Fuente: Asociación Empresas Consultoría Lugar: Ciberseguridad Según una investigación de ISACA, la razón estriba en que los ataques de ‘phishing’ e ingeniería social impulsados por IA son ahora más difíciles de detectar.



Los datos siempre son llamativos y resumen cualquier cuestión que se quiere tratar, y en este caso son paradigmáticos:



· Un tercio (35%) de las organizaciones europeas no puede afirmar si ha sufrido un ciberataque impulsado por IA.



· Más de dos tercios (71%) de los profesionales afirman que los ataques de phishing e ingeniería social impulsados por IA son ahora más difíciles de detectar.



· El 58% afirma que la IA ha hecho significativamente más difícil autenticar la información digital.



 · El 38% asegura que su confianza en los métodos tradicionales de detección de amenazas ha disminuido como consecuencia de ello.



Son resultados de la última investigación AI Pulse Poll de ISACA, la principal asociación global para profesionales de la confianza digital, y su conclusión no puede ser más clara: existe una brecha creciente entre el ritmo de las amenazas impulsadas por IA y la capacidad de las organizaciones para ver y gestionar los riesgos a los que se enfrentan.



En la presentación virtual del informe realizada ante un grupo de periodistas, Chris Dimitriadis, director de Estrategia Global de ISACA, ha destacado que “el mayor riesgo hoy puede no ser un hacker, sino el propio sistema de IA que la organización ha implementado. Aunque el 92% cree que sus empleados usan IA, un porcentaje significativamente menor tiene políticas claras que regulen su uso, lo que refleja una desconexión entre práctica y control”.



A esto hay que unir aspectos que destaca la investigación como la información errónea y la desinformación como el principal riesgo relacionado con la IA en la actualidad, o las vulneraciones de la privacidad y la ingeniería social.



La consecuencia es estremecedora: los equipos no pueden gestionar lo que no pueden ver, y las herramientas en las que antes confiaban se están quedando rápidamente obsoletas frente a los ataques impulsados por IA.



Las cifras en España



Y en el Reino de España la cosa no difiere en demasía de lo que ocurre más allá de los Pirineos. Desde ISACA apunta en un comunicado que “esta situación se evidencia con una presión creciente sobre los canales de ayuda y respuesta ante incidentes.



Así, INCIBE reconocía haber detectado más de 122.000 incidentes de ciberseguridad en 2025, y se atendieron 142.767 consultas, un 44,9% más que en 2024.



De todas formas, la esperanza aparece también en forma de IA, pues el 43% de los participantes en un estudio de aquella organización afirma haber mejorado la capacidad de su organización para detectar y responder a las ciberamenazas, mientras que el 34% ya la está implantando específicamente para mejorar la ciberseguridad.



Claro que este potencia defensivo, advierten desde ISACA, pasa por contar con la experiencia y la gobernanza necesarias para desplegarlo de forma eficaz. Y, por desgracia, ambas cosas siguen siendo limitadas para no pocas organizaciones, tal y como denuncia.



“Aunque algunos avances son positivos, el ritmo aún no es suficiente para cerrar esta brecha”, ha destacado Diamatridis.



La IA cabalga en los lugares de trabajo



Desde ISACA muestran su preocupación por la adopción de la IA en los lugares de trabajo sin la correspondiente supervisión; lo que marcha en paralelo con el desarrollo de las amenazas en un entorno de adopción generalizada de la IA en dichos lugares.



Más datos:  



· La aprobación formal es ya la norma, con un 82% de organizaciones que permiten expresamente el uso de IA y un 74% que permiten específicamente la IA generativa.



Y es que, la IA ha desembarcado en el día a día: las aplicaciones más populares son la creación de contenido escrito (69%), el aumento de la productividad (63%), la automatización de tareas repetitivas (54%) y el análisis de grandes conjuntos de datos (52%). Los beneficios declarados son tangibles, ya que el 77% cita el ahorro de tiempo y el 40% afirma que la IA ha aumentado su capacidad de producción sin necesidad de incrementar la plantilla.



Un escenario ideal de no ser porque la rápida adopción no ha ido acompañada de la gobernanza necesaria para supervisar dónde y cómo se está utilizando la IA. “Sólo el 42% de las organizaciones cuenta con una política formal e integral de IA, y el 33% no exige a los empleados que declaren cuándo la IA ha contribuido a los productos de trabajo, lo que deja importantes puntos ciegos en toda la empresa”, destaca ISACA en el mencionado comunicado.



Diamatridis no ha podido ser más claro: “Si no entiendes la IA, no hay forma de protegerla”.



De ahí que a nadie sorprenda que el 87% de los profesionales manifieste preocupación por el uso no autorizado de la IA por parte de los empleados, ni que el 26% afirme que su mayor reto con la IA en el trabajo es la falta de confianza en que proteja adecuadamente la propiedad intelectual y la información sensible.



Conclusión: se necesita experiencia para igualar la amenaza



Visto lo visto, la conclusión a la que llega ISACA es que la brecha de gobernanza recae sobre los profesionales. Deberían cerrarla, sí, pero muchos no se sienten preparados para hacerlo. Más de la mitad (54%) afirma que necesita mejorar sus competencias en los próximos seis meses para conservar su empleo o avanzar en su carrera, y el 79% afirma que lo necesitará en el plazo de un año. El 41% señala la creciente brecha de competencias como uno de los mayores riesgos que plantea la IA. Sin embargo, una quinta parte (21%) de las organizaciones sigue sin ofrecer ninguna formación formal en IA.



¿Y las leyes? Ahí. El 45% de las organizaciones dice seguir el marco de gobernanza del Reglamento de IA de la UE por delante de NIST (seguido por el 26%). Pero la conclusión vuelve a estremecer: más de una cuarta parte (26%) de las organizaciones aún no sigue ningún marco, lo que muestra una brecha entre la conciencia regulatoria y la acción.



“Aunque iniciativas como el EU AI Act están marcando el camino en Europa, su implementación sigue siendo limitada. La falta de políticas formales y controles refuerza la preocupación sobre el uso no autorizado de la IA”, ha declarado el director de Estrategia Global de ISACA, para concluir con estas palabras: “Al analizar la evolución en el tiempo, se concluye que ha habido avances en la implementación de políticas, pero un empeoramiento en el panorama de riesgos y en la brecha de habilidades. Como próximos pasos, se anuncia el desarrollo de un nuevo marco basado en CMMI para evaluar la madurez en IA, con el objetivo de ayudar a las organizaciones a mejorar su gobernanza y preparación”.



Fuente: ComputerWorldThe post Una de cada tres empresas europeas desconoce si ha sufrido un ciberataque impulsado por IA first appeared on AEC - Asociación española de empresas de consultoría.