Cómo crear una seguridad basada en la confianza con IA a gran escala 

A medida que la IA se integra en la detección de amenazas, la supervisión del fraude, la gestión del acceso y la respuesta a incidentes, surge una pregunta fundamental: ¿cómo pueden las organizaciones generar confianza en la seguridad basada en la IA a gran escala?

La confianza en este contexto tiene dos dimensiones. En primer lugar, los empleados y analistas deben confiar en que las herramientas de IA respaldan su trabajo en lugar de socavar su criterio. En segundo lugar, los líderes deben confiar en que estos sistemas son seguros, explicables y resistentes en condiciones reales.

Sin ambas dimensiones, la seguridad basada en la inteligencia artificial no se amplía, sino que se fragmenta. Las organizaciones que tienen éxito tratan la confianza no como un ejercicio de comunicación, sino como un principio de diseño integrado en la gobernanza, la supervisión y la estrategia de adopción.

El doble sentido de la confianza 

En primer lugar: ¿qué queremos decir cuando hablamos de confianza en el contexto de la IA y la seguridad? En realidad, tiene dos significados diferentes: 

1. El lado humano: ¿confían realmente tus empleados en las herramientas de seguridad de IA que estás eligiendo para ellos, o las ven como una amenaza, una carga o algo con lo que hay que trabajar? 
2. El lado tecnológico: ¿se puede confiar en que sus herramientas de seguridad de IA hagan lo que sus vendedores o desarrolladores dicen que pueden hacer?

Ambas partes son importantes, y ambas determinan si la IA crea valor o simplemente genera nuevos riesgos. 

Si descuidas el aspecto humano de la confianza al adoptar nuevas herramientas de IA, corres el riesgo de que la adopción sea baja, de que se produzcan prácticas paralelas que eludan los sistemas oficiales y de que se genere una falsa sensación de seguridad que deje a tu organización más expuesta. Además, cuando eliges herramientas que añaden complejidad en lugar de mejorar la eficiencia, estás traicionando la confianza de tu equipo. Esta tensión ayuda a explicar por qué Gartner informa de que el 69 % de las organizaciones sospechan o tienen pruebas de que sus empleados utilizan herramientas GenAI públicas no autorizadas («IA paralela»). Cuando las herramientas aprobadas no satisfacen las necesidades operativas reales, los empleados buscarán alternativas, a menudo sin la supervisión adecuada. 

Desde el punto de vista tecnológico, los directores de sistemas de información tienen que ir más allá del bombo y platillo y de las constantes promesas excesivas que hemos visto en la comunidad de la inteligencia artificial en los últimos años. Al igual que cualquier otra herramienta de seguridad, las herramientas basadas en IA deben demostrar su valía en condiciones reales, con transparencia, auditabilidad y resistencia frente a amenazas emergentes como la inyección inmediata y los fallos en el control de acceso. 

Integrar la confianza en la adopción de la IA 

Muchas organizaciones se enfrentan a problemas de adopción cuando implantan nuevas herramientas de IA. Esto se debe probablemente a que casi la mitad (46%) de los empleados consideran la IA una amenaza para sus puestos de trabajo, según un informe de BCG. No ayuda en absoluto que el sector de la IA siga exagerando el potencial de sus herramientas para redefinir el trabajo tal y como lo conocemos. Los empleados tienen preocupaciones legítimas. Corresponde a los responsables de TI y seguridad abordarlas mediante estrategias de adopción cuidadosamente planificadas. 

Éxito de la IA: MinterEllison 

Un ejemplo que se cita con frecuencia es el de MinterEllison, que introdujo un programa estructurado de alfabetización en IA para apoyar su adopción. La empresa asignó tiempo dedicado al aprendizaje, alineó la formación con los objetivos de rendimiento y nombró a campeones digitales internos para guiar a sus compañeros a través de casos de uso prácticos.

Los resultados comunicados incluyeron un aumento significativo en el uso semanal de la IA y un compromiso sostenido en todos los departamentos. La conclusión clave no son las cifras de uso en sí mismas, sino la estructura: la confianza aumentó porque la formación, la asignación de tiempo y el refuerzo entre compañeros se diseñaron deliberadamente en la implementación.

Educación, transparencia y comunicación 

La necesidad de una educación estructurada no hará sino crecer. En su informe "Predicts 2025: AI and the Future of Work", Gartner afirma que, en 2028, el 40% de los empleados recibirán primero formación o entrenamiento por parte de la IA al incorporarse a un nuevo puesto, frente a menos del 5% en la actualidad. Si los empleados esperan que la IA les guíe desde el primer día, las empresas no pueden permitirse dejar la alfabetización al azar. 

También es importante una comunicación clara. Sé sincero y realista sobre lo que las herramientas de IA pueden y no pueden hacer. Demuestra al personal lo mucho que importa su supervisión humana. Y no te limites a decir "confía en la herramienta". Enséñales y anímales a cuestionar e interpretar los resultados. Cuando los empleados saben que se sigue valorando su criterio, la IA se siente menos como una amenaza y más como un apoyo. 

Elegir herramientas de seguridad de IA en las que merezca la pena confiar 

La otra cara de la moneda es si los responsables de TI y seguridad pueden confiar en que los sistemas de IA funcionen de forma fiable y segura. También en este caso, los riesgos son reales. Las previsiones del sector indican que las deficiencias en el control de acceso, incluidos los riesgos de inyección rápida y escalada de privilegios, probablemente se convertirán en los principales vectores de ataque para los sistemas basados en IA en los próximos años. A medida que los agentes de IA ganan autonomía operativa, las lagunas en la gobernanza se convierten en lagunas de seguridad.

Al mismo tiempo, las organizaciones deben gestionar la deriva de la precisión, la exposición a sesgos y el aumento de los costes de la nube. Por lo tanto, la seguridad de la IA basada en la confianza no solo depende de la defensa contra amenazas, sino también de la validación continua, la supervisión y la gestión de costes. 

Estos retos explican por qué la ciberseguridad sigue siendo una de las tres principales prioridades de los directores de sistemas de información de los sectores bancario, de seguros y minorista. Pero la buena noticia es que ya están surgiendo ejemplos de despliegues fiables de IA, como muestran los case studies de Gartner que se presentan a continuación. 

Citizens Bank, por ejemplo, ha desplegado un agente orquestador cuidadosamente seleccionado para gestionar tareas administrativas de forma segura dentro de flujos de trabajo controlados. En el sector de los seguros, una empresa holandesa utiliza la IA para tramitar automáticamente siniestros sencillos de automóviles y derivar los casos complejos a peritos humanos. Ambos ejemplos nos enseñan la misma lección: los directivos pueden confiar en la IA cuando se adapta bien al caso de uso y tiene unos límites claros, y cuando los humanos son responsables de las decisiones de alto riesgo. 

Perspectivas del sector 

El reto de la confianza varía ligeramente de un sector a otro: 

• La banca: la confianza es inseparable del cumplimiento. Los líderes necesitan sistemas de IA que puedan reducir los falsos positivos en la detección de fraudes y mantener pistas de auditoría que los reguladores puedan seguir sin cuestionar. 
• Seguros: la parcialidad en las decisiones de suscripción o siniestros no es sólo un problema ético, sino un riesgo normativo y de reputación. Los controles de sesgo y las herramientas de explicabilidad son esenciales. 
• Industria: la seguridad no es negociable. Los directores de planta no confiarán en las predicciones de la IA sobre fallos de los equipos a menos que sepan cuándo y cómo se aplica la revisión humana. 
• Comercio minorista: con una alta rotación de personal, la IA en la sombra es el gran riesgo. Los minoristas deben tratar la alfabetización en IA con la misma seriedad que la alfabetización en datos para mantener la adopción segura y productiva.

Escalabilidad de la confianza 

Entonces, ¿cómo consiguen los directivos que la confianza sea escalable a la hora de lanzar proyectos de seguridad de IA? Hay algunas pautas que destacan en todos los sectores: 

• La alfabetización en IA es lo primero. Los empleados no adoptarán lo que no entienden. Programas como el de MinterEllison demuestran que una formación estructurada da sus frutos en cuanto a adopción y uso seguro. 
• Reglas claras de supervisión. Define cuándo intervienen los humanos y asegúrate de que todo el mundo lo sabe. Esto evita tanto la dependencia excesiva de la IA como la desconfianza en sus resultados. 
• Auditabilidad. Cada acción respaldada por IA debe dejar un rastro que pueda resistir el escrutinio de las normativas y los clientes. 
• Control de costes y riesgos. Supervisa el gasto en la nube, la precisión y el control de acceso tan de cerca como lo harías con los controles financieros. 
• Cambio cultural. Sin duda, la IA transformará la cultura del lugar de trabajo en los próximos años. Los CIO, los CISO y los CHRO desempeñan un papel importante para que la IA sea fiable a gran escala.

La confianza en la seguridad de la IA no surge automáticamente. Debe diseñarse.

Las organizaciones que crecen con éxito se centran en cinco pilares: alfabetización, claridad en la supervisión, auditabilidad, supervisión continua de los riesgos y gobernanza interfuncional. Cuando se establecen estas bases, la IA se convierte en un multiplicador de fuerzas para la ciberseguridad, en lugar de una nueva capa de exposición.

Los líderes que aborden tanto la dimensión humana como la técnica de la confianza no solo implementarán la IA de forma segura, sino que reforzarán la resiliencia, acelerarán la innovación responsable y generarán una confianza duradera en su estrategia digital.