El 70 % de las organizaciones identifica la IA como el principal riesgo para la seguridad de sus datos, según se recoge en el informe “Thales 2026 Data Threat Report”, elaborado por Thales Cybersecurity Products a partir de las respuestas de más de 3.100 profesionales de seguridad y gestión TI en 20 países.
El estudio señala que a medida que las empresas incorporan la IA en los flujos de trabajo, los análisis, el servicio al cliente y los procesos de desarrollo, estos sistemas obtienen un acceso amplio y automatizado a los datos empresariales, a menudo con controles insuficientes.
En este sentido, Sebastien Cano, vicepresidente senior de Thales Cybersecurity Products, comenta que “el riesgo interno ya no es exclusivo de las personas. También lo generan los sistemas automatizados en los que se ha depositado confianza demasiado deprisa. Cuando la gobernanza de identidades, las políticas de acceso o el cifrado son débiles, la IA puede amplificar esas debilidades en los entornos corporativos mucho más rápido de lo que podría hacerlo cualquier persona”.
El estudio indica que solo el 34 % de las organizaciones saben con exactitud dónde se encuentran todos sus datos (con independencia de su nivel de criticidad) y únicamente el 39 % son capaces de clasificarlos en su totalidad.
Otro dato relevante e inquietante es que el 47 % de los datos sensibles en la nube permanece sin cifrar. Los sistemas de IA ingieren y procesos datos en entornos cloud y SaaS y la visibilidad limitada dificulta la aplicación del principio de mínimo privilegio, lo que amplía la exposición en el caso de que las credenciales se vean comprometidos.
El robo de credenciales es el vector de ataque predominante contra la infraestructura de gestión cloud, ya que el 67 % de las organizaciones ha sufrido ataques. Y, a la vez, el 50 % sitúa la gestión de secretos entre sus principales retos de seguridad de aplicaciones, reflejando la creciente complejidad de gobernar identidades de máquinas, claves API y tokens a gran escala.
El estudio también indica que la adopción masiva de la IA está reconfigurando la superficie de ataque. El 61 % de los encuestados reconoce que sus aplicaciones de IA ya son objetivo de atacantes, con los datos sensibles como principal botín. Y el 59 % de las organizaciones ha sufrido ataques de deepfake y el 48 % ha experimentado daños reputacionales derivados de la desinformación generada por IA.
Eutimio Fernández, regional sales manager para Iberia en Thales Cybersecurity Products, explica que “estamos ante un punto de inflexión: la IA agéntica no sólo amplía la velocidad y el volumen con el que las organizaciones procesan datos, sino que, si no se gestiona con los controles adecuados, puede convertirse en la amenaza interna más difícil de detectar y contener que hemos visto hasta ahora”.
En este contexto, el 30 % de las empresas ya destina presupuestos específicos a la seguridad de la IA, pero la mayoría (el 53 %) siguen dependiendo de programas de seguridad tradicionales, diseñados principalmente para usuarios humanos y controles perimetrales.
“La IA no está reemplazando a las amenazas tradicionales, las está intensificando al aumentar su velocidad, escala y alcance. A medida que los sistemas automatizados obtienen un acceso más amplio a los datos empresariales, las organizaciones deben repensar la identidad, el cifrado y la visibilidad de los datos como infraestructura esencial”, añade Fernández.
