La IA ya no es solo una herramienta que los empleados solicitan para obtener ayuda. Se está convirtiendo en una herramienta que las empresas utilizan para realizar tareas. Los empleados usan herramientas de IA públicas. Los desarrolladores crean aplicaciones con proveedores de modelos. Las unidades de negocio adoptan sistemas de asistencia técnica. Los equipos internos integran la IA en aplicaciones de cara al cliente. Los agentes recuperan datos, llaman a las API, invocan herramientas y realizan acciones en diferentes flujos de trabajo. Ese es un problema de seguridad muy diferente, durante un tiempo, la seguridad de la IA se trató principalmente como una conversación sobre gobernanza de datos. ¿Qué pueden copiar y pegar los empleados en un formulario? ¿Qué herramientas están aprobadas? ¿Qué modelos están permitidos? Todas son preguntas sensatas. Todas siguen siendo relevantes. Pero ya no son suficientes. La pregunta más difícil ya no es solo quién tiene acceso, sino qué hace la IA con ese acceso.
Y ahí es donde la cosa se pone interesante, del mismo modo que resulta interesante descubrir una puerta que no tiene bisagras.
La adopción va por delante del control
La brecha ya es visible. Según el Informe de Seguridad en la Nube de Check Point 2026, el 77 % de las organizaciones han cambiado su estrategia de seguridad en respuesta a la IA, pero solo el 26 % afirma tener la arquitectura necesaria para implementarla. Esa diferencia de 51 puntos es lo que cuenta.
La IA no se limita a un solo equipo, una sola plataforma o una iniciativa de gobernanza bien definida. Se está extendiendo a través de herramientas para la fuerza laboral, aplicaciones basadas en IA, servicios SaaS, entornos en la nube, API de modelos y agentes autónomos. Se les pide a los responsables de seguridad que gestionen algo que se propaga por toda la organización como el agua que busca el punto más bajo. Primero fluye por los canales autorizados. Luego encuentra las brechas. Esto no significa que la adopción de la IA deba ralentizarse. Significa que el modelo de seguridad debe adaptarse al uso real de la IA.

La visibilidad ayuda, pero no el control
La mayoría de los equipos de seguridad saben que necesitan visibilidad sobre el uso de la IA. Sin ella, la gobernanza se convierte en una mera suposición formal. Pero la visibilidad es solo el punto de partida. El mismo informe de Check Point reveló que solo el 5 % de las organizaciones tienen visibilidad completa del uso de herramientas de IA en toda la empresa. Esto significa que muchos equipos intentan gestionar la IA sin tener una visión completa de las herramientas, los agentes, los flujos de datos y el comportamiento en tiempo de ejecución.
Incluso cuando la visibilidad mejora, las siguientes preguntas son más difíciles:
¿Qué tipo de datos puede obtener la IA?
¿Qué sistemas puede tocar?
¿Qué medidas puede tomar?
¿Qué comportamientos son aceptables?
¿Dónde es necesario que se apliquen las medidas coercitivas antes de que surtan efecto?
Esas preguntas son importantes porque el riesgo de la IA ya no es una cuestión de una sola superficie. Abarca desde empleados que utilizan herramientas de IA y aplicaciones basadas en modelos y avisos, hasta agentes que pueden interactuar en sistemas conectados. Cada elemento modifica el problema de seguridad. En conjunto, crean un desafío de gobernanza que el control de acceso tradicional no fue diseñado para resolver por sí solo.
El acceso puede definir a qué tiene permitido acceder un sistema. No define completamente cuál es la función prevista del sistema. Esa distinción es importante.
Un agente puede tomar una serie de medidas técnicamente válidas y aun así obtener un resultado que la empresa jamás pretendió. Cada acción puede parecer razonable de forma aislada, pero el resultado puede no serlo. Es aquí donde la gobernanza de la IA debe pasar de la política al control ejecutable.
La pregunta para los líderes de seguridad
La cuestión no es si la empresa utilizará la IA. Ya la está utilizando. La cuestión es si los equipos de seguridad pueden infundir en la empresa la confianza necesaria para utilizar la IA de forma segura en todos los ámbitos en los que se está adoptando: herramientas para la fuerza laboral, aplicaciones de IA y agentes autónomos. Eso requiere un modelo operativo diferente. Uno que comience con el descubrimiento, convierta la gobernanza en políticas aplicables, valide continuamente los sistemas de IA y proteja el comportamiento en tiempo de ejecución.
“El marco completo de gobernanza de seguridad de la IA profundiza en ese modelo. Explica cómo abordar las superficies de riesgo de la IA, qué debe abarcar la gobernanza y qué preguntas de evaluación deben plantearse los responsables de seguridad antes de que la actividad de la IA se vuelva demasiado dispersa para gestionarla de forma eficaz”. Afirma Ángel Salazar, Gerente de Ingeniería de Canales en Latinoamérica de Check Point Software. “La IA ya forma parte del funcionamiento de las empresas. Cada vez más, forma parte de su manera de actuar. La seguridad debe cumplir con eso allí”, concluye.
También puede leer: