cuando la empresa toma decisiones coherentes, mide lo que importa y convierte la seguridad en parte de su forma de trabajar.
La conclusión que debería llegar a dirección
La IA va a acelerar muchas cosas. Algunas buenas. Otras no tanto.
La identidad será cada vez más crítica.
El dato será el centro de la protección.
Los ataques serán más rápidos.
Los accesos serán más distribuidos.
Los entornos OT estarán más conectados.
Las regulaciones serán más exigentes.
Y la resiliencia pesará tanto como la prevención.
La empresa que llegue a 2026 con datos desordenados, permisos excesivos, backups sin probar, accesos de terceros sin control y Shadow AI campando alegremente por la organización tendrá un problema.
Quizá no hoy.
Quizá no mañana.
Pero el riesgo estará ahí, acumulando intereses como una deuda técnica con muy mala leche.
En TutumSec trabajamos con una idea sencilla: una organización segura necesita estrategia, arquitectura y operación. Las tres. Sin postureo.
Porque proteger una empresa no consiste en llenar el mapa de herramientas.
Consiste en saber qué hay que proteger, quién puede acceder, qué riesgo se acepta, cómo se detecta, cómo se responde y cómo se recupera.
- Eso es ciberseguridad útil.
- La que entiende dirección.
- La que puede ejecutar IT.
- La que reduce riesgo de verdad.
- La que ayuda a que el negocio siga funcionando cuando vienen curvas.
En TutumSec ayudamos a empresas a ordenar su ciberseguridad con enfoque estratégico, técnico y regulatorio: vCISO, NIS2, ENS, ISO 27001, gestión de riesgos, auditoría, pentesting, MDR/SOC y planes de ciberresiliencia.