Según el Informe comparativo de pruebas adversas y de inteligencia artificial de 2026 de Penera, la mayoría de los líderes de seguridad luchan por defender sus sistemas de inteligencia artificial con herramientas y habilidades que no son adecuadas para la tarea.
Este informe, basado en una encuesta de 300 CISO y altos líderes de seguridad de EE. UU., examina cómo las organizaciones protegen su infraestructura de IA y destaca brechas críticas relacionadas con la escasez de habilidades y la dependencia de controles de seguridad no diseñados para la era de la IA.
La adopción de IA supera la visibilidad de la seguridad
Los sistemas de IA rara vez se implementan de forma aislada. Están estratificados e integrados en las tecnologías empresariales existentes, desde plataformas en la nube y sistemas de identidad hasta aplicaciones y canales de datos. El seguimiento centralizado eficaz fracasó a medida que la propiedad se dispersó entre diferentes equipos.
Como resultado, el 67% de los CISO informaron tener una visibilidad limitada sobre cómo se utiliza la IA en su organización. Ninguno de los encuestados dijo tener visibilidad completa. Más bien, reconocen que conocen o aceptan alguna forma de uso incontrolado o no autorizado de la IA.
Sin una comprensión clara de dónde operan los sistemas de IA o a qué recursos tienen acceso, los equipos de seguridad luchan por evaluar el riesgo de manera efectiva. A menudo quedan preguntas fundamentales sin respuesta, como en qué identidades se basan los sistemas de IA, a qué datos pueden acceder y cómo se comportan cuando fallan los controles.
Las habilidades, no el presupuesto, son la principal barrera
La seguridad de la IA es ahora un tema habitual en los debates ejecutivos y de juntas directivas, pero las investigaciones muestran que los mayores desafíos no son financieros.
Los CISO identificaron los siguientes como los mayores obstáculos para proteger la infraestructura de IA:
Falta de experiencia interna (50%) Visibilidad limitada del uso de la IA (48%) Herramientas de seguridad insuficientes diseñadas específicamente para sistemas de IA (36%)
Sólo el 17% citó las restricciones presupuestarias como su principal preocupación. Esto sugiere que, si bien muchas organizaciones están dispuestas a invertir en seguridad de la IA, todavía no cuentan con las habilidades especializadas necesarias para evaluar los riesgos relacionados con la IA en entornos del mundo real.
Los sistemas de IA introducen comportamientos que los equipos de seguridad aún están aprendiendo a apreciar, como la toma de decisiones autónoma, rutas de acceso indirecto e interacciones privilegiadas entre sistemas. Sin la experiencia adecuada y pruebas agresivas, resulta difícil evaluar si los controles existentes son tan efectivos como se esperaba.
Los controles tradicionales soportan la mayor parte de la carga.
A falta de mejores prácticas, habilidades y herramientas específicas de IA, la mayoría de las empresas amplían los controles de seguridad existentes para cubrir su infraestructura de IA.
La encuesta encontró que el 75% de los CISO dependen de controles de seguridad tradicionales, como herramientas de seguridad de terminales, aplicaciones, nube y API para proteger sus sistemas de inteligencia artificial. Sólo el 11% informó que utilizaba herramientas de seguridad diseñadas específicamente para proteger su infraestructura de IA.
Este enfoque refleja un patrón familiar observado durante transiciones tecnológicas anteriores, donde las organizaciones primero adaptaron sus defensas existentes antes de que surgieran prácticas de seguridad más personalizadas. Si bien esto puede proporcionar una cobertura básica, es posible que los controles creados para los sistemas tradicionales no tengan en cuenta cómo la IA cambia los patrones de acceso y expande los posibles vectores de ataque.
Los desafíos familiares también se aplican a la IA
En conjunto, estos hallazgos demuestran que los desafíos de seguridad de la IA surgen de brechas fundamentales y no de una falta de conciencia o intención.
A medida que la IA se convierte en una parte central de la infraestructura empresarial, el informe sugiere que las organizaciones deberían centrarse en desarrollar experiencia y mejorar la forma en que validan los controles de seguridad en los entornos en los que la IA ya está operando.
Para obtener más información sobre nuestros hallazgos, descargue el Informe comparativo de pruebas adversas y de IA 2026 para profundizar en los datos y las conclusiones clave.
Nota: este artículo fue escrito por Ryan Dory, director de asesores técnicos de Pentera.
Source link
