El informe más reciente de Thales, elaborado tras consultar a más de 3.100 expertos globales, arroja una conclusión contundente: la IA se ha convertido en la amenaza interna número uno para las empresas. El 70% de los responsables de seguridad ya la identifican como su principal factor de riesgo. La rápida adopción de herramientas de IA ha superado la capacidad de control de las organizaciones. La falta de visibilidad es crítica:
- Desconocimiento de ubicación: Apenas el 34% de las empresas sabe con precisión dónde reside toda su información.
- Falta de clasificación: Solo el 39% es capaz de categorizar sus datos adecuadamente.
- Desprotección en la nube: Casi la mitad de la información sensible en entornos cloud (47%) carece de cifrado, lo que facilita filtraciones masivas si los sistemas de IA acceden a ella sin supervisión.
Identidad y Deepfakes: Los nuevos vectores de ataque
La infraestructura de identidad es ahora el blanco favorito de los cibercriminales. El informe destaca que:
- El 67% de los incidentes en la nube se originan por el robo de credenciales.
- Los ataques mediante deepfakes ya han afectado al 59% de las organizaciones, provocando daños en la reputación de casi la mitad de ellas (48%).
- La gestión de «secretos» (claves API y tokens) es uno de los mayores dolores de cabeza para el 50% de los departamentos técnicos.
IA Agéntica: Una amenaza automatizada
A diferencia de los riesgos tradicionales, la IA agéntica puede amplificar las vulnerabilidades a una velocidad sobrehumana. Según los expertos de Thales, estos sistemas automatizados gozan de una confianza excesiva y un acceso a datos demasiado amplio, convirtiéndose en «empleados internos» que pueden exponer información crítica de forma inadvertida.
Inversión insuficiente en seguridad específica
A pesar del panorama, la respuesta financiera aún es tímida:
- Solo el 30% de las compañías cuenta con un presupuesto dedicado exclusivamente a proteger sus sistemas de IA.
- La mayoría (53%) intenta cubrir estos nuevos riesgos con programas de seguridad convencionales, diseñados para humanos y no para procesos automatizados.
Por lo tanto, la IA no reemplaza las amenazas de siempre, sino que las potencia. Las empresas deben evolucionar de una seguridad perimetral hacia una estrategia centrada en el cifrado, el control de identidades de máquinas y una gobernanza férrea para evitar que su propia innovación se vuelva en su contra.
