Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Cuando la IA favorece a los defensores: por qué la mayoría de las organizaciones aún no ganarán

Cuando la IA favorece a los defensores: por qué la mayoría de las organizaciones aún no ganarán

by Patrick Spencer updated mayo 28, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 8 minutes

La publicación del 4 de mayo de 2026 de Empowering Defenders: AI for Cybersecurity es el primer intento transversal y autorizado de cuantificar lo que realmente obtienen los defensores. El informe se basa en 20 casos de estudio reales y entrevistas con 105 representantes de 84 organizaciones en 15 industrias — no es un panel de encuestas, sino una metodología que revela lo que realmente funciona en producción.

Los casos de estudio son concretos. KPMG reportó un aumento del 25% en la eficiencia operativa en inteligencia de amenazas. Accenture redujo el tiempo de análisis de seguridad en más de 100,000 sitios expuestos a internet de 15 minutos a menos de un minuto. La plataforma ATOM de IBM automatizó más de 850 horas de analistas al mes, reduciendo el tiempo de investigación de extremo a extremo en un 37%.

Reducir la revisión de los analistas de 15 minutos a menos de un minuto supone un cambio de 15 veces en la economía unitaria del monitoreo de la superficie de ataque — y escala a volúmenes que los equipos humanos no pueden alcanzar. Las 850 horas de analistas al mes equivalen aproximadamente a cinco analistas de tiempo completo por implementación, permitiendo que el talento escaso se enfoque en tareas que requieren juicio. Si se usa bien, la IA otorga una verdadera ventaja a los defensores. La pregunta más difícil es si la mayoría de las organizaciones están preparadas para formar parte del grupo que la «usa bien».

5 conclusiones clave

1. La ventaja del defensor ahora es medible.

El informe Empowering Defenders del WEF, desarrollado con KPMG en 84 organizaciones de 15 industrias, documenta hasta 1,9 millones de dólares en reducción promedio de costos por brecha y cerca de 80 días menos en el ciclo de vida de una brecha para organizaciones que usan IA de forma intensiva. El debate sobre si la IA ayuda a los defensores ya terminó. La cuestión es si tu organización está en el grupo que captura esos beneficios — o en el grupo más grande cuyas implementaciones no alcanzan ese nivel.

2. La adopción ya no es la limitante.

El 94% de los líderes en ciberseguridad identifica la IA como la fuerza definitoria en el sector, y el 77% de las organizaciones ya la usa en operaciones de ciberseguridad. La carrera ya no es si implementar IA, sino si la implementación está gobernada lo suficientemente bien como para obtener los beneficios. La misma encuesta que muestra un 77% de adopción convive con datos de brechas que siguen en la dirección incorrecta para la mayoría de las empresas — esa brecha es la historia completa del cumplimiento de ciberseguridad en 2026.

3. La estrategia y la gobernanza separan a los ganadores de los perdedores.

El informe del WEF es claro: el valor de la IA depende de una estrategia de implementación definida, casos de uso rigurosamente probados antes de escalar y una gobernanza sólida con supervisión humana desde el inicio. Los pilotos sin estos tres elementos no alcanzan los niveles de productividad documentados. El estudio Agents of Chaos confirmó el modo de fallo — los agentes que parecen controlados en condiciones limitadas fallan estructuralmente en producción sin una aplicación en la capa de datos.

4. La capa de datos es donde la IA defensiva triunfa o fracasa.

La detección impulsada por IA solo funciona si los datos que la alimentan están gobernados. El Informe de Pronóstico Kiteworks 2026 revela que el 33% de las organizaciones carece de registros de auditoría adecuados y el 61% tiene registros fragmentados que no son accionables — exactamente los insumos que la IA necesita para entregar los beneficios documentados. Las organizaciones que escalan IA sobre una infraestructura de datos deficiente solo escalan ruido, no señales útiles.

5. La fase agentic ya está aquí.

GTG-1002 en noviembre de 2025 confirmó la IA agentic como vector de ataque operativo. La misma infraestructura de gobernanza de IA que contiene a un agente defensor que se comporta mal también lo hace confiable. Las organizaciones que construyan infraestructura de agentes gobernados ahora tendrán la capa de datos para ejecutar agentes del lado defensor en 2027. Las que no lo hagan, defenderán contra agentes a velocidad humana.

Por qué esto no impacta igual a todas las organizaciones

El director del Centro de Ciberseguridad del WEF, Akshay Joshi, planteó la condición central del informe de forma directa: «Las organizaciones que lo traten como una capacidad estratégica, y no solo como una herramienta aislada, estarán mejor posicionadas para convertir el creciente riesgo cibernético en resiliencia y ventaja competitiva». Laurent Gobbi de KPMG fue más contundente: «Los atacantes se mueven más rápido y a mayor escala que nunca. Este informe es un llamado a la acción para que las organizaciones igualen ese ritmo, con la IA como multiplicador de fuerza para la defensa cibernética».

Ambas citas contienen la misma condición. La ventaja depende de la estrategia y la gobernanza — no de la adquisición de tecnología. El informe menciona tres requisitos para el impacto de la IA en la defensa: estrategia clara de implementación, casos de uso rigurosamente probados antes de escalar y gobernanza sólida con supervisión humana desde el inicio. Si falta alguno de estos, la curva de productividad colapsa. Por eso el 77% de adopción convive con datos de brechas que siguen en la dirección equivocada para la mayoría de las empresas.

La brecha de gobernanza también afecta la defensa con IA

La misma brecha que afecta la detección de bots y la gobernanza de agentes afecta la IA defensiva exactamente de la misma manera. El Informe de Pronóstico Kiteworks 2026 encontró que el 100% de las organizaciones tiene IA agentic en su hoja de ruta — la adopción no es el problema. Pero el 63% no puede aplicar binding de propósito a los agentes implementados, el 60% no puede terminar un agente que se comporta mal y el 55% no puede aislar la IA del acceso más amplio a la red. Esta es la brecha entre gobernanza y contención: 15 a 20 puntos en cada categoría entre observar y detener.

Esa brecha es un problema específico para la IA defensiva. Un SOC que ejecuta un agente de IA que clasifica tickets, consulta registros y toma acciones de remediación necesita binding de propósito sobre lo que el agente puede tocar, un kill switch cuando actúa fuera de lo previsto y aislamiento de red entre su espacio de trabajo y los sistemas de producción. Los beneficios de Empowering Defenders dependen de tener esos controles implementados. El Pronóstico Kiteworks 2026 muestra que la mayoría de las organizaciones no los tiene.

Cuando GTG-1002 realizó reconocimiento, explotación y movimiento lateral a miles de solicitudes por segundo en 30 entidades — con IA ejecutando el 80–90% del trabajo táctico — no hubo sobrecarga de gobernanza que ralentizara al atacante. Las organizaciones víctimas tuvieron que defenderse a la velocidad que sus controles permitían. Esa es la asimetría que hay que cerrar.

Cómo se ve una «implementación estratégica» en la práctica

Los casos de estudio que conforman la base de evidencia del informe comparten cuatro características:

Los datos ya están gobernados. El Pronóstico Kiteworks 2026 identifica los registros de auditoría de calidad probatoria como el predictor más fuerte de madurez en IA — las organizaciones que los tienen muestran ventajas de +20 a 32 puntos en cada métrica de IA. Pero el 33% carece totalmente de registros de auditoría adecuados y el 61% opera sobre infraestructura de intercambio de datos fragmentada que no puede soportar registros de calidad probatoria. El ahorro de 850 horas de analistas al mes de la plataforma ATOM de IBM depende de entradas de datos limpias; sin eso, la IA solo resume ruido.

Los casos de uso se probaron antes de escalar. El estudio Agents of Chaos documentó 10 brechas de seguridad significativas en 11 casos de estudio usando solo conversación, sin exploits. El hallazgo fue estructural: los agentes operan de forma autónoma en sub-tareas pero carecen de autoconciencia para reconocer cuándo una tarea excede su competencia y delegar en un humano. Las organizaciones que omiten pruebas rigurosas están escalando esa brecha en producción.

La gobernanza y la supervisión humana están presentes desde el primer día. El Informe Global de Amenazas CrowdStrike 2026 midió un aumento interanual del 89% en ataques de adversarios habilitados por IA, con un tiempo promedio de breakout de eCrime de 29 minutos. Ese plazo no deja margen para adaptar la gobernanza una vez que la implementación ya está en producción.

La autorización está en la capa de datos, no en el modelo. La aplicación de políticas ocurre antes de que el modelo acceda a los datos, no dentro del modelo donde los prompts pueden eludir la seguridad. Los controles de acceso basados en atributos evalúan cada solicitud según la sensibilidad de los datos, la autorización del solicitante y el propósito declarado en el límite de los datos. Esa característica es lo que hace que la implementación sea auditable y defendible en litigios — ambos ahora relevantes a nivel operativo.

La ventana del defensor es más estrecha que la del atacante

Tres factores comprimen el plazo. Primero, la IA del lado atacante ya pasó de teórica a operativa. GTG-1002 demostró el ciclo completo de intrusión a miles de solicitudes por segundo. Los defensores que operan sin IA tienen una desventaja estructural de velocidad que sus controles nunca fueron diseñados para absorber.

Segundo, el marco regulatorio se está formando alrededor de la implementación de IA. Las disposiciones de alto riesgo de la Ley de IA de la UE serán exigibles en agosto de 2026. La Iniciativa de Estándares de Agentes de IA del NIST, anunciada el 17 de febrero de 2026, identificó la identidad de los agentes, la autorización y la seguridad como áreas prioritarias. El Comité de Seguridad Nacional de la Cámara de Representantes de EE. UU. solicitó testimonio a Anthropic sobre amenazas orquestadas por IA en noviembre de 2025. Las organizaciones que implementen IA defensiva sin la gobernanza necesaria para cumplir estos marcos tendrán que rediseñar bajo presión regulatoria.

Tercero, la brecha entre líderes y rezagados se está ampliando. El Pronóstico Kiteworks 2026 revela que el 54% de las juntas directivas no participa en la gobernanza de IA — y esas organizaciones están 26–28 puntos detrás en cada métrica de madurez de IA. El involucramiento de la junta es el predictor más fuerte de madurez en gobernanza de IA. Las organizaciones cuyas juntas están involucradas avanzan cada vez más.

Cómo Kiteworks habilita los criterios de implementación del WEF

La puerta de enlace de datos IA de Kiteworks y el servidor MCP seguro aplican políticas ABAC en la capa de datos, capturan registros de auditoría a prueba de manipulaciones en correo electrónico, uso compartido de archivos, MFT, SFTP, formularios web y tráfico de IA — y vinculan cada acción de agente a un autorizador humano en un solo plano de control.

Esta arquitectura cumple simultáneamente con los tres criterios de implementación del WEF. La estrategia está integrada en la política — cada implementación de IA opera dentro de un alcance definido explícitamente. Los casos de uso están gobernados antes de escalar — la capa de datos registra cada acción y señala anomalías antes de que se propaguen. La gobernanza es estructural desde el primer día — las decisiones de autorización ocurren en el límite de los datos, no dentro de un modelo que puede ser manipulado por prompts para eludir la seguridad.

La Red de datos privados de Kiteworks extiende esto a todos los canales de intercambio de datos — gobernando la capa de datos que hace posible la defensa con IA y conteniendo el radio de impacto cuando un agente excede su alcance. El Pronóstico Kiteworks 2026 documenta una ventaja de madurez de +20 a 32 puntos para organizaciones con registros de auditoría de calidad probatoria. Esa es la infraestructura que los casos de estudio del WEF asumen que ya está implementada.

Qué deben hacer los CISOs este trimestre

Primero, audita tu estrategia de implementación de IA frente a los criterios del WEF. ¿Existe una estrategia de implementación por escrito? ¿Se han probado rigurosamente los casos de uso antes de escalar? ¿La gobernanza con supervisión humana está presente desde el primer día? Si la respuesta honesta a alguna de estas preguntas es «no», prioriza esa brecha antes de añadir nuevas implementaciones.

Segundo, corrige la capa de datos antes de escalar la IA defensiva. Los casos de estudio de IBM ATOM, Accenture y KPMG comparten una condición previa: datos gobernados, consultables y de calidad probatoria. La IA no puede corregir lo que la arquitectura de datos no resuelve.

Tercero, cierra la brecha de contención antes de implementar agentes defensivos. Si un agente defensivo debe ser terminado porque toma malas decisiones, ¿tu equipo puede hacerlo en menos de una hora? El 60% no puede. Ese control es una condición previa para una implementación responsable, no un extra.

Cuarto, enruta el tráfico de IA a través de un plano de control con registros de auditoría de calidad probatoria. La puerta de enlace de datos IA y el servidor MCP seguro aplican ABAC en la capa de datos y capturan registros a prueba de manipulaciones que cumplen simultáneamente con los criterios de implementación del WEF y los marcos regulatorios.

Quinto, involucra a la junta directiva antes del próximo ciclo presupuestario. La brecha de madurez de 26–28 puntos entre organizaciones con juntas involucradas y no involucradas es el predictor más fuerte en el Pronóstico Kiteworks 2026. Las organizaciones que posponen el involucramiento de la junta en la gobernanza de IA hasta después de un incidente gobiernan bajo presión, no por diseño.

Para saber más sobre cómo gobernar los datos de IA, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

El informe del WEF menciona tres condiciones previas: estrategia de implementación clara, casos de uso rigurosamente probados y gobernanza con supervisión humana desde el primer día. Las organizaciones que no cumplen alguna de estas condiciones suelen no obtener los beneficios. El Pronóstico Kiteworks 2026 revela que el 33% de las organizaciones carece de registros de auditoría adecuados — el insumo de datos del que depende la defensa con IA. Audita tu implementación frente a estos criterios antes de añadir nuevas herramientas.

El requisito de acceso mínimo necesario de HIPAA aplica a los agentes de IA que acceden a información de salud protegida. El Pronóstico Kiteworks 2026 muestra que el sector salud está rezagado en contención — el 68% carece de binding de propósito y el 59% no tiene kill switches. Vincula la autorización a elementos específicos de información de salud protegida mediante políticas ABAC y registra cada acceso de IA con calidad probatoria a través de la puerta de enlace de datos IA para defensa en auditoría.

Eleva el estándar de documentación. CMMC exige autorización aplicada en cada sistema que accede a información no clasificada controlada (CUI), y las implementaciones de IA heredan esos requisitos. El 61% de las organizaciones opera sobre infraestructura fragmentada que no puede soportar registros de auditoría de calidad probatoria según el Pronóstico Kiteworks 2026. Enruta la IA defensiva a través de un plano de control gobernado con registros a prueba de manipulaciones antes de la evaluación.

Tres factores las distinguen: insumos de datos gobernados, casos de uso probados y gobernanza desde el primer día con autorización en la capa de datos. El Pronóstico Kiteworks 2026 cuantifica la brecha — las organizaciones con registros de auditoría de calidad probatoria muestran ventajas de +20 a 32 puntos en cada métrica de IA. Sin la base de gobernanza de datos, la IA defensiva escala ruido, no señales útiles.

El Pronóstico Kiteworks 2026 revela que el 54% de las juntas no está involucrado en la gobernanza de IA, y esas organizaciones están 26–28 puntos por detrás en cada métrica de madurez de IA — la correlación más fuerte de la encuesta. El involucramiento de la junta es el principal indicador de si una organización logrará la reducción de costos por brecha documentada por el WEF. La fecha límite de la Ley de IA de la UE en agosto de 2026 y el enfoque de la SEC en divulgaciones de IA para 2026 hacen de esto una obligación para este trimestre, no para el próximo año.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones está fallando en la seguridad de datos de IA
  • eBook
    Brecha de gobernanza de IA: por qué el 91% de las pequeñas empresas juega a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe un «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks