Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > La paradoja de la seguridad en IA: misma tecnología, veredictos opuestos

La paradoja de la seguridad en IA: misma tecnología, veredictos opuestos

by Patrick Spencer updated mayo 29, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 7 minutes

En una encuesta a 16,029 profesionales de ciberseguridad realizada por ISC2, la IA fue nombrada como la tecnología emergente con el mayor impacto positivo en la seguridad — y, al mismo tiempo, la tecnología con el mayor impacto negativo. Ese hallazgo parece una contradicción. No lo es. Es lo más preciso que la profesión de seguridad ha dicho sobre la IA en todo el año.

El potencial defensivo es real y medible. El informe Empowering Defenders: AI for Cybersecurity del WEF encontró que el 94% de los líderes en ciberseguridad identifican la IA como la fuerza definitoria en el sector, y que las organizaciones que la usan de forma intensiva reducen los costos promedio de una filtración hasta en 1.9 millones de dólares y acortan el ciclo de vida de una filtración en aproximadamente 80 días.

El riesgo ofensivo es igual de tangible. El informe Global Threat Report 2026 de CrowdStrike documentó un aumento del 89% interanual en ataques realizados por adversarios habilitados con IA, con un 82% de las detecciones ahora libres de malware — los atacantes usan abuso de identidad y herramientas legítimas en lugar de cargas útiles detectables. El profesional que llama a la IA tanto el mejor como el peor avance en seguridad no está dudando. Está leyendo el mismo instrumento desde ambos extremos.

5 Conclusiones Clave

1. Los profesionales de seguridad no se ponen de acuerdo sobre la IA — porque ambos juicios son correctos.

En una encuesta a 16,029 profesionales de ciberseguridad, la IA ocupó el primer lugar como la tecnología emergente con el mayor impacto positivo en la seguridad y, a la vez, el mayor impacto negativo. La contradicción no es confusión — es la descripción honesta de una herramienta de doble uso que hace que defensores y atacantes sean igual de rápidos. Fingir lo contrario es cómo las organizaciones terminan en el lado equivocado de la balanza.

2. La variable no es la tecnología. Es la gobernanza.

La IA multiplica el efecto en cualquier dirección. Que fortalezca o debilite tu postura de seguridad depende totalmente de si su acceso a los datos está gobernado. Un asistente de IA restringido por políticas es una herramienta. El mismo asistente con acceso permanente y no auditado a todo es una responsabilidad. Mismo modelo, juicio opuesto — y lo único que cambió fue la capa de gobernanza de la IA.

3. La ansiedad se concentra en la IA agente.

El 34% de los profesionales de seguridad nombraron la IA agente como la principal fuerza negativa. La razón es estructural: un agente actúa, no solo responde. El 63% de las organizaciones no puede imponer limitaciones de propósito a los agentes de IA, el 60% no puede terminar uno que se comporte mal y el 55% no puede aislar los sistemas de IA de la red más amplia, según el Pronóstico Kiteworks 2026. El temor no es especulativo — es una brecha de 15 a 20 puntos entre controles de gobernanza y controles de contención.

4. El juicio negativo refleja una brecha real de control.

El 100% de las organizaciones encuestadas tiene IA agente en su hoja de ruta para 2026, pero el vínculo de propósito, los interruptores de apagado y el aislamiento de red se ubican como las mayores brechas de control en toda la encuesta del Pronóstico Kiteworks 2026. El estudio Agents of Chaos — 38 autores de MIT, Harvard, Stanford, CMU y otras instituciones — documentó agentes comprometidos solo mediante conversación en entornos reales. La brecha es medible, no imaginada.

5. La gobernanza es el acelerador de la IA, no el freno.

El informe Empowering Defenders del WEF encontró que las organizaciones que usan intensivamente la IA en seguridad reducen los costos promedio de una filtración hasta en 1.9 millones de dólares y acortan el ciclo de vida de una filtración en unos 80 días. Ese beneficio solo está disponible para las organizaciones que gobiernan primero el acceso a los datos y luego avanzan rápido. Bloquear la IA destruye el potencial defensivo y empuja el uso hacia canales ocultos. Gobernarla hace que la velocidad y la seguridad dejen de competir.

Confías en que tu organización es segura. Pero ¿puedes verificarlo?

Leer ahora

La variable que decide qué juicio se aplica a ti

La dirección de la IA en tu organización la determina una sola cosa: si su acceso a los datos está gobernado. Un asistente de IA que solo puede acceder a los datos que un usuario está autorizado a ver — bajo políticas aplicadas en cada solicitud — es una herramienta. El mismo asistente con acceso permanente y no auditado a todo es una responsabilidad. Mismo modelo, juicio opuesto, y lo único que cambió fue la capa de gobernanza.

Piénsalo: ¿qué hace un sistema de IA dentro de una empresa? Lee datos. Recupera datos. Mueve datos. El valor viene del acceso — a documentos, registros, inteligencia, el contenido regulado que hace útiles los resultados. Pero el acceso no controlado a ese mismo contenido es precisamente la exposición que los programas de protección de datos existen para evitar. Las organizaciones que plantean la adopción de IA como un dilema entre velocidad y seguridad ya han diagnosticado mal el problema. El dilema solo es real cuando el acceso no está gobernado. Gobierna el acceso y la velocidad y la seguridad dejan de competir.

IA agente: donde se concentra el juicio negativo

La preocupación de ISC2 no está distribuida de manera uniforme. La IA agente obtuvo una calificación negativa principal del 34% de los encuestados — muy por delante de la computación cuántica. La razón es estructural: un agente no solo analiza. Actúa. Y un actor con acceso que no puedes restringir es un riesgo completamente diferente a una herramienta que solo responde preguntas.

La brecha de control detrás de ese temor está documentada. El 63% de las organizaciones no puede imponer limitaciones de propósito a los agentes de IA. El 60% no puede terminar rápidamente uno que se comporte mal. El 55% no puede aislar los sistemas de IA de la red más amplia. El 100% tiene IA agente en su hoja de ruta para 2026 — incluso cuando el vínculo de propósito, los interruptores de apagado y el aislamiento de red se ubican como las mayores brechas de control, quedando 15 a 20 puntos detrás de los controles de gobernanza.

El estudio Agents of Chaos refuerza la preocupación. Realizado a principios de 2026 por investigadores de MIT, Harvard, Stanford y CMU, documentó agentes en entornos reales comprometidos solo mediante conversación — sin necesidad de explotación sofisticada. Inyección de prompts, ingeniería social, suplantación de identidad. Los agentes no fueron hackeados. Fueron persuadidos para comportarse mal. Los límites en la capa del modelo no son la respuesta; la aplicación en la capa de datos sí lo es.

Por qué «bloquear la IA» y «adoptar la IA» son respuestas equivocadas

Bloquear la IA significa renunciar al potencial defensivo que cuantifican los datos del WEF y empuja el uso hacia canales ocultos sin trazabilidad ni control de acceso. La IA en la sombra se identifica de forma consistente como uno de los principales impulsores de incidentes internos negligentes — la prohibición no elimina el riesgo de IA, elimina la visibilidad sobre él.

Adoptar la IA sin gobernanza conduce directamente a la exposición que describen los datos de CrowdStrike y Kiteworks. Un sistema de IA con acceso amplio a los datos se convierte en un punto único de exposición catastrófica — basta una inyección de prompt, un agente con permisos excesivos o un flujo de trabajo comprometido para extraer datos que nunca debió tocar.

La solución es la habilitación gobernada. Autentica cada solicitud de IA. Autorízala según la política. Limítala al propósito. Regístralo todo. Una vez que estos controles están en vigor, la tensión entre velocidad y seguridad desaparece, y la IA se convierte en la fuerza positiva que los mismos profesionales reconocen que puede ser.

El enfoque Kiteworks: la gobernanza como habilitador de la IA

La forma de resolver la paradoja de seguridad de la IA es gobernar el acceso a los datos en la capa donde la IA accede a ellos — la capa de contenido — para que la misma tecnología que preocupa al CISO se convierta en la que le ayuda.

Kiteworks Secure MCP Server permite que los asistentes de IA trabajen con datos empresariales mediante lenguaje natural, pero cada solicitud es autenticada, autorizada según controles de acceso basados en atributos y registrada — gobernada por las mismas reglas que aplican a los usuarios humanos. La AI Data Gateway extiende esto a los flujos RAG, así la IA obtiene los datos que necesita sin heredar accesos que no debería tener. Las credenciales nunca se exponen al modelo. El cifrado validado FIPS 140-3 protege cada ruta de datos.

La arquitectura parte del supuesto de compromiso. Si un agente de IA se ve comprometido por inyección de prompt, la aplicación de políticas contiene el radio de impacto — el agente no puede extraer datos a los que nunca estuvo autorizado a acceder. El límite de velocidad evita la extracción masiva. Los registros de auditoría inviolables permiten reconstruir cada interacción de la IA con datos regulados, convirtiendo la adopción de IA de un riesgo de cumplimiento en evidencia de cumplimiento.

Kiteworks Private Data Network extiende esta arquitectura a correo electrónico, uso compartido de archivos, MFT, SFTP, formularios web y APIs bajo un único motor de políticas y un registro de auditoría consolidado. No es un freno para la IA — es un plano de control que hace que avanzar rápido sea viable.

Qué deben hacer las organizaciones ante la paradoja de seguridad de la IA

Primero, deja de debatir entre bueno o malo y empieza a auditar el acceso. El 63% de las organizaciones no puede imponer límites de propósito a los agentes de IA según el Pronóstico Kiteworks 2026. Redirige la energía del debate filosófico a la auditoría de acceso — ahí está la respuesta.

Segundo, cierra la brecha de contención antes de escalar agentes. Con el 100% de las organizaciones planeando IA agente mientras los controles de contención quedan 15 a 20 puntos detrás de los de gobernanza, la prioridad es el vínculo de propósito, los interruptores de apagado y el aislamiento de red — construidos antes de escalar la implementación, no después de un incidente.

Tercero, saca la IA en la sombra a la luz en vez de prohibirla. La prohibición destruye la visibilidad. Ofrece rutas de IA gobernadas para que los empleados no canalicen datos sensibles por herramientas de consumo no gestionadas, e instrumenta esas rutas con registro y control de acceso.

Cuarto, captura deliberadamente el potencial defensivo. Los datos del WEF muestran que la IA en seguridad reduce los costos de filtraciones hasta en 1.9 millones de dólares y acorta los ciclos de vida de las filtraciones en unos 80 días. El juicio positivo está disponible — pero solo para las organizaciones que implementan la IA de forma defensiva bajo gobernanza, no para quienes se quedan paralizados por el negativo.

Quinto, haz que el acceso de la IA esté listo para auditoría. Los reguladores están señalando que el acceso de la IA a los datos requiere la misma gobernanza que el acceso humano. Registra cada interacción de la IA con datos regulados en una trazabilidad inviolable, para que la aplicación de políticas se convierta en la documentación de cumplimiento que acepta un auditor.

Para saber más sobre cómo proteger tu información confidencial en una organización cada vez más optimizada por IA, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

Replantea la cuestión: la IA es ambas cosas, y la gobernanza decide qué juicio se aplica a ti. El 63% de las organizaciones no puede imponer límites de propósito a los agentes de IA según el Pronóstico Kiteworks 2026. La decisión no es si adoptar la IA — es si gobernar su acceso a los datos antes de hacerlo. La gobernanza de la IA es la pregunta; la adopción es la respuesta que habilita.

Porque los agentes actúan sobre los datos en vez de solo analizarlos, y la mayoría de las organizaciones no puede restringirlos. El 60% no puede terminar un agente que se comporte mal y el 100% tiene IA agente planificada — con los controles de contención quedando 15 a 20 puntos detrás de los de gobernanza según el Pronóstico Kiteworks 2026. El estudio Agents of Chaos demostró que los agentes pueden ser comprometidos solo mediante conversación, sin necesidad de exploits sofisticados.

Sí — cuando el acceso de la IA está gobernado en la capa de contenido. El riesgo se concentra en el acceso de agentes no gobernados. Autentica, autoriza según la política, limita el propósito y registra cada solicitud de IA a través de una puerta de enlace gobernada como AI Data Gateway, y el dilema entre velocidad y seguridad desaparece. El informe Empowering Defenders del WEF documenta el beneficio: hasta 1.9 millones de dólares en reducción de costos de filtración para organizaciones que usan IA intensivamente bajo gobernanza.

No — bloquear destruye la visibilidad y elimina el valor defensivo. Los empleados usan IA de todos modos a través de herramientas no gestionadas, eliminando tu trazabilidad y control de acceso. La IA en la sombra es el principal impulsor de incidentes internos negligentes según el Informe de Amenazas Internas DTEX 2026. Las rutas de IA gobernadas con registro y aplicación de políticas — no la prohibición — son la respuesta.

El acceso gobernado produce evidencia de cumplimiento como resultado. El 33% de las organizaciones carece de registros de auditoría con calidad suficiente según el Pronóstico Kiteworks 2026. Registrar cada interacción de la IA con datos regulados en una trazabilidad inviolable — entregada en tiempo real a SIEM — convierte la aplicación de políticas en la documentación lista para auditoría que los reguladores esperan cada vez más para el acceso de IA a PHI, CUI y datos personales.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones falla en la seguridad de datos de IA
  • eBook
    Brecha de gobernanza de IA: por qué el 91% de las pequeñas empresas juega a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe un «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks