La paradoja de seguridad en IA: ¿por qué confiamos en lo que no podemos ver?
Las empresas despliegan agentes de IA a gran velocidad, pero carecen de visibilidad y gobernanza, creando un riesgo de seguridad sin precedentes.
10 de julio de 2026 · 3 min de lectura
¿Qué ha ocurrido?
Una investigación reciente de CyberArk, publicada en TechRadar, revela una contradicción alarmante en la adopción empresarial de inteligencia artificial: mientras el 87% de las organizaciones considera que su postura de gestión de identidades está preparada para soportar la automatización impulsada por IA, el 46% reconoce que su gobernanza de identidades es deficiente. Este desfase, denominado 'paradoja de seguridad en IA', refleja que las empresas están otorgando a los sistemas de IA niveles crecientes de acceso y autonomía sin establecer mecanismos claros para monitorear o verificar su comportamiento. La paradoja no es nueva en el mundo tecnológico: recuerda a la brecha entre confianza y verificación que surgió con la adopción masiva de la nube hace una década, cuando las empresas migraban cargas de trabajo sin políticas de seguridad adecuadas, dando lugar a incidentes como la exposición de datos de Capital One en 2019. Sin embargo, la velocidad actual de adopción de IA —impulsada por la presión de la alta dirección para automatizar procesos— supera cualquier precedente, según el informe.
¿Por qué es importante?
La paradoja expone un riesgo fundamental: los agentes de IA, al operar con acceso autónomo y permisos heredados, socavan los modelos tradicionales de gobernanza de identidades. Según la investigación, el 73% de las organizaciones cree que el acceso permanente de los agentes de IA aumenta el riesgo de seguridad, pero la presión por la eficiencia operativa las lleva a aceptar esos riesgos. Además, el 80% de las empresas no puede determinar por qué un agente de IA realizó una acción privilegiada, lo que convierte la gobernanza en reactiva en lugar de preventiva. Históricamente, problemas similares surgieron con las cuentas de servicio en entornos de TI: permisos excesivos y falta de monitoreo llevaron a brechas como la de SolarWinds en 2020. La diferencia con la IA es que los agentes pueden tomar decisiones autónomas en milisegundos, multiplicando exponencialmente el daño potencial. Para las empresas, esto implica que los modelos de seguridad basados en confianza implícita —donde se asume que un sistema interno es seguro— ya no son viables. El informe de CyberArk también señala que los modelos tradicionales de gestión de identidades se basaban en cuatro supuestos clave: comportamiento predecible, intención humana, permisos acotados y roles estáticos. Los agentes de IA rompen todos estos supuestos, ya que sus acciones pueden ser impredecibles, carecen de intención humana en el sentido tradicional, heredan permisos de usuarios y sistemas, y operan con roles dinámicos.
Consecuencias y qué deben saber los lectores
La expansión de la 'IA sombra' agrava el problema: el 53% de las organizaciones encuentra regularmente herramientas o agentes de IA no autorizados accediendo a sistemas corporativos, pero solo el 28% puede detectarlos en tiempo real. Este fenómeno es comparable al 'shadow IT' de la era de la nube, donde departamentos adoptaban SaaS sin conocimiento de TI, pero con la IA la escala y el riesgo son mayores. Por ejemplo, un agente de IA no autorizado podría acceder a datos financieros o de clientes y realizar transacciones sin supervisión, algo que ya ha ocurrido en entornos de prueba según reportes de seguridad. Para los líderes de seguridad, esto implica que deben repensar la gobernanza, adoptando modelos que permitan visibilidad y control en tiempo real sobre las acciones de la IA. La paradoja no se resolverá con tecnología únicamente; requiere un cambio cultural que priorice la verificación sobre la confianza ciega. Las empresas deben implementar políticas de 'privilegio mínimo' para agentes de IA, similar a lo que se hace con cuentas humanas, pero adaptado a la naturaleza autónoma de los agentes. Además, el 46% de organizaciones con gobernanza deficiente debería considerar marcos como NIST AI Risk Management Framework o ISO/IEC 42001, que proporcionan directrices para la gestión de riesgos de IA. En el mercado, soluciones como CyberArk, Okera o Immuta están emergiendo para abordar estos desafíos, pero la adopción aún es incipiente. La lección clave es que la velocidad de adopción no debe superar la capacidad de gobernanza; confiar sin ver es el nuevo riesgo empresarial.
La paradoja de seguridad en IA nos recuerda que la velocidad de adopción no debe superar la capacidad de gobernanza. Confiar sin ver es el nuevo riesgo empresarial.
Puntos clave
- El 87% de las organizaciones cree que su gestión de identidades está lista para IA, pero el 46% admite carencias.
- El 80% de las empresas no puede determinar por qué un agente de IA realizó una acción privilegiada.
- El 73% reconoce que el acceso permanente de agentes de IA aumenta el riesgo de seguridad.
- El 53% encuentra regularmente IA no autorizada ('shadow AI') en sus sistemas.
- Solo el 28% puede detectar IA sombra en tiempo real.
Preguntas frecuentes
¿Qué es la paradoja de seguridad en IA?
Es la contradicción entre la alta confianza de las organizaciones en su preparación para la IA y la realidad de que carecen de visibilidad y gobernanza adecuadas sobre los agentes de IA.
¿Por qué es un problema que el 80% no pueda explicar las acciones de IA?
Porque impide una gobernanza preventiva, dificulta la detección de comportamientos maliciosos o errores, y aumenta el riesgo de incidentes de seguridad no controlados.
¿Qué es la 'shadow AI'?
Son herramientas o agentes de IA no autorizados que acceden a sistemas y datos corporativos sin la aprobación del departamento de TI o seguridad.
Fuentes utilizadas
Sigue leyendo
Comentarios
Sé el primero en comentar.