La inteligencia artificial se está convirtiendo en una de las principales preocupaciones de seguridad para las empresas. Según el Informe sobre Amenazas de Datos 2026 de Thales, el 70% de las organizaciones considera que la IA representa hoy el mayor riesgo para la protección de sus datos.
El estudio, elaborado junto con S&P Global 451 Research, analizó organizaciones de sectores como el financiero, energético, automotriz y retail. El diagnóstico es claro: mientras las empresas integran sistemas de IA en sus procesos internos, muchas todavía no cuentan con los controles adecuados para proteger la información a la que estos sistemas acceden.
La preocupación no se limita al uso malicioso de la inteligencia artificial. También se vincula con el creciente nivel de acceso que estas herramientas tienen dentro de las organizaciones, donde pasan de ser simples aplicaciones a actores internos con privilegios sobre datos sensibles.
“El riesgo interno ya no se trata solo de personas. También se trata de sistemas automatizados en los que se ha confiado demasiado rápido”, dijo Sebastien Cano, vicepresidente senior de productos de ciberseguridad en Thales. Según explicó, cuando la gobernanza de identidades, las políticas de acceso o el cifrado son débiles, la IA puede amplificar esas vulnerabilidades con mucha mayor velocidad que un usuario humano.
IA y datos: un acceso cada vez más amplio
La adopción acelerada de inteligencia artificial está expandiendo el alcance de los datos dentro de las organizaciones. Los sistemas de IA ya participan en áreas como análisis de información, atención al cliente, desarrollo de software y automatización de procesos, lo que implica acceso directo a grandes volúmenes de datos corporativos.
Sin embargo, el informe revela una brecha importante entre adopción tecnológica y control real de la información.
Solo el 34% de las organizaciones afirma saber dónde se encuentran todos sus datos, mientras que apenas el 39% asegura poder clasificarlos completamente según su nivel de criticidad.
La situación se vuelve más delicada en la nube. Casi la mitad de los datos sensibles almacenados en entornos cloud —un 47%— permanece sin cifrar, lo que aumenta el riesgo de exposición en caso de compromisos de seguridad.
En este contexto, aplicar políticas de acceso de privilegio mínimo —es decir, otorgar únicamente los permisos estrictamente necesarios— se vuelve más difícil cuando los sistemas automatizados interactúan con múltiples fuentes de datos en entornos cloud y SaaS.
Identidades y credenciales, el nuevo frente de ataque
El informe también destaca que la infraestructura de identidad se ha convertido en uno de los principales objetivos de los ciberataques.
El robo de credenciales sigue siendo la técnica más utilizada para comprometer entornos de nube: el 67% de las organizaciones que sufrió ataques en cloud reportó este método.
Además, el 50% de las empresas identifica la gestión de secretos —como claves API, tokens y credenciales de máquinas— entre sus mayores desafíos de seguridad.
Este escenario refleja un cambio importante en la superficie de ataque: ya no se trata solo de usuarios humanos, sino también de identidades digitales utilizadas por aplicaciones, servicios automatizados y modelos de IA.
Deepfakes y desinformación impulsados por IA
La inteligencia artificial no solo está transformando las operaciones empresariales, también está modificando la forma en que se ejecutan los ataques.
Según el informe, casi el 60% de las empresas afirma haber enfrentado incidentes vinculados a deepfakes, mientras que el 48% reportó daños asociados a campañas de desinformación generadas con IA.
Estas tecnologías permiten crear mensajes, imágenes o videos altamente convincentes que facilitan ataques de suplantación de identidad, fraude o manipulación reputacional.
A esto se suma un factor humano que sigue siendo crítico. El estudio señala que el error humano contribuye al 28% de las brechas de seguridad, y cuando se combina con automatización y herramientas de IA, los errores pueden amplificarse y propagarse con mayor rapidez.
La inversión en seguridad aún no alcanza
Frente a estos riesgos, las organizaciones comenzaron a destinar más recursos a la protección de entornos impulsados por IA. Actualmente, el 30% de las empresas ya cuenta con presupuestos específicos para seguridad de inteligencia artificial.
Sin embargo, la mayoría todavía depende de estructuras tradicionales.
El 53% de las compañías sigue financiando la seguridad de la IA con presupuestos generales de ciberseguridad, diseñados originalmente para proteger usuarios humanos y perímetros corporativos.
Para Eric Hanselman, analista jefe de S&P Global 451 Research, esta transición exige un cambio profundo en la forma de abordar la seguridad de los datos.
“A medida que la IA se integra profundamente en las operaciones empresariales, la visibilidad y la protección continua de los datos ya no son opcionales”, señaló.
La seguridad debe adaptarse a la era de la IA
El informe concluye que la inteligencia artificial no reemplaza las amenazas tradicionales, sino que amplifica su velocidad, escala y alcance.
A medida que las máquinas obtienen mayor autonomía para acceder, procesar y actuar sobre datos corporativos, las organizaciones deberán replantear su enfoque de seguridad, colocando en el centro la gestión de identidades, el cifrado y la visibilidad de los datos.
Las empresas que integren estas capacidades dentro de sus estrategias de adopción de IA estarán mejor preparadas para aprovechar sus beneficios sin convertirla, involuntariamente, en su próxima amenaza interna.
Leer más
- Deepfakes, IA y nube híbrida: las sombras que preocupan a los líderes de seguridad
- Hitachi Vantara y Red Hat se unen para acelerar la nube híbrida y la virtualización empresarial
- Red Hat Summit: Connect – La inferencia de modelos, la nube híbrida y la soberanía de datos marcan el futuro de la IA
