La adopción de inteligencia artificial avanza a un ritmo vertiginoso, muy por encima de la capacidad de las organizaciones para asegurarla. Así lo revela el informe “AI Security Readiness: Insights from 100 Cloud Architects, Engineers, and Security Leaders”, elaborado por Gatepoint Research en colaboración con Wiz, que analiza el grado de preparación de las empresas frente a los nuevos riesgos derivados del uso de la IA.
Según el estudio, el 87 % de las organizaciones encuestadas ya utiliza servicios o herramientas de IA, tanto en modelos propios como en plataformas gestionadas —OpenAI o Amazon Bedrock, entre otras—, pero el 31 % reconoce carecer de experiencia interna suficiente para proteger estos entornos. Esta carencia, advierte el informe, amplía la superficie de riesgo y subraya la necesidad de automatización y herramientas de visibilidad avanzadas.
El fenómeno del shadow AI —la IA no monitorizada dentro de la empresa— se consolida como una de las mayores amenazas emergentes
Aunque las estrategias tradicionales siguen predominando —el 70 % aplica EDR y el 65 % gestión de vulnerabilidades—, sólo un 13 % ha incorporado soluciones de AI Security Posture Management (AI-SPM), diseñadas específicamente para descubrir y asegurar servicios, modelos o datos generados por IA. El fenómeno del “shadow AI”, es decir, el uso no autorizado o no monitorizado de sistemas de inteligencia artificial dentro de las empresas, se perfila como un desafío creciente: una de cada cuatro organizaciones no sabe qué servicios de IA están activos en su entorno.
El documento destaca que la seguridad de la IA no puede abordarse solo desde lo técnico, sino también desde la operativa. Los encuestados señalan como prioridades la protección de datos (69 %), la visibilidad ante amenazas (62 %) y la facilidad de integración (51 %), lo que refleja la necesidad de soluciones que se adapten a los flujos de trabajo ya existentes en los equipos de TI y DevOps.
Para cerrar esta brecha, el informe recomienda un enfoque híbrido que combine las prácticas de seguridad tradicionales con capacidades nativas de IA, así como programas de capacitación específicos. Además, insta a las organizaciones a integrar la seguridad desde las fases tempranas del desarrollo, automatizar la detección de nuevos modelos y garantizar que las políticas de protección acompañen a las cargas de trabajo en todos los entornos cloud.
En palabras del estudio, “la seguridad no puede ser reactiva; debe ser continua y proactiva”. En un escenario donde los modelos generativos se multiplican y los ciberatacantes ya apuntan a los endpoints y datos que los alimentan, invertir hoy en la postura de seguridad de la IA marcará la diferencia entre innovar con confianza o exponerse a nuevos riesgos.
