Un tercio (35%) de las organizaciones europeas no puede afirmar si ha sufrido un ciberataque impulsado por IA, según la última investigación AI Pulse Poll de ISACA. Los resultados apuntan a una brecha creciente entre el ritmo de las amenazas impulsadas por IA y la capacidad de las organizaciones para ver y gestionar los riesgos a los que se enfrentan.
En este sentido, la encuesta revela que más de dos tercios (71%) de los profesionales afirman que los ataques de phishing e ingeniería social impulsados por IA son ahora más difíciles de detectar. Por su parte, el 58% afirma que la IA ha hecho significativamente más difícil autenticar la información digital y el 38% asegura que su confianza en los métodos tradicionales de detección de amenazas ha disminuido como consecuencia de ello.
Los profesionales encuestados también señalan la información errónea y la desinformación como el principal riesgo relacionado con la IA en la actualidad, mencionado por el 87% de los encuestados, junto con las vulneraciones de la privacidad (75%) y la ingeniería social (60%). Es decir, que los equipos no pueden gestionar lo que no pueden ver, y las herramientas en las que antes confiaban se están quedando rápidamente obsoletas frente a los ataques impulsados por IA.
En España, esta situación se evidencia con una presión creciente sobre los canales de ayuda y respuesta ante incidentes. Por ejemplo, según el balance de ciberseguridad del INCIBE, en 2025 se detectaron más de 122.000 incidentes de ciberseguridad y se atendieron 142.767 consultas, un 44,9% más que en 2024.
No obstante, el impacto de la IA en la ciberseguridad no es totalmente unilateral, y está demostrando ser una valiosa herramienta defensiva. Así, el 43% afirma que ha mejorado la capacidad de su organización para detectar y responder a las ciberamenazas, y el 34% ya la está implantando específicamente para mejorar la ciberseguridad.
Pero hacer realidad ese potencial defensivo depende de contar con la experiencia y la gobernanza necesarias para desplegarlo de forma eficaz; y, para demasiadas organizaciones, ambas siguen siendo limitadas.
La IA se está adoptando en el lugar de trabajo sin una supervisión adecuada
Resulta especialmente preocupante que estas amenazas se estén desarrollando en paralelo a una adopción generalizada de la IA en los lugares de trabajo europeos. La aprobación formal es ya la norma, con un 82% de organizaciones que permiten expresamente el uso de IA y un 74% que permiten específicamente la IA generativa.
La IA se está incorporando al trabajo operativo principal: las aplicaciones más populares son la creación de contenido escrito (69%), el aumento de la productividad (63%), la automatización de tareas repetitivas (54%) y el análisis de grandes conjuntos de datos (52%). Los beneficios declarados son tangibles, ya que el 77% cita el ahorro de tiempo y el 40% afirma que la IA ha aumentado su capacidad de producción sin necesidad de incrementar la plantilla.
Pero la rápida adopción no ha ido acompañada de la gobernanza necesaria para supervisar dónde y cómo se está utilizando la IA. Solo el 42% de las organizaciones cuenta con una política formal e integral de IA, y el 33% no exige a los empleados que declaren cuándo la IA ha contribuido a los productos de trabajo, lo que deja importantes puntos ciegos en toda la empresa.
Por tanto, no sorprende que el 87% de los profesionales manifieste preocupación por el uso no autorizado de la IA por parte de los empleados, ni que el 26% afirme que su mayor reto con la IA en el trabajo es la falta de confianza en que proteja adecuadamente la propiedad intelectual y la información sensible.
En este sentido, Chris Dimitriadis, director de Estrategia Global de ISACA, afirma que “la IA ha cambiado fundamentalmente el panorama de amenazas. Los atacantes ahora pueden hackear a la velocidad de la intención, y demasiadas organizaciones ni siquiera saben si ya han estado en el punto de mira. El hecho de que tantas empresas operen sin la gobernanza necesaria para ver dónde se está utilizando la IA, por no hablar de cómo, agrava significativamente esa exposición”.
“La IA sin gobernanza no solo crea riesgo operativo. Entrega activamente una ventaja a quienes quieren causar daño. Cerrar esa brecha empieza por el desarrollo profesional y por impulsar la experiencia necesaria para construir e integrar una gobernanza de la IA que resista bajo presión. Hacerlo es ahora un imperativo de seguridad”, agrega.
Construir la experiencia necesaria para igualar la amenaza
La conclusión es que la brecha de gobernanza recae sobre los profesionales, que deben cerrarla, y muchos no se sienten preparados para hacerlo. Más de la mitad (54%) afirma que necesita mejorar sus competencias en los próximos seis meses para conservar su empleo o avanzar en su carrera, y el 79% afirma que lo necesitará en el plazo de un año. El 41% señala la creciente brecha de competencias como uno de los mayores riesgos que plantea la IA. Sin embargo, una quinta parte (21%) de las organizaciones sigue sin ofrecer ninguna formación formal en IA.
El entorno regulatorio añade aún más urgencia. El Reglamento de IA de la UE es el marco de gobernanza más mencionado en la encuesta, citado por el 45% de las organizaciones, por delante de NIST (26%). Pero más de una cuarta parte (26%) de las organizaciones aún no sigue ningún marco, lo que muestra una brecha entre la conciencia regulatoria y la acción.
Te puede interesar
- El 45% del código generado por IA contiene vulnerabilidades y ahora existe un modelo capaz de dejarlas al descubierto en horas
- Eliminar la superficie de ataque es la mejor defensa frente a vulnerabilidades en la era de la IA
- Casi un tercio de empresas españolas ha tenido incidentes con la IA pese a los controles de seguridad implementados
