kras99 - stock.adobe.com

Noticias

Ciberseguridad enfrenta retos por IA y falta de inversión

Tres factores intensifican el riesgo en ciberseguridad para las empresas mexicanas: una mayor superficie de ataque por la digitalización y la IA, adversarios más sofisticados centrados en el cibercrimen, y la falta de visibilidad en entornos corporativos masivos, según un estudio de Microsoft.

Adrián Campos Cárdenas
por
Publicado: 21 nov 2025

Ahora las juntas directivas deben dejar de considerar la ciberseguridad como un tema técnico y convertirla en una prioridad estratégica, es la conclusión del estudio “Ciberseguridad 2025: Desafíos y estrategias en la era de la IA” de Microsoft.

Marcelo Felman, director de Ciberseguridad para Microsoft Latinoamérica, comentó que “hace diez años no teníamos ni la décima parte de la gente hablando de ciberseguridad, (y) hoy es un tema central porque las consecuencias de no hacerlo bien son devastadoras” para las empresas.

La investigación incluye casos que ofrecen una visión de cómo el uso de la inteligencia artificial (IA) es un arma de doble filo, ya que puede ser aliada para detectar amenazas, pero también detonante de nuevos riesgos.

El riesgo crece cada día

Felman explicó que no hacer bien ciberseguridad, equivale a no operar. “Y si no opero, no gano dinero”, dijo. Las consecuencias de una estrategia defectuosa van desde la disrupción operacional, hasta la pérdida de propiedad intelectual y el impacto reputacional. “Imagina que se filtra la fórmula de tu producto estrella o la base de datos de clientes. Es un golpe mortal”, advirtió.

El estudio de Microsoft confirma esta percepción, pues el 65 % de los líderes empresariales considera que el nivel de amenaza es alto o muy alto, y 81 % cree que seguirá aumentando en los próximos tres años. Esta tendencia se intensifica por tres factores: la expansión de la superficie de ataque, adversarios más sofisticados y la falta de visibilidad en entornos corporativos masivos.

“Imagina una empresa con 10 mil empleados, todos conectados, enviando correos, haciendo clic en enlaces. ¿Cómo distinguir entre una acción legítima y un ataque interno? Humanamente es imposible sin IA”, declaró Felman.

Ante esto, la inteligencia artificial se presenta como solución y riesgo al mismo tiempo. El reporte muestra que 47 % de las empresas mexicanas ya depende de la IA para enfrentar amenazas. La “IA nos ayuda a detectar anomalías que antes eran invisibles, pero también potencia ataques más sofisticados”, comentó el director de Ciberseguridad para Microsoft Latinoamérica. Por ejemplo, dijo, “si me conecto todos los días a las 9 de la mañana desde Ciudad de México y, de repente, aparece un inicio de sesión desde Rusia a la misma hora, algo está mal. Eso lo detecta la IA en segundos”.

Sin embargo, el lado perjudicial de la IA engloba la creación de “deepfakes, phishing hiperpersonalizado, campañas de engaño masivo… Todo eso también se potencia con IA”, detalló Felman. Las principales amenazas vinculadas a IA, según el estudio de Microsoft, son ransomware (52 %), phishing (32 %) y el uso no autorizado de herramientas generativas (18 %).

Las brechas críticas pasan por la inversión y cultura

Aunque la percepción del riesgo es alta, no está acompañada por una inversión correspondiente, ya que solo 13 % de las empresas destina un presupuesto elevado a ciberseguridad. Y la gobernanza tampoco está al nivel: “Este número debería ser 100 %. Las consecuencias de un ataque no son tecnológicas, son de negocio”, enfatizó Felman al referirse a que 44 % de las juntas directivas no participan en decisiones clave de ciberseguridad.

El ejecutivo también resaltó que existe una falta de cultura de ciberseguridad, pues todavía hay empresas que “piden quitar la autenticación multifactor, o de dos factores, al gerente general porque ‘les molesta’. Hablamos de segundos que pueden salvar millones”.

Otro punto de dolor que está creciendo es la Shadow AI, es decir, el uso sin control de herramientas externas de IA por los empleados para realizar labores dentro de la empresa. No se puede tapar el sol con la mano, mencionó Felman ante este fenómeno. “Esto va a suceder, y la mejor estrategia es hacer que la decisión segura sea la más fácil”, de modo que el reto es ofrecer soluciones internas seguras para evitar que los colaboradores recurran a plataformas no autorizadas.

Prioridades para las empresas

En cuanto a las prioridades que las empresas deben considerar para los siguientes tres años, el estudio de Microsoft señaló como fundamentales la seguridad en la nube, las soluciones impulsadas por IA y el monitoreo de amenazas.

Lamentablemente, la capacitación y la respuesta ante incidentes siguen rezagadas. “Invertimos en tecnología, no en personas. Y la primera línea de defensa son los empleados”, insistió Marcelo Felman.

Finalmente, el ejecutivo ofreció seis consejos prácticos para mejorar la estrategia de ciberseguridad en una empresa:

  • Reforzar la higiene digital: actualizaciones, contraseñas robustas, autenticación multifactor.
  • Prepararse para los incidentes: no es si va a pasar; es qué hacer cuando pasen.
  • Invertir en las personas: la ingeniería social es el arma más usada y se debe evitar ser víctimas de ella.
  • Implementar la gobernanza de la IA: crear políticas claras para su uso y determinar quién tiene acceso a qué datos.
  • Anticiparse al futuro: innovación y seguridad deben ir juntas.
  • Hacer fácil tomar la decisión correcta: ofrecer herramientas seguras para evitar el uso de la IA en las sombras.

Aunque las organizaciones mexicanas han avanzado mucho en su nivel de madurez en ciberseguridad, la brecha entre percepción y acción persiste. En cuanto a la IA, su uso promete eficiencia, pero también exige responsabilidad. “No alcanza con invertir en herramientas. Tenemos que invertir en las personas. La seguridad no es solo tecnología, es cultura”, concluyó Felman.

Investigue más sobre Gestión de la seguridad