Publicada

El desarrollo reciente de la segunda edición de nuestro evento de ciberseguridad empresarial, “Integra Security Day”, donde se puso en valor la importancia de proteger a las organizaciones en un escenario cada vez más digital, conectado y expuesto, me hace reflexionar sobre una cuestión que ya forma parte de muchas conversaciones de dirección: cómo avanzar con inteligencia artificial sin abrir nuevas puertas al riesgo.

Y quería compartir algunas reflexiones en esta columna porque hace no tanto tiempo hablábamos de la IA en clave de tendencia, de futuro o de oportunidad por explorar. Hoy está presente en tareas muy concretas: analizar información, generar código, atender consultas, preparar propuestas, automatizar procesos o apoyar decisiones comerciales y operativas.

Sería un error mirar esta tecnología solo desde la prudencia defensiva. Pero también sería ingenuo pensar que incorporarla, sin más, garantiza progreso.

La pregunta relevante ya no es si las empresas deben utilizar IA. La pregunta es cómo la están utilizando, con qué información, bajo qué criterios, con qué controles y con qué nivel de supervisión.

Porque el riesgo rara vez aparece por el simple hecho de usar inteligencia artificial. Suele surgir cuando se utiliza sin criterio; cuando alguien introduce información sensible en una herramienta que la organización no ha validado; cuando cada equipo prueba soluciones por su cuenta y se genera una especie de uso invisible de la tecnología; cuando una automatización empieza a tomar decisiones o a activar procesos sin una revisión suficiente; cuando una recomendación se acepta porque “lo dice el sistema”, aunque nadie pueda explicar bien de dónde viene...

Durante años, muchas compañías han construido su estrategia de ciberseguridad pensando en accesos, dispositivos, aplicaciones, redes e infraestructuras. Todo eso sigue siendo necesario. Pero la IA añade una capa distinta: el dato circula más, se combina con más fuentes, se interpreta en nuevos contextos y puede acabar generando respuestas, acciones o decisiones con impacto real en el negocio.

Por eso, hablar de IA sin hablar de gobierno del dato se queda corto. Una empresa puede incorporar una herramienta avanzada, con enormes capacidades, y aun así exponerse si la información que maneja está desordenada, duplicada, mal clasificada o accesible para personas que no deberían verla.

La IA no arregla por sí misma una mala gestión del dato. A veces la hace más evidente. A veces la acelera. Y, en determinados casos, puede convertir una debilidad interna en un problema de seguridad, cumplimiento normativo o confianza.

Aquí conviene hacerse preguntas incómodas, de esas que obligan a bajar de la presentación estratégica a la realidad del día a día. ¿Sabemos qué datos pueden utilizarse en herramientas de IA? ¿Tenemos identificada la información confidencial? ¿Quién puede acceder a ella? ¿Qué soluciones están autorizadas? ¿Qué usos quedan fuera del marco de la compañía? ¿Qué ocurre con los datos que se introducen en plataformas externas? ¿Podemos auditar una respuesta, una recomendación o una decisión generada con apoyo de IA?

Estas preguntas parecen técnicas, pero tienen mucho de gobierno corporativo. Afectan a la forma en la que una organización protege sus activos, cumple sus obligaciones y mantiene la confianza de quienes se relacionan con ella.

La ciberseguridad ya no puede vivir aislada en el departamento de sistemas. Del mismo modo, la IA no debería quedar únicamente en manos de equipos de innovación o de negocio. Ambas conversaciones tienen que encontrarse en un terreno común, con la participación de dirección, tecnología, legal, recursos humanos, operaciones y áreas usuarias. Cada una ve una parte del riesgo. Cada una entiende mejor una parte del impacto.

Muchas brechas no nacen de un ataque sofisticado. Nacen de gestos cotidianos que parecen inofensivos. Un documento interno copiado en una herramienta pública para resumirlo. Una base de datos de clientes subida a una plataforma externa para segmentarla más rápido. Un asistente que ofrece información a empleados sin distinguir permisos. Una automatización que envía comunicaciones sin validación previa. Un modelo que prioriza oportunidades comerciales sin revisar los criterios que utiliza.

La clave está en encontrar un punto razonable entre el miedo y el entusiasmo desordenado. Las empresas que mejor aprovechen la inteligencia artificial serán aquellas capaces de combinar velocidad con criterio. Probarán nuevas soluciones, pero dentro de un marco. Formarán a sus equipos, pero también establecerán reglas. Automatizarán procesos, pero mantendrán control humano cuando el impacto lo requiera.

En este camino, la formación interna tendrá un papel determinante. Muchas organizaciones están invirtiendo en licencias, plataformas y proyectos, aunque a veces dedican menos esfuerzo a explicar cómo debe utilizarse esta tecnología. Y ahí hay un punto delicado.

La IA generativa ha bajado muchísimo la barrera de entrada: cualquier persona puede usarla, aunque no tenga perfil técnico. Esa accesibilidad es una ventaja enorme, pero aumenta la exposición si la compañía no ha creado una cultura mínima de seguridad.

Decir a los equipos que “tengan cuidado” resulta demasiado vago. Hay que concretar. Qué información se puede compartir. Qué herramientas están aprobadas. Cómo revisar una respuesta generada por IA. Cómo actuar si existe sospecha de fuga de información. La seguridad no puede depender solo de la intuición individual ni de la buena voluntad de cada empleado.

En el fondo, la conversación sobre IA y ciberseguridad nos lleva a una conclusión bastante clara: innovar con responsabilidad significa saber qué se está haciendo, por qué se hace y qué consecuencias puede tener.

Las compañías que trabajen este enfoque desde el principio estarán mejor preparadas para reducir riesgos y, sobre todo, para generar confianza. Confianza en sus clientes, que esperan que sus datos estén protegidos. Confianza en sus empleados, que necesitan pautas claras para utilizar nuevas herramientas. Y confianza en un mercado que cada vez mirará con más atención cómo se usa la tecnología, más allá de los grandes titulares sobre innovación.

La inteligencia artificial va a formar parte de la empresa actual y de la que viene. Mirar hacia otro lado tendría poco sentido. Incorporarla sin una reflexión seria sobre seguridad, datos y gobierno tampoco parece una opción razonable.

Quizá por eso me gusta pensar que la IA también necesita cinturón de seguridad. Para acelerar sin perder el control. Para explorar nuevas posibilidades sin comprometer aquello que sostiene la confianza de una organización: sus datos, sus procesos, sus clientes y sus personas.

Félix Gil, presidente del Clúster Tecnara y CEO de Integra Tecnología