Nos guste o no, la IA transformará la estrategia cibernética en 2026

Enfoques de maduración

Rik Ferguson, vicepresidente de inteligencia de seguridad de Forescout, dice que el enfoque de la industria cibernética hacia la IA madurará este año.

“Espero ver una adopción más seria y menos impulsada por la publicidad exagerada de la IA en el lado defensivo: correlacionar señales débiles en TI, TO [tecnología operativa], nube e identidad, mapear y priorizar activos y exposiciones continuamente, y reducir la carga cognitiva de los analistas mediante la automatización del triaje”, dice Ferguson.

Añade, sin embargo, que esto no tiene por qué significar necesariamente analistas cibernéticos desempleados parados en las esquinas sosteniendo carteles que digan “Se Hace Red Teaming Por Comida”. “Si se hace correctamente, no se trata de reemplazar a las personas; se trata de darles espacio mental para pensar y profundizar en cosas más gratificantes”, dice Ferguson.

Haris Pylarinos, cofundador y director ejecutivo de Hack The Box, agrega: "La inteligencia artificial no solo acelera la respuesta; también redefinirá por completo la forma en que los profesionales de seguridad mejoran sus habilidades, se despliegan y, en última instancia, cómo se les exige responsabilidades.

“La industria está entrando en una fase en la que las habilidades están cambiando de la detección al juicio y a aprender a aprender. Las organizaciones que triunfen no serán las que más automaticen, sino las que rediseñen sus modelos de fuerza laboral y la toma de decisiones en torno a sistemas inteligentes”.

Para Pylarinos, estos nuevos modelos de fuerza laboral se centrarán en probar el equipo híbrido humano-IA. Los profesionales de la ciberseguridad del futuro no serán tecnólogos, sugiere, sino validadores, pensadores adversarios y auditores de comportamiento. “Los profesionales de ciberseguridad más valorados serán aquellos que puedan probar bajo presión el comportamiento de la IA en condiciones realistas, garantizando que la velocidad de la máquina no supere el juicio humano”, afirma.

Para Dave Gerry, director ejecutivo de Bugcrowd, ampliar la adopción de IA en las empresas es una razón para mantener a más personas involucradas. “El tráfico a sitios web de IA generativa aumentó un 50 % [entre febrero de 2024 y enero de 2025], mientras que el 68 % de los empleados utilizó herramientas gratuitas y el 57 % admitió haber insertado datos confidenciales en ellas. Por ello, es fundamental recordar que las vulnerabilidades generadas por la IA y la desinformación ya existen”, afirma.

“La comunidad de seguridad necesita centrarse en técnicas de manipulación de modelos, como la inyección rápida, y probar proactivamente estos sistemas de IA desde la perspectiva de los atacantes. Las pruebas dirigidas por la multitud siguen siendo una de nuestras defensas más sólidas, incluso frente a vectores de ataque nuevos y en evolución. Investigadores humanos con diversas capacidades pueden detectar lo que otros pasan por alto”.

Transición defensiva

Mientras tanto, Sood de Aryaka se centra en las transiciones técnicas subyacentes que impulsan el rol cambiante del profesional de seguridad.

Él teoriza que, a medida que las organizaciones aumentan su dependencia de la IA –especialmente de la IA que se presenta en forma de agentes– los equipos de seguridad verán que sus prioridades se alejan de responder y corregir fallas y otros problemas, para pasar a controlar las vías de toma de decisiones dentro de la organización.

Esto introducirá una serie de nuevas estrategias defensivas, indica. En primer lugar, veremos a los equipos de seguridad desarrollar capas de gobernanza en torno a los flujos de trabajo de los agentes de IA para autenticar, autorizar, observar –y, potencialmente, revertir– cualquier acción automatizada. “El enfoque se ampliará de la protección de datos a la protección del comportamiento”, dice Sood.

Los equipos cibernéticos también deberán abordar el riesgo de la proliferación silenciosa de datos, la creación de conjuntos de datos ocultos y rutas de acceso no deseadas, a medida que los agentes y otros sistemas de IA transfieren, transforman y replican datos confidenciales. Un sólido seguimiento del linaje de datos y controles de acceso aún más estrictos serán imprescindibles. Y, al igual que el análisis del comportamiento del usuario evolucionó y maduró para las cuentas humanas, también deberá hacerlo de nuevo para establecer los comportamientos esperados y permitidos para la IA.

Las estrategias defensivas en 2026 también deberán adaptarse a los cambiantes panoramas de confianza. La empresa de IA requiere la verificación de la confianza en todas las capas, por lo que Sood recomienda que los equipos de seguridad busquen arquitecturas que minimicen la confianza, donde las identidades, los resultados y las decisiones automatizadas de IA estén sujetos a auditoría y validación continuas

En cuanto a la identidad, también debe priorizarse una gestión más sólida del ciclo de vida de las identidades no humanas (NHI). Y la confianza cero como mandato de cumplimiento también adquirirá cada vez mayor importancia.

Por último, dice Sood, dado que los ataques cibernéticos seguirán explotando herramientas legítimas en 2026, se necesitará una detección mejorada basada en la intención, con sistemas llamados a analizar "por qué" se llevaron a cabo las acciones, en lugar de simplemente establecer que se llevaron a cabo.

Si 2025 nos enseñó que la confianza puede ser un arma, 2026 nos enseñará a reconstruirla de forma más segura y deliberada. El futuro de la ciberseguridad no se trata solo de proteger los sistemas, sino también de proteger la lógica, la identidad y la autonomía que los impulsan, afirma.

Cómo comprar IA de forma segura

En 2026, los compradores expertos en IA también plantearán preguntas cada vez más difíciles a sus proveedores de TI, afirma Ellie Hurst, directora comercial de Advent IM.

Hurst dice que simplemente copiar y pegar un texto estándar sobre "usar IA de manera responsable" en las diapositivas podría haber sido una buena idea hace unos años, pero, en 2026, un vendedor será echado con toda justicia si se atreve a intentar eso.

Los compradores empresariales, en particular en los sectores gubernamental, de defensa e infraestructura nacional crítica, ahora utilizan la IA de forma intensiva. Entienden el lenguaje del riesgo. Están estableciendo conexiones entre la IA, la protección de datos, la resiliencia operativa y la exposición de la cadena de suministro, detalla Hurst.

En 2026, a los equipos de compras no les bastará con preguntar si sus proveedores utilizan IA, sino cómo la gestionan, explica.

A lo largo de 2025, dice Hurst, el lenguaje en las solicitudes de propuestas e invitaciones a licitar en torno a la IA se endureció drásticamente, y los compradores preguntaron cada vez más sobre cuestiones como la soberanía de los datos, la supervisión humana, la responsabilidad del modelo y el cumplimiento de la protección de datos, la seguridad y la regulación de la propiedad intelectual.

Este cambio se produce gracias al reconocimiento de que la IA se ha utilizado, en gran medida, de forma puntual, y la mayoría de los líderes de TI no pueden afirmar con certeza que saben exactamente qué ha estado sucediendo bajo su supervisión. Todo esto genera un enorme problema de gobernanza, riesgo y cumplimiento (GRC).

Pero la buena noticia, dice Hurst, es que esto se puede revertir. La gobernanza de la IA, bien implementada, no consiste en frenar ni prohibir la innovación, sino en integrarla en la práctica de GRC organizacional para que su uso pueda explicarse, escalarse y, críticamente, defenderse.

Los compradores deberían considerar preguntar dónde se utiliza la IA en los servicios de sus proveedores, qué flujos de trabajo gestionan datos confidenciales, qué modelos o plataformas de IA de terceros se utilizan y qué supervisión tienen los profesionales. Hurst también aconseja a los compradores buscar proveedores que cumplan con la norma ISO IEC 42001, un nuevo estándar para la gestión del ciclo de vida de la IA, incluyendo la ciberseguridad.

En última instancia, afirma, si el posible proveedor está adecuadamente preparado, debería poder presentar una historia clara sobre cómo se gobierna la IA como parte del marco más amplio de seguridad y GRC.

Ganadores y perdedores

Apenas han pasado algunas semanas desde el nuevo año, y la historia completa de 2026, por supuesto, aún está por escribirse. Sin duda, será otro año turbulento para el mundo de la ciberseguridad, pero Young, de Bridewell, afirma que, aunque 2026 no sea necesariamente el año más catastrófico para la seguridad, la IA nos ha llevado al borde del abismo, y lo que suceda a continuación podría hacer que los próximos 12 meses sean realmente reveladores.

“Las decisiones que tomen ahora las organizaciones al restablecer la inversión, reconstruir las habilidades cibernéticas y gobernar la IA de manera responsable determinarán si la curva se inclina hacia la resiliencia o hacia una mayor fragilidad”, concluye Young.