La Seguridad en IA: Navegando un Horizonte en Tiempo Real sin un Mapa Definido

La Sofisticación de los Atacantes Impulsada por la IA: Lamentablemente, los mismos avances que potencian la defensa también están a disposición de los actores maliciosos. Más del 80% de los ataques de ingeniería social ahora son impulsados por IA, y el phishing generado por IA logra una tasa de clics alarmante del 54%. Estas cifras, proporcionadas por SentinelOne y otros informes, demuestran la eficacia de la IA para crear ataques más convincentes y a escala. Además, el malware impulsado por IA puede evadir las defensas tradicionales con mayor facilidad, adaptándose en tiempo real. El "2026 AI Threat Landscape Report" de HiddenLayer destaca la creciente brecha entre la implementación de la IA y su seguridad, evidenciando que los adversarios no esperan a que la industria defina los estándares, sino que explotan las brechas a medida que surgen.

Esta dinámica significa que las estrategias de seguridad estáticas son obsoletas. Relyance AI advierte que "los datos son la nueva red para la IA" y que se pierde el 80% de la realidad de la seguridad de los datos empresariales con enfoques anticuados. La batalla no es por quién tiene la mejor IA, sino por quién puede adaptarse más rápido y con mayor inteligencia a un entorno en constante flujo.

Los datos hablan

Las cifras confirman la magnitud del desafío y la urgencia de la respuesta. El cibercrimen no es una amenaza marginal: se proyecta que los daños globales por esta actividad ilícita alcanzarán los 10.5 billones de dólares anuales para 2025. Para ponerlo en perspectiva, el costo promedio de una brecha de datos en EE. UU. superó los 10.2 millones de dólares en 2025, una cifra que subraya la devastación financiera asociada a fallos de seguridad.

El mercado global de seguridad de IA es un testimonio de la demanda creciente. Valorado en 18.7 mil millones de dólares en 2025 para el monitoreo de seguridad de IA, se espera que crezca a 21.3 mil millones de dólares en 2026 y a 45.6 mil millones de dólares para 2034, con una Tasa de Crecimiento Anual Compuesto (CAGR) del 10.2%. De manera más amplia, el mercado de la IA en ciberseguridad se valoró en 25.53 mil millones de dólares en 2026 y se proyecta que alcance los 50.83 mil millones de dólares para 2031, con un CAGR del 14.8%. Estas proyecciones, extraídas de informes de mercado como los citados por Cranium AI y SentinelOne, demuestran la inversión masiva en soluciones de seguridad basadas en IA.

La adopción de la IA en ciberseguridad es casi universal: el 97% de las organizaciones utiliza o planea usar herramientas de ciberseguridad habilitadas por IA. Sin embargo, la brecha de gobernanza es preocupante: a pesar de que el 77% de las organizaciones utiliza IA generativa en su pila de seguridad, solo el 37% tiene una política formal de IA. Esta desconexión entre la implementación y la gobernanza crea un terreno fértil para vulnerabilidades y riesgos no gestionados.

Las amenazas son claras: más del 80% de los ataques de ingeniería social son impulsados por IA, y el phishing generado por IA logra una tasa de clics del 54%. Un alarmante 87% de las organizaciones ha sido objetivo de un ciberataque impulsado por IA en el último año. Pero la IA también ofrece una defensa poderosa: la IA/automatización reduce los costos promedio de las brechas en 1.90 millones de dólares, y los SOCs aumentados con IA detectan amenazas un 50% más rápido y reducen la carga de trabajo de los analistas en un 60%.

Que significa para Latam

Para los profesionales y empresas de Latinoamérica, este panorama global de seguridad de la IA presenta desafíos y oportunidades específicas, exacerbadas por el contexto regulatorio y socioeconómico de la región. América Latina no es una isla; está integrada en la dinámica global de la IA y, como tal, enfrenta directamente sus riesgos y la necesidad de sus defensas.

La región está experimentando un aumento significativo en la actividad regulatoria con un enfoque basado en riesgos. Países como Brasil (con el Proyecto de Ley No. 2,338/2023), Chile (con una política nacional actualizada y un proyecto de ley de IA basado en riesgos, además de la Ley 21.719 efectiva el 1 de diciembre de 2026 con reglas de privacidad similares al GDPR y derecho a la explicación de decisiones automatizadas), y México (con requisitos de exclusión voluntaria para decisiones automatizadas) están sentando las bases para una gobernanza más estructurada de la IA. Perú ya ha regulado la IA (Ley No. 31,814 de 2023), designando herramientas de IA para el empleo como de "alto riesgo" y prohibiendo usos controvertidos, con entrada en vigor en septiembre de 2026 para sectores críticos como salud y educación. Además, el alcance extraterritorial de la Ley de IA de la UE, con obligaciones que entrarán en vigor el 2 de agosto de 2026, impactará significativamente a cualquier empresa latinoamericana que opere con sistemas de IA cuyas salidas sean utilizadas en la Unión Europea.

La adopción de la IA en Latinoamérica es alta: el 65% de los consumidores latinoamericanos ya utiliza herramientas de IA, evidenciando una rápida integración en la vida cotidiana y empresarial. Sin embargo, la confianza es más baja, con un 44% preocupado por la difusión de información falsa. Un alarmante 65% de los trabajadores admite usar "IA en la sombra" (shadow AI), lo que crea puntos ciegos significativos para la seguridad corporativa. Mientras que el 74% de las organizaciones en América Latina y el Caribe ha implementado IA para la ciberseguridad, un preocupante 51% carece de procesos para evaluar la seguridad de estas herramientas antes de su despliegue. Las fugas de datos son la principal preocupación (38%) relacionada con la IA generativa en la región.

América Latina es la quinta región más atacada globalmente, concentrando un 9% de todos los ciberataques entre 2024 y 2025. Eventos de gran magnitud, como la Copa Mundial de la FIFA 2026, se perfilan como factores que aumentarán la superficie de riesgo cibernético en México debido a la acción de redes criminales impulsadas por IA. Como bien señaló Erik Moreno, Director de Ciberseguridad de Indra Group México, en México "la cuestión ya no es si ocurrirán incidentes, sino si las empresas están preparadas para operar con resiliencia cuando sucedan", una máxima aplicable a toda la región en el contexto de la volatilidad geopolítica y la acelerada adopción de la IA. La seguridad de la IA ya no es una opción, sino una inversión estratégica fundamental para la continuidad operativa y la confianza digital en la región.