El uso no controlado de las IA que pone en peligro a las empresas

La Inteligencia Artificial es tanto un reto como un aliado, también en materia de ciberseguridad. Tanto es así que, según el informe Cisco Cibersecurity Readiness Index 2025, el 84% de las organizaciones españolas ya utilizan la IA para comprender y responder mejor a las amenazas: el 81% para su detección y el 67% para tareas de respuesta y recuperación.

Sin embargo, y tal y como desgrana Ángel Ortiz, Director de Ciberseguridad en Cisco España, a La Razón, el 67% de las organizaciones españolas se sienten incapaces de detectar implementaciones de IA no controladas (Shadow AI), lo que plantea riesgos importantes para la ciberseguridad y la privacidad de los datos corporativos.

En el caso concreto de las herramientas de IA Generativa (como ChatGPT), más de la mitad de los empleados en España (el 55%) utilizan aplicaciones de terceros aprobadas por su empresa, pero uno de cada cinco tiene acceso ilimitado a aplicaciones de IA Generativa de uso público. Miientras el 65% de los equipos de TI en España desconocen las interacciones de los empleados con GenAI.

Precisamente por eso, este responsable considera que, además de hablar del uso de la IA en Ciberseguridad para detectar amenazas (AI for Security) también debemos hablar de cómo la Ciberseguridad puede usarse para una adopción segura de la IA en las organizaciones (Security for AI). “La rápida evolución de la IA ha introducido riesgos como comportamientos no deseados, violaciones de la privacidad de los datos, sesgos algorítmicos y un posible uso indebido de los sistemas de inteligencia artificial, lo que podría tener consecuencias legales, financieras y de reputación para las empresas”, asegura.

Estado de las amenazas

Según el informe elaborado por esta compañía, sólo el 2% de las organizaciones españolas tienen un nivel ‘maduro’ de preparación para protegerse completamente frente a los riesgos de ciberseguridad en la era de la Inteligencia Artificial (IA).

Un dato en el que tiene mucho que ver el hecho de que, aunque el 83% de las empresas españolas se han enfrentado a incidentes de seguridad relacionados con la IA en los últimos doce meses, solo el 44% de ellas organizaciones confían en que sus empleados comprendan plenamente las amenazas relacionadas con la IA.

Más allá de la IA, el estudio asegura que cuatro de cada diez organizaciones españolas (el 42%) sufrieron ciber-ataques (no relacionados con la IA), agravados por estrategias de seguridad complejas con soluciones de defensa puntuales y dispares. Malware (75%), phishng (60%), brechas de seguridad (44%) o ransomware (41%) siguen siendo los principales incidentes a nivel mundial.

El informe también asegura que las perspectivas para el futuro no son halagüeñas. Las empresas en España consideran que las amenazas externas, como los actores maliciosos y los grupos afiliados a estados (67%), serán más relevantes para su seguridad que las amenazas internas (33%). De igual forma,siete de cada diez organizaciones españolas prevén interrupciones en sus operaciones debido a incidentes cibernéticos en los próximos 12 a 24 meses (71% de media mundial).

“El impacto en las operaciones es significativo, ya que en los próximos 12 a 24 meses, siete de cada diez organizaciones españolas consideran probable que un incidente grave podría afectar a su negocio”, subraya Ángel Ortiz. “Las empresas creen que los factores externos (67%), como los ciber-delincuentes y los grupos de amenazas afiliados al estado, representan una mayor amenaza a la ciberseguridad que los factores internos (33%), como empleados, partners y proveedores. Esto subraya la urgente necesidad de establecer estrategias de defensa optimizadas para mitigar los ataques externos”.

Invertir más en seguridad

Por eso, el director de ciberseguridad de Cisco se muestra tajante al asegurar que es necesario que las empresas españolas inviertan más en su propia seguridad y no solo porque sean de las europeas que menos lo hacen. “El informe alerta que sólo el 28% de las empresas españolas destinan más del 10% de su presupuesto TI a ciberseguridad, frente al 45% global. Sin embargo, la ciberseguridad no debe entenderse como un gasto, sino como una inversión en continuidad operativa, reputación y resiliencia ante un entorno de amenazas cada vez más complejo y sofisticado”, sentencia.

Sobre qué áreas deberían ser reforzadas especialmente, Ángel Orgiz señala cinco. Por un lado, la Inteligencia de Identidad (“Diseñar una estrategia intregral con mayor visibilidad y Zero Trust, utilizando autenticación sin contraseña y multifactor, optimizado con detección basada en IA”). También deben reforzar la confiabilidad de las máquinas, “implementando un modelo Zero Trust para verificar todos los usuarios y dispositivos antes de darles acceso a la red”.

En cuanto a la resiliencia de la Red, Ortiz aboga por considerar la resiliencia de red como “prioridad” y “preparar a las redes para la IA evitando implementaciones parciales”. También considera importante “abandonar estrategias de seguridad fragmentadas y evolucionar hacia un modelo unificado y proactivo mejorado por la IA” en lo que a la nube se refiere y “adoptar una estrategia de seguridad sólida para proteger tanto las tecnologías de IA como sus modelos subyacentes (fiabilidad e integridad de los sistemas de IA en la organización)”.