Proofpoint ha publicado su informe “AI and Human Risk Landscape” de 2026, que analiza la brecha cada vez mayor entre la rapidez con la que las organizaciones ponen en práctica la IA y lo preparadas que están para proteger e investigar los riesgos derivados.
En este estudio global se han encuestado a más de 1.400 profesionales de la seguridad en 12 países, examinando cómo la rápida adopción de la IA transforma la colaboración empresarial y deja al descubierto debilidades estructurales en los controles de seguridad y la respuesta a incidentes.
La IA se integra cada vez más en las organizaciones y se encuentra operativa en la mayoría de las funciones, con implementaciones que abarcan el soporte al cliente, la mensajería interna, los flujos de trabajo de correo electrónico y la colaboración con terceros. En España, el 90% de las organizaciones ha desplegado asistentes de IA más allá de la fase piloto, y el 64% ha probado o implementado agentes autónomos. Sin embargo, si bien las organizaciones invierten en herramientas y controles de IA, muchas no pueden confirmar que esos controles sean efectivos: el 78% no confía plenamente en que sus controles de seguridad de IA detectarían una IA comprometida, y el 32% con controles implementados ya ha experimentado un incidente relacionado con la IA, confirmado o sospechoso.
La mayoría de las organizaciones españolas declara asimismo que no está completamente preparada para investigar incidentes relacionados con la IA que abarcan múltiples sistemas y canales. Concretamente, solo un tercio afirma estar preparada para abordar una investigación.
“Los resultados de este año destacan la brecha creciente entre la adopción de la IA y la preparación en seguridad”, dice Ryan Kalember, director de estrategia en Proofpoint. “Las organizaciones escalan los asistentes de IA y los agentes autónomos en sus principales flujos de trabajo. No obstante, muchas no pueden confirmar que sus controles sean efectivos o investigar completamente los incidentes que se mueven a través de los canales de colaboración. A medida que la IA se integra en la manera de trabajar, los líderes de seguridad deben reconsiderar cómo protegen las interacciones confiables entre personas, datos y sistemas de IA”.
Principales conclusiones referentes a España del informe “AI and Human Risk Landscape”
- El despliegue de la IA ha superado la preparación en seguridad. La adopción de la IA ha sido más rápida que la maduración de los marcos de gobernanza. Mientras que el 90% de las organizaciones ha desplegado asistentes más allá de la fase piloto y el 64% desarrolla agentes autónomos, el 69% describe la seguridad como “una puesta a punto”, “inconsistente” o “reactiva”. Un 27% informa haber experimentado un incidente relacionado con la IA, sospechoso o confirmado, lo que indica que la exposición ya está presente en entornos de producción.
- Los canales de colaboración son la principal superficie de ataque de la IA. La IA amplía la superficie de ataque, lo que hace que las amenazas se propaguen a velocidad de máquina e impacten en los flujos de trabajo conectados. Si bien el correo electrónico sigue como el vector de amenaza más común (81%), la exposición ahora se extiende a través de aplicaciones SaaS y en la nube de terceros (47%), plataformas sociales y de mensajería (45%), así como SMS o mensajes de texto (42%). Entre las organizaciones en España que han experimentado un incidente relacionado con la IA, la exposición ha aumentado en todos los canales: un 74% en el correo electrónico y un 56% que involucra asistentes o agentes de IA, SMS o mensajes de texto y plataformas sociales o de mensajería.
- La confianza excede la eficacia de los controles. Aunque muchas organizaciones tienen controles de seguridad implementados, carecen de garantías. El 59% de las organizaciones asegura tener cobertura de seguridad de IA implementada. Sin embargo, el 78% no confía plenamente en que esos controles detectarían un compromiso de la IA. De hecho, el 32% de las organizaciones con controles ha reportado algún incidente relacionado con la IA. Persisten las brechas en capacitación (55%), monitorización o registro insuficientes (38%) y alineación de gobernanza entre equipos (35%).
- La preparación en investigación se queda atrás de la realidad de los incidentes. Cuando ocurren incidentes relacionados con la IA, muchas organizaciones luchan por investigarlos de manera efectiva. Solamente el 11% de los encuestados asegura estar totalmente preparado para investigar un incidente relacionado con la IA o con agentes, y el 41% señala dificultades para correlacionar amenazas entre canales. Dado que la actividad relacionada con la IA abarca correo electrónico, plataformas de colaboración y sistemas en la nube, la capacidad de reconstruir eventos depende de la visibilidad en entornos conectados, algo que muchas organizaciones aún no tienen.
- La proliferación de herramientas forma una barrera estructural. La fragmentación en las pilas de seguridad agrava el desafío, limitando la visibilidad y ralentizando la respuesta cuando los incidentes se mueven a través de los sistemas a velocidad de máquina. El 90% de las organizaciones afirma que gestionar múltiples herramientas de seguridad es al menos moderadamente desafiante, y el 38% lo describe como muy o extremadamente difícil. Los encuestados citan desafíos de integración (53%), presiones de costes operativos (41%) y dificultad para correlacionar amenazas (41%).
- La arquitectura de seguridad pasa a prioridad estratégica a medida que escala la IA. El 56% de las organizaciones busca activamente la consolidación de proveedores y herramientas, y el 41% cree que una plataforma unificada es más efectiva que soluciones puntuales. En los próximos 12 meses, el 50% planea expandir las protecciones de IA, el 48% tiene la intención de ampliar la cobertura de los canales de colaboración y el 61% espera avanzar hacia un enfoque de plataforma unificada.
“Aunque la IA ha introducido nuevos riesgos, como la ingeniería de prompts, su mayor impacto ha sido amplificar los riesgos que siempre hemos tenido”, apunta Kalember. “La ejecución de código poco fiable, el manejo incorrecto de datos sensibles y la pérdida de control de credenciales son los mismos desafíos que los humanos han generado durante décadas. La IA los ejecuta a una velocidad y una escala de máquina. Cuando las organizaciones le entregan a la IA las llaves para actuar en su nombre a través de clientes, partners y sistemas internos, el radio de impacto de cualquiera de esos fallos crece drásticamente. La respuesta no es tratar la IA como una nueva categoría de amenaza, sino aplicar controles rigurosos y probados a lo que la IA toca y ejecuta, además de para qué se le permite autenticarse. Las organizaciones que establezcan bien esa base desde el principio escalarán la IA con confianza. Aquellas que no lo hagan, automatizarán su propia exposición”.
Te puede interesar
- Los asistentes de IA que usan los programadores introducen un nuevo riesgo: la exposición de credenciales
- Inteligencia Artificial sin reglas y empleados sin autorización: el nuevo riesgo silencioso que amenaza a las empresas
- Fraude del CEO con IA: cómo detectar suplantaciones generadas por deepfakes
