La inteligencia artificial se ha convertido en el tema tecnológico más destacado de los últimos dos años. Domina los debates en las salas de juntas, las reuniones con inversores, los mensajes de los proveedores, los lanzamientos de productos y los programas de las conferencias. A todos los sectores se les dice que la IA transformará su forma de operar, competir y gestionar el riesgo. La ciberseguridad no es una excepción.
En todo el sector, la IA se ha convertido rápidamente en uno de los términos más utilizados en marketing. Las plataformas de seguridad funcionan con IA. Las herramientas de detección están impulsadas por IA. Las operaciones de los SOC se ven potenciadas por la IA. Las evaluaciones de riesgos, los flujos de trabajo de cumplimiento normativo, la inteligencia sobre amenazas, la defensa contra el phishing y la respuesta a incidentes se presentan ahora a través del prisma de la IA.
En parte, esto está justificado. La IA ya está ayudando a los equipos de seguridad a procesar grandes volúmenes de datos, automatizar tareas repetitivas, acelerar las investigaciones e identificar patrones que a los humanos les resultaría difícil detectar con rapidez. Si se utiliza bien, puede hacer que los analistas sean más eficaces y ayudar a las organizaciones a responder más rápido a las amenazas.
Pero eso no significa que todas las afirmaciones sobre la IA merezcan ser aceptadas sin más.
Lee nuestro artículo sobre Mythos AI para ver un ejemplo
El actual auge de la IA se basa en una innovación real, pero también está rodeado de exageraciones, sobreinversión y expectativas infladas. La historia demuestra repetidamente que, cuando una tecnología adquiere un protagonismo tan dominante en el discurso del mercado, suele producirse una corrección brusca y, a menudo, dolorosa. La cuestión para la ciberseguridad no es si la IA tiene valor. Lo tiene. La cuestión es si las empresas de seguridad se han precipitado al presentarse como «IA primero» sin demostrar dónde la tecnología mejora realmente los resultados.
Las burbujas tecnológicas no se forman porque la tecnología subyacente sea inútil. Se forman porque las expectativas avanzan más rápido que la realidad.
El colapso de las puntocom no significó que Internet no fuera importante. Significó que se había valorado, financiado y promocionado a demasiadas empresas partiendo del supuesto de que la adopción de Internet reescribiría inmediatamente todas las reglas comerciales. Muchas fracasaron. Internet no. Las empresas útiles sobrevivieron, maduraron y pasaron a formar parte de la vida cotidiana. Es probable que la IA siga un camino similar.
La tecnología no desaparecerá, pero el entusiasmo que la rodea acabará enfriándose. Lo estamos viendo ahora: los inversores empezarán a plantear preguntas más difíciles sobre la rentabilidad. Los clientes se están volviendo más escépticos ante las vagas promesas de la IA. Los consejos de administración quieren pruebas de que las herramientas basadas en IA reducen el riesgo, mejoran la productividad o recortan costes, en lugar de limitarse a añadir otra capa de complejidad a unas pilas tecnológicas ya de por sí saturadas.
Esto es importante porque la inversión en infraestructura de IA es enorme. Los centros de datos, los chips, la capacidad en la nube, el software especializado y la demanda de energía se han convertido en parte de la carrera general por la IA. Ese nivel de gasto genera presión. Cuanto más dinero se invierta en el mercado, mayor será la necesidad de demostrar que la adopción de la IA puede aportar un valor sostenible.
Si ese valor no llega con la suficiente rapidez, la corrección del mercado podría ser brusca.
Una de las razones por las que el debate sobre la burbuja de la IA está cobrando fuerza es que la economía empieza a parecer menos indulgente. Durante gran parte del auge actual, el uso de la IA se ha visto respaldado por cuantiosas subvenciones, acceso barato, pruebas gratuitas y una inversión agresiva por parte de las principales empresas tecnológicas. Eso ha hecho que la adopción parezca más fluida de lo que realmente es.
A medida que aumenta la demanda, el coste real de poner en marcha la IA se hace más evidente. El entrenamiento y el funcionamiento de los modelos requieren una infraestructura costosa, enormes volúmenes de potencia de cálculo, chips especializados, capacidad en la nube y un consumo energético significativo. Al mismo tiempo, muchas organizaciones están descubriendo que el uso de la IA puede generar rápidamente altos costes operativos, especialmente cuando se anima a los empleados a utilizar herramientas de IA sin un claro valor empresarial.
Esto plantea una difícil pregunta a los compradores: ¿ofrece la IA suficiente productividad, mejora de la seguridad o reducción de riesgos como para justificar el gasto?
En materia de ciberseguridad, esa pregunta es crucial. Si las herramientas basadas en IA aumentan los costes de licencia, los costes de procesamiento de datos o la complejidad operativa sin mejorar los resultados medibles, los responsables de seguridad empezarán a cuestionar la inversión. El mercado se alejará de las promesas generales de la IA y se orientará hacia pruebas concretas. Los proveedores tendrán que demostrar cómo la IA reduce la fatiga de alertas, mejora la precisión de la detección, acelera la respuesta, prioriza las vulnerabilidades o refuerza la resiliencia.
Se acabó el chollo. Los ganadores serán aquellos que puedan demostrar su valor cuando llegue la factura.
Los proveedores de ciberseguridad no han tardado en sumarse al movimiento de la IA. En algunos casos, esto ha supuesto un avance positivo. La IA y el aprendizaje automático llevan mucho tiempo desempeñando un papel en áreas como la detección de anomalías, la supervisión del fraude, el análisis de comportamiento y la clasificación de malware. Los equipos de seguridad llevan años utilizando formas de automatización y análisis estadístico, incluso antes de que la IA generativa se generalizara.
El problema no es el uso de la IA en sí mismo. El problema es la forma en que a veces se posiciona la IA.
Con demasiada frecuencia, la IA se presenta como una panacea. Se utiliza como sinónimo de mayor seguridad, respuesta más rápida y detección más inteligente, sin explicar suficientemente qué hace realmente la herramienta, cómo funciona, en qué datos se basa, cuáles son sus limitaciones o cómo mejora el trabajo de los equipos de seguridad en términos cuantificables.
Esto supone un riesgo para los compradores.
Un responsable de seguridad no necesita otro panel de control con la etiqueta de IA. Necesita tener la confianza de que su organización puede detectar amenazas, investigar incidentes, priorizar las vulnerabilidades, proteger los activos críticos y recuperarse cuando algo sale mal. Si la IA ayuda a conseguir eso, tiene valor. Si es simplemente una característica envuelta en lenguaje de marketing, se convierte en otra distracción.
El «AI-washing» se produce cuando un producto, servicio o capacidad se comercializa como basado en IA, aunque el elemento de IA sea limitado, poco claro o no sea fundamental para el valor que se ofrece. También puede ocurrir cuando capacidades de automatización, análisis basado en reglas o aprendizaje automático ya existentes se presentan como algo más avanzado de lo que realmente son.
Esto no es solo una preocupación de marketing. Tiene consecuencias prácticas.
Si las organizaciones compran herramientas basándose en afirmaciones exageradas, pueden sobreestimar su nivel de protección. Pueden dar por sentado que la IA toma decisiones que, en realidad, aún requieren revisión humana. Pueden creer que la tecnología puede reducir la carga de trabajo de los analistas cuando, en realidad, genera más alertas que validar. También pueden implementar sistemas con IA sin comprender las implicaciones en materia de gobernanza, datos y control de acceso.
Se trata de un problema grave, ya que la IA no elimina los fundamentos de la seguridad. De hecho, aumenta su importancia.
Los sistemas de IA necesitan acceso a los datos. Pueden conectarse con aplicaciones empresariales, sistemas de identidad, registros de clientes y flujos de trabajo operativos. Pueden resumir información confidencial, automatizar decisiones o recomendar acciones. Si están mal gestionados, pueden ampliar la superficie de ataque y crear nuevas oportunidades para la fuga de datos, el uso indebido de privilegios y el incumplimiento normativo.
No. La IA no puede sustituir a unos fundamentos sólidos de ciberseguridad.
Una organización con escasa visibilidad de los activos, controles de identidad débiles, registro limitado, terminales no gestionados, procesos de respuesta a incidentes poco desarrollados y aplicación de parches inconsistente no se volverá segura por el simple hecho de adquirir una herramienta basada en IA. Puede que gane capacidad adicional, pero esa capacidad se sumará a las mismas debilidades subyacentes.
La IA puede ayudar a los equipos de seguridad a actuar con mayor rapidez, pero la velocidad solo importa si ya se han establecido los procesos y controles adecuados. Una clasificación más rápida de las alertas es útil. Una investigación más rápida es útil. Una búsqueda de amenazas más rápida es útil. Pero nada de esto elimina la necesidad de gobernanza, gestión de riesgos, pruebas, planificación de la resiliencia y supervisión humana cualificada.
En muchos sentidos, la IA hace que los fundamentos sean más importantes.
Cuanto más automatizan las organizaciones, más deben comprender quién tiene acceso a qué. Cuanto más conectan la IA a los flujos de trabajo, más deben controlar el movimiento de datos. Cuanto más confían en los resultados generados por la IA, más deben validar la precisión, el contexto y la toma de decisiones. Cuanto más utilizan los atacantes la IA para ampliar el phishing, el reconocimiento y la ingeniería social, más necesitan las organizaciones defensas resilientes y en capas.
La IA debería reforzar la ciberseguridad. No debería convertirse en un sustituto de esta.
Si la burbuja de la IA estalla, o incluso se desinfla gradualmente, las empresas de ciberseguridad se enfrentarán a una prueba de credibilidad.
Los proveedores con capacidades de IA realmente útiles podrán mostrar resultados claros. Demostrarán cómo sus herramientas mejoran la precisión de la detección, reducen los tiempos de respuesta, apoyan a los analistas, priorizan los riesgos, eliminan el ruido o refuerzan la resiliencia. Sus afirmaciones serán específicas, medibles y basadas en la realidad operativa.
Aquellos que hayan dependido en exceso de la IA como estrategia de posicionamiento pueden tener dificultades.
Los clientes se dejarán impresionar menos por las promesas generales. Los equipos de compras plantearán preguntas más difíciles. Los responsables de seguridad querrán saber si las funciones de IA están maduras, son explicables y están debidamente reguladas. Los consejos de administración querrán saber si la inversión está reduciendo el riesgo cibernético o simplemente siguiendo una tendencia.
Esto podría ser saludable para el sector.
Una corrección del mercado no significaría que la IA haya fracasado. Obligaría a que el debate se volviera más maduro. Separaría la capacidad genuina del ruido. Empujaría a los proveedores a explicar cómo la IA contribuye a los resultados de seguridad, en lugar de dar por sentado que la palabra en sí misma es suficiente.
Las organizaciones que evalúan productos de ciberseguridad basados en IA deben mirar más allá de la etiqueta y plantear preguntas prácticas:
Estas preguntas no rechazan la IA. La tratan con seriedad.
Esa distinción es importante. Una adopción seria requiere un análisis minucioso. Las organizaciones que más se beneficien de la IA serán aquellas que comprendan tanto sus puntos fuertes como sus límites.
El sector de la ciberseguridad no debe abandonar la IA, pero debe ser más prudente a la hora de hablar de ella.
La verdadera oportunidad no consiste en afirmar que la IA lo cambia todo, sino en demostrar en qué aspectos la IA puede mejorar funciones de seguridad específicas cuando se combina con la experiencia humana, procesos maduros y una sólida gobernanza.
La IA puede ayudar a los analistas a procesar grandes volúmenes de datos de telemetría. Puede facilitar una síntesis más rápida de los incidentes. Puede contribuir al análisis de inteligencia sobre amenazas. Puede ayudar a identificar patrones de comportamiento sospechosos. Puede fomentar la concienciación sobre la seguridad haciendo que las simulaciones de phishing y la formación sean más adaptativas. Puede ayudar a las organizaciones a comprender los riesgos en entornos complejos.
Pero debe implementarse de forma responsable.
Eso significa tener claro dónde se utiliza la IA, qué puede y qué no puede hacer, y cómo se controla. También significa reconocer que muchos retos de seguridad no son solo problemas tecnológicos. Son problemas de visibilidad, responsabilidad, madurez de los procesos, dotación de recursos y toma de decisiones.
La IA puede mejorar esas áreas. No puede solucionarlas por arte de magia.
La burbuja de la IA estallará en el sentido de que el nivel actual de expectación no puede durar para siempre. Las expectativas se normalizarán. La inversión será más selectiva. Los compradores serán más exigentes. Algunas afirmaciones quedarán obsoletas.
Las empresas de ciberseguridad deben prepararse para ese momento ahora.
Las empresas que tengan éxito serán aquellas que puedan demostrar su valor más allá de la moda. Serán capaces de explicar cómo la IA contribuye a mejorar los resultados de seguridad, dónde sigue siendo esencial la experiencia humana y cómo las organizaciones pueden adoptar la IA sin debilitar la gobernanza ni aumentar el riesgo.
Las empresas que simplemente se han subido al carro pueden descubrir que el mercado se vuelve mucho menos indulgente.
La IA seguirá formando parte de la ciberseguridad. En algunas áreas, se integrará profundamente. Pero el futuro no pertenecerá a las empresas que más griten sobre la IA. Pertenecerá a aquellas que la utilicen de forma responsable, la expliquen con claridad y ofrezcan mejoras cuantificables en la resiliencia.
Cuando estalle la burbuja, el mensaje de seguridad más contundente no será «utilizamos IA».
Será «te ayudamos a reducir el riesgo, y podemos demostrarlo».