Cómo desarrollar una seguridad basada en la IA y en la confianza a gran escala

La confianza, en este contexto, tiene dos dimensiones. En primer lugar, los empleados y los analistas deben confiar en que las herramientas de IA les ayudan en su trabajo, en lugar de socavar su criterio. En segundo lugar, los responsables deben confiar en que estos sistemas son seguros, comprensibles y resistentes en condiciones reales.

Sin ambas dimensiones, la seguridad basada en la inteligencia artificial no es escalable, sino que se fragmenta. Las organizaciones que tienen éxito no consideran la confianza como un mero ejercicio de comunicación, sino como un principio de diseño integrado en la gobernanza, la supervisión y la estrategia de adopción.
 

El doble sentido de la confianza 

En primer lugar: ¿a qué nos referimos cuando hablamos de confianza en el contexto de la IA y la seguridad? En realidad, tiene dos significados distintos:

• El aspecto humano: ¿Confían realmente tus empleados en las herramientas de seguridad basadas en IA que eliges para ellos, o las ven como una amenaza, una carga o algo que hay que sortear? 
• El aspecto técnico: ¿Se puede confiar en que tus herramientas de seguridad basadas en IA hagan lo que sus proveedores o desarrolladores afirman que pueden hacer?
  Ambos aspectos son importantes y ambos determinan si la IA genera valor o simplemente crea nuevos riesgos.

Si se descuida el aspecto humano de la confianza al adoptar nuevas herramientas de IA, se corre el riesgo de que la adopción sea escasa, de que surjan prácticas paralelas que eludan los sistemas oficiales y de que se genere una falsa sensación de seguridad que deje a la organización más expuesta. Además, se traiciona la confianza del equipo cuando se eligen herramientas que añaden complejidad en lugar de mejorar la eficiencia. Esta tensión ayuda a explicar por qué Gartner señala que el 69 % de las organizaciones sospechan o tienen pruebas de que sus empleados utilizan herramientas públicas de IA generativa no autorizadas («IA en la sombra»). Cuando las herramientas aprobadas no satisfacen las necesidades operativas reales, los empleados buscarán alternativas, a menudo sin la supervisión adecuada.

En el ámbito tecnológico, los directores de sistemas de información deben ir más allá del abrumador bombo publicitario y las constantes promesas exageradas que hemos visto por parte de la comunidad de la IA en los últimos años. Al igual que cualquier otra herramienta de seguridad, las herramientas basadas en la IA deben demostrar su eficacia en condiciones reales, con transparencia, auditabilidad y resiliencia frente a amenazas emergentes como la inyección de prompts y los fallos en el control de acceso.
 

Incorporar la confianza en la adopción de la IA 

Muchas organizaciones se enfrentan a dificultades de adopción a la hora de implantar nuevas herramientas de IA. Probablemente, esto se deba a que casi la mitad (46 %) de los empleados considera que la IA supone una amenaza para sus puestos de trabajo, según un informe de BCG. Sin duda, tampoco ayuda que el sector de la IA siga exagerando el potencial de sus herramientas para redefinir el trabajo tal y como lo conocemos. Las preocupaciones de los empleados son legítimas. Depende de los responsables de TI y de seguridad abordarlas mediante estrategias de adopción cuidadosamente planificadas.

Caso de éxito en IA: MinterEllison 

Un ejemplo que se suele citar es el de MinterEllison, que puso en marcha un programa estructurado de formación en inteligencia artificial para facilitar su adopción. El bufete destinó tiempo específico a la formación, alineó esta con los objetivos de rendimiento y nombró a «embajadores digitales» internos para que orientaran a sus compañeros a través de casos prácticos.

Entre los resultados obtenidos se observó un aumento significativo en el uso semanal de la IA y una participación sostenida en todos los departamentos. La conclusión clave no son las cifras de uso en sí mismas, sino la estructura: la confianza aumentó porque la formación, la asignación de tiempo y el apoyo entre compañeros se integraron de forma deliberada en la puesta en marcha.

Formación, transparencia y comunicación
La necesidad de una formación estructurada no hará más que aumentar. En su informe «Predicts 2025: AI and the Future of Work», Gartner afirma que, para 2028, el 40 % de los empleados recibirá formación o orientación inicial por parte de la IA al incorporarse a un nuevo puesto, frente a menos del 5 % actual. Si los empleados esperan que la IA les guíe desde el primer día, las empresas no pueden permitirse dejar la alfabetización digital al azar.

La comunicación clara también es importante. Sé sincero y realista sobre lo que las herramientas de IA pueden y no pueden hacer. Muestra al personal lo importante que es su supervisión humana. Y no te limites a decir «confía en la herramienta». En su lugar, enséñales y anímales a cuestionar e interpretar los resultados. Cuando los empleados saben que su criterio sigue siendo valorado, la IA se percibe menos como una amenaza y más como un apoyo.
 

Cómo elegir herramientas de seguridad basadas en IA en las que se pueda confiar 

La otra cara de la moneda es si los responsables de TI y seguridad pueden confiar en que los sistemas de IA funcionen de forma fiable y segura. También en este caso los riesgos son reales. Las previsiones del sector indican que las vulnerabilidades en el control de acceso —incluidos los riesgos de inyección de comandos y de escalada de privilegios— probablemente se convertirán en los principales vectores de ataque para los sistemas basados en IA en los próximos años. A medida que los agentes de IA ganan autonomía operativa, las deficiencias en la gobernanza se convierten en brechas de seguridad.

Al mismo tiempo, las organizaciones deben gestionar la pérdida de precisión, la exposición a sesgos y el aumento de los costes de la nube. Por lo tanto, la seguridad de la IA basada en la confianza no solo depende de la defensa frente a las amenazas, sino también de la validación continua, la supervisión y la gestión de los costes.

Estos retos explican por qué la ciberseguridad sigue siendo una de las tres principales prioridades para los directores de sistemas de información (CIO) de los sectores bancario, de seguros y minorista. Pero la buena noticia es que ya están surgiendo ejemplos de implementaciones fiables de inteligencia artificial, tal y como muestran los casos prácticos de Gartner que se recogen a continuación.

Citizens Bank, por ejemplo, ha implantado un agente de coordinación cuidadosamente seleccionado para gestionar las tareas administrativas de forma segura dentro de flujos de trabajo controlados. En el sector de los seguros, una empresa holandesa está utilizando la IA para tramitar automáticamente las reclamaciones sencillas de seguros de automóvil, mientras que deriva los casos complejos a peritos humanos. Ambos ejemplos nos enseñan la misma lección: los líderes pueden confiar en la IA cuando esta se adapta bien al caso de uso y cuenta con límites claros, y cuando los seres humanos siguen siendo responsables de las decisiones de alto riesgo.
 

Perspectivas del sector 

El reto de la confianza varía ligeramente de un sector a otro:

• Sector bancario: La confianza es inseparable del cumplimiento normativo. Los responsables necesitan sistemas de inteligencia artificial capaces de reducir los falsos positivos en la detección de fraudes y de mantener registros de auditoría que los reguladores puedan seguir sin lugar a dudas. 
• Seguros: El sesgo en las decisiones de suscripción o de siniestros no es solo un problema ético, sino también un riesgo normativo y reputacional. Las comprobaciones de sesgo y las herramientas de explicabilidad son esenciales. 
• Fabricación: La seguridad no es negociable. Los directores de planta no confiarán en las predicciones de la IA sobre fallos en los equipos a menos que sepan cuándo y cómo se aplica la revisión humana. 
• Comercio minorista: Dada la elevada rotación de personal, la IA «en la sombra» supone un gran riesgo. Los minoristas deben tomarse la alfabetización en IA tan en serio como la alfabetización en datos para garantizar que su adopción sea segura y productiva.
   

Hacer que la confianza sea escalable 

Entonces, ¿cómo consiguen los líderes que la confianza sea escalable a la hora de poner en marcha proyectos de seguridad basados en la IA? Hay algunos patrones que se repiten en todos los sectores:

• Lo primero es la alfabetización en IA. Los empleados no adoptarán lo que no entienden. Programas como el de MinterEllison demuestran que la formación estructurada da sus frutos en cuanto a la adopción y el uso seguro de la IA. 
• Normas de supervisión claras. Hay que definir cuándo deben intervenir las personas y asegurarse de que todo el mundo lo sepa. Esto evita tanto la dependencia excesiva de la IA como la desconfianza hacia sus resultados. 
• Auditabilidad. Cada acción respaldada por la IA debe dejar un rastro que pueda resistir el escrutinio de las autoridades reguladoras y de los clientes. 
• Gestión de costes y riesgos. Supervisa el gasto en la nube, las desviaciones en la precisión y el control de acceso con el mismo rigor con el que supervisarías los controles financieros. 
• Cambio cultural. Sin duda, la IA transformará la cultura empresarial en los próximos años. Los directores de sistemas de información (CIO), los directores de seguridad de la información (CISO) y los directores de recursos humanos (CHRO) desempeñan un papel fundamental a la hora de garantizar la fiabilidad de la IA a gran escala.
   

La confianza en la seguridad de la IA no surge por sí sola. Hay que trabajarla.

Las organizaciones que logran crecer con éxito se centran en cinco pilares: alfabetización, claridad en la supervisión, auditabilidad, seguimiento continuo de los riesgos y gobernanza interfuncional. Cuando se sientan estas bases, la IA se convierte en un multiplicador de la ciberseguridad, en lugar de suponer una nueva fuente de vulnerabilidad.

Los líderes que aborden tanto la dimensión humana como la técnica de la confianza no solo implementarán la IA de forma segura, sino que también reforzarán la resiliencia, acelerarán la innovación responsable y generarán una confianza duradera en su estrategia digital.