En el marco del Simposium que Ingram Micro celebró el pasado 2 de octubre en Barcelona, varios responsables de ciberseguridad se reunieron para reflexionar sobre cómo la inteligencia artificial está cambiando su manera de proteger a las organizaciones. Bajo el título “CISO ante el reto de la IA: seguridad, datos y entornos híbridos”, la conversación dejó claro que la IA no es un futuro lejano, sino un cambio que ya está en marcha y que plantea tanto promesas como riesgos. Un debate que estuvo patrocinado por Microsoft, una compañía que ha estructurado su negocio recientemente en torno a tres áreas: AI Business Solutions, Cloud & AI Platforms y Security, lo que señala que la inteligencia artificial se convierte en el motor central de la productividad, la experiencia del cliente y la innovación empresarial.
“Las herramientas que usamos en el día a día, desde los sistemas de correlación de eventos hasta los SOC, se están apoyando en inteligencia artificial para reducir la carga del factor humano”, explicó Arsenio Tortajada, CISO del IESE Business School, añadiendo que el volumen de información que manejan los equipos es tan grande que sin el concurso de la IA sería inmanejable. “El factor humano sigue siendo esencial: la IA ayuda, filtra, alivia… pero no sustituye a las personas”.
Carlos Travé Babiano, CISO del RACC, coincidió en que esta transformación tiene “una doble vertiente”. Por un lado, reconoció que la IA potencia las capacidades de defensa y permite análisis predictivos; por otro, está alimentando un cibercrimen más sofisticado. “Los atacantes la están utilizando para automatizar y escalar sus campañas, así que los incidentes no solo serán más frecuentes, sino también más complejos”, aseguró.
Desde Capgemini, Luis Enrique Benítez añadió una dosis de realismo asegurando que “la IA ha llegado para quedarse, nos guste o no. Bloquearla no tiene sentido; lo que tenemos que hacer es formar a los usuarios y enseñarles qué deben y qué no deben hacer”. Puso como ejemplo el aumento de ataques de phishing y suplantaciones, incluso por videollamada: “Ya no hablamos de correos mal escritos, sino de vídeos que imitan a un directivo en tiempo real. Es impresionante”.
El dilema del dato: regulación, responsabilidad y sentido común
El debate giró después hacia uno de los temas más delicados: la protección del dato en un contexto donde la IA necesita grandes volúmenes de información para funcionar. Los ponentes coincidieron en que el problema no está tanto en la tecnología como en su uso y en la formación de las personas.
“Estamos pasando del shadow IT al shadow IA”, advirtió Carlos Travé. Aseguró el responsable del RACC que “todo el mundo quiere usar herramientas de inteligencia artificial, muchas veces sin saber qué información comparten” y que en su empresa han apostado por reforzar la concienciación en lugar de prohibir; “cada empleado debe saber qué usa, qué datos maneja y qué implicaciones tiene. El clic final siempre lo da una persona”, explicó.
Luis Enrique Benítez reconoció que no hay una receta única: “Cada empresa lo resuelve a su manera. Algunas anonimizan los datos, otras bloquean herramientas públicas como ChatGPT, pero permiten Copilot porque está dentro del ecosistema de Microsoft y genera más confianza”. A su juicio, el gran reto será lograr modelos de IA privados y más controlados.
“Lo que tenemos que hacer es formar a los usuarios y enseñarles qué deben y qué no deben hacer” (Luis Enrique Benítez)
Para Arsenio Tortajada, la única respuesta posible es la educación continua. “No podemos poner puertas al campo. Por más que bloqueemos, siempre habrá usuarios que busquen atajos. Lo único que funciona es la formación: explicarles por qué sí y por qué no”.
Nuevas identidades, nuevas reglas
Otro de los temas que centró el debate fue la identidad digital, un concepto que se amplía con la llegada de los agentes inteligentes y los procesos automatizados.
“Ya no hablamos solo de usuarios o dispositivos, sino también de agentes que actúan dentro de los sistemas”, explicó Luis Enrique Benítez, añadiendo que se debe definir “quiénes son, qué pueden hacer y bajo qué políticas se mueven. Es un aprendizaje constante”.
Arsenio Tortajada admitió que todavía se trata de un terreno incipiente, y que “lo primero es identificar qué agentes existen y delimitar su comportamiento. Si algo se sale de la norma, que salte una alerta, un MFA o una revisión. Pero estamos empezando”.
Desde el RACC, Carlos Travé compartió un enfoque más organizativo. “Hemos incorporado la IA a nuestro protocolo de uso de medios tecnológicos. Cada empleado firma anualmente su compromiso de buenas prácticas, que incluye un punto específico sobre IA. Es una manera de crear cultura y hacer que todos entiendan su responsabilidad”.
Entornos híbridos: complejidad sin fronteras
Con la expansión del cloud y las soluciones SaaS impulsadas por IA, los entornos híbridos se han vuelto más difíciles de controlar. Los tres participantes de la mesa coincidieron en que la visibilidad es el primer desafío.
Reconoció Tortajada que “toda organización vive un momento de revisión de sus entornos tecnológicos” y que la incorporación de la inteligencia artificial “obliga a conocer mejor el propio ecosistema antes de avanzar en su protección”.
“Estamos pasando del shadow IT al shadow IA” (Carlos Travé)
Carlos Travé añadió que esta complejidad se multiplica en organizaciones grandes: “Si ya era difícil gestionar múltiples nubes, la IA lo ha hecho más difuso. En nuestro caso, la única forma de mantener el control es responsabilizar a cada área de sus herramientas y procesos”.
Benítez aportó la visión del lado ofensivo: “Las herramientas de seguridad también están evolucionando. El concepto CNAPP está ayudando a integrar la protección en una sola plataforma. La IA está revolucionando el pentesting: ahora detectamos vulnerabilidades que antes no veíamos. Los malos la usan, pero nosotros también podemos usarla para defendernos mejor”.
La IA en la respuesta ante incidentes: del ruido a la prioridad
La conversación derivó después hacia la automatización de la respuesta ante amenazas, donde la IA ya está marcando una diferencia tangible. “Antes teníamos miles de alertas al día, imposibles de revisar manualmente”, explicó Travé, asegurando que, ahora, “la IA nos ayudará a identificar cuáles impactan potencialmente en nuestro negocio”.
Arsenio Tortajada coincidió es que no sólo se trata de la gravedad técnica de una vulnerabilidad, “sino de su exposición real. La IA nos permite contextualizar y pasar de tener datos a tener información útil”.
Por su parte, Benítez recordó que la detección actual se apoya más en el comportamiento de los usuarios que en las firmas tradicionales: “Las anomalías de comportamiento son hoy la clave. Detectarlas sería imposible sin inteligencia artificial”.
Formación, realismo y resiliencia
El cierre de la mesa redonda dejó una sensación compartida: la IA exige tanto preparación técnica como madurez empresarial. “Mi dogma es formación, formación y formación”, resumió Tortajada. “Pero también hay que ser realistas: no todas las organizaciones pueden permitirse las mismas inversiones. Hay que adaptar las herramientas al tamaño, al presupuesto y al negocio”.
“La IA nos permite contextualizar y pasar de tener datos a tener información útil” (Arsenio Tortajada)
Travé añadió un enfoque pragmático: “La IA cuesta dinero y el retorno no siempre es directo. Hay que medir bien el coste-beneficio y cuantificar para asegurar que la productividad que promete se traduzca en valor real”.
Para Luis Enrique Benítez, lo importante es mantener la curiosidad y la resiliencia que siempre ha caracterizado al sector tecnológico. “La tecnología nos seduce, pero también nos obliga a madurar. Igual que lo hicimos con el big data o el blockchain, aprenderemos a convivir con la IA. Lo importante es adaptarse y formar equipos. En eso, los profesionales de TI somos resilientes por naturaleza”.
