05/06/2026
Noticias aleatorias

Panorama de Negocios

Información estratégica para navegar el mundo de los negocios con éxito

About Editor

Hillan Leo

Find Me On

Noticias Recientes

Negocios
Noticias
260421 – Resumen de Noticias Económicas y Empresariales de México 01
02
Artículos
Negocios
Tendencias y predicciones clave del comercio digital B2B en 2026 (commercetools)
03
Artículos
Negocios
Perspectivas de las Cadenas de Valor Globales 2026 (World Economic Forum)
04
Artículos
Negocios
Previsiones de Riesgos de Seguridad y Cumplimiento de Datos para 2026 (Kiteworks)
05
Negocios
Noticias
260203 – Resumen de Noticias Económicas y Empresariales de México

Previsiones de Riesgos de Seguridad y Cumplimiento de Datos para 2026 (Kiteworks)

admin032 minutos

Previsiones de Riesgos de Seguridad y Cumplimiento de Datos para 2026 (Kiteworks)

Fuente: Kiteworks. (2025, diciembre). Data Security and Compliance Risk: 2026 Forecast Report. https://www.kiteworks.com

Resumen Ejecutivo

Para el año 2026, la seguridad de los datos en el ámbito de la Inteligencia Artificial (IA) pasará de ser una «preocupación emergente» a una «realidad operativa». Un estudio exhaustivo basado en una encuesta a 225 líderes de seguridad, TI y riesgo revela una alarmante divergencia: mientras que el 100% de las organizaciones tienen la IA agéntica en su hoja de ruta, la mayoría carece de los controles de gobernanza y contención necesarios para gestionarla de forma segura. El informe pronostica una «evaluación de la realidad» inminente, a medida que la adopción de la IA se acelera y la gobernanza se estanca.

Las brechas más críticas identificadas son:

  • La Brecha de Contención: Existe una diferencia de 15 a 20 puntos entre la capacidad de las organizaciones para observar la IA (monitoreo, supervisión humana) y su capacidad para detenerla (interruptores de emergencia o «kill switches», limitación de propósito). Más del 60% de las organizaciones no pueden terminar un agente de IA que funciona mal ni hacer cumplir sus limitaciones de propósito.
  • El Efecto del Consejo Directivo: La atención del consejo es el predictor más fuerte de la madurez de la IA. El 54% de los consejos no están comprometidos con la gobernanza de la IA, y estas organizaciones se encuentran entre 26 y 28 puntos por detrás en todas las métricas de madurez de la IA.
  • Capacidades Clave: Los registros de auditoría con calidad de evidencia y la recuperación de datos de entrenamiento de IA son los mejores predictores de la madurez general. Sin embargo, el 61% de las organizaciones tienen registros fragmentados que no son accionables, y el 78% no puede validar la integridad de sus datos de entrenamiento.
  • Valores Atípicos Críticos: El sector gubernamental está una «generación por detrás» en controles de IA, mientras que Australia se erige como el punto de referencia, liderando tanto en adopción como en controles.

En resumen, las organizaciones están desplegando a gran velocidad una tecnología que no pueden controlar ni asegurar por completo. Este informe detalla 15 predicciones que describen las áreas de mayor riesgo y las capacidades esenciales necesarias para navegar el complejo panorama de la seguridad de la IA hasta 2026.

Análisis Detallado de las Predicciones para 2026

Predicción 1: DSPM se Convierte en la Línea de Base de Protección de Datos por Defecto

Para finales de 2026, la Gestión de la Postura de Seguridad de los Datos (DSPM) será una expectativa básica para las empresas medianas y grandes, pero la mayoría seguirá luchando con su aplicación. Aunque el 86% de las organizaciones tienen protocolos DSPM, solo el 39% puede hacer cumplir el etiquetado y la clasificación de manera consistente en todos los canales.

  • Brecha de Aplicación: El 61% de las organizaciones no puede hacer cumplir el etiquetado de forma consistente.
    • El 34% tiene una cobertura parcial con brechas conocidas.
    • El 16% solo tiene controles específicos de canal, perdiendo las etiquetas cuando los datos se mueven.
    • El 11% no tiene nada significativo implementado.
  • Sector Gubernamental: Muestra la brecha más amplia, con una diferencia de 34 puntos entre las políticas documentadas y su uso operativo. Casi la mitad de las organizaciones gubernamentales tienen políticas DSPM en papel mientras los datos sensibles fluyen sin etiquetar.

Predicción 2: Los Modelos Operativos de Gobernanza de Datos se Vuelven «Gestionados por Defecto»

La madurez de gobernanza «Gestionada» será la expectativa, pero el 37% de las organizaciones aún no alcanzan este nivel, operando con modelos que existen en papel pero no se ejecutan de manera consistente.

  • Niveles de Madurez:
    • Gestionado: 28% (métricas definidas, ejecución consistente).
    • Definido: 20% (políticas documentadas, pero no seguidas de forma fiable).
    • Ad Hoc: 4%.
  • Brecha de Automatización: El sector gubernamental tiene una brecha de 24 puntos entre los modelos de gobernanza formales (86%) y el uso de cumplimiento automatizado (62%). El 38% de las organizaciones gubernamentales todavía dependen de procesos manuales o periódicos.

Predicción 3: Los Gateways de Datos de IA Centralizados se Convierten en el Plano de Control para la IA

La arquitectura esperada para gobernar los datos sensibles que fluyen a través de modelos y agentes de IA serán los gateways de datos centralizados. Sin embargo, solo el 43% de las organizaciones tienen uno actualmente.

  • Fragmentación: El 57% restante tiene enfoques fragmentados, parciales o nulos.
    • El 26% es parcial, ad hoc o no tiene nada.
    • El 7% de las empresas no tiene controles dedicados para el acceso de la IA a datos sensibles.
  • Crisis en el Gobierno: El 90% de las organizaciones gubernamentales carece de gobernanza de IA centralizada, y un tercio no tiene absolutamente ningún control de datos de IA dedicado. El sector de la salud no se queda atrás, con un 77% sin gateways centralizados.

Predicción 4: Los Casos de Uso de IA Agéntica se Generalizan y Afectan a Canales Críticos

El 100% de las organizaciones encuestadas tienen IA agéntica en su hoja de ruta. Se planean agentes para flujos de trabajo autónomos (33%) y toma de decisiones (24%), sistemas que accederán a datos sensibles y ejecutarán lógica de negocio de forma autónoma.

  • Brecha de Contención: A pesar de la adopción universal, solo el 37% tiene implementada la limitación de propósito («purpose binding») y el 40% tiene interruptores de emergencia («kill switches»).
  • Riesgo en MFT: El 27% planea la automatización de MFT (Transferencia de Archivos Gestionada) impulsada por IA, pero la adopción de seguridad en MFT es de solo el 46%, lo que significa que se están añadiendo agentes autónomos a un canal que ya es inseguro en más de la mitad de las organizaciones.

Caso de Uso Existente o Planeado vs Controles Típicamente Implementados

  • Copilotos internos: Moderado (39%)
  • Generación de archivos/documentos: Bajo-Moderado (34%)
  • Extracción/enriquecimiento de datos: Bajo (34%)
  • Composición de correo electrónico: Bajo (33%)
  • Agentes de API/integración: Bajo (33%)
  • Agentes de flujo de trabajo autónomos: Muy Bajo (33%)
  • Automatización SFTP/MFT: Muy Bajo (27%)
  • Agentes de toma de decisiones: Muy Bajo (24%)

Predicción 5: Los Controles de Contención se Convierten en el Campo de Batalla de la Seguridad de la IA

Las mayores brechas en la seguridad de la IA se encuentran en los controles de contención: la capacidad de detener una IA cuando algo va mal.

  • El 63% no puede hacer cumplir las limitaciones de propósito a los agentes de IA.
  • El 60% no puede terminar rápidamente un agente que se comporta de manera anómala.
  • El 55% no puede aislar los sistemas de IA del acceso a la red más amplia.

Existe una brecha de 15 a 20 puntos entre los controles de gobernanza (observar la IA: 56-59% de adopción) y los de contención (detener la IA: 37-45% de adopción). Aunque las organizaciones planean cerrar estas brechas, incluso las proyecciones optimistas dejan a un cuarto de las empresas sin controles de contención básicos para finales de 2026.

Predicción 6: Los Riesgos de Datos de IA y la Privacidad Dominan la Agenda de Seguridad

Los riesgos relacionados con la IA dominarán las agendas de seguridad, y las organizaciones no están equipadas para abordarlos.

  • Principales Riesgos de Seguridad:
    1. Manejo por parte de proveedores de IA de terceros (30%): Solo el 36% tiene visibilidad de cómo los socios manejan los datos en los sistemas de IA.
    2. Envenenamiento de datos de entrenamiento (29%): Solo el 22% valida la integridad de los datos de entrada antes del entrenamiento.
    3. Fuga de PII a través de resultados (27%).
    4. Amenazas internas amplificadas por IA (26%).
  • Principales Exposiciones de Privacidad:
    1. Datos personales en prompts (35%): La mayoría de las mitigaciones se basan en políticas, no en controles técnicos.
    2. Transferencias transfronterizas a través de proveedores de IA (29%).

Predicción 7: La Seguridad de la Cadena de Suministro de Software se Expande para Incluir Certificaciones de Modelos de IA

El 72% de las organizaciones no puede producir un inventario fiable de sus componentes de software (SBOM), y la cadena de suministro de IA es aún menos transparente.

  • Falta de Fundamentos: El 72% carece de gestión de SBOM, y el 71% carece de monitoreo continuo de dependencias.
  • Infraestructura Heredada: Las soluciones heredadas de MFT y uso compartido de archivos carecen de las capacidades de seguridad (DLP en tiempo real, auditoría con calidad de evidencia, aplicación de políticas conscientes de la IA) que la gobernanza moderna de la IA requiere.
  • Riesgos de la Cadena de Suministro de IA: El 35% cita riesgos como modelos comprometidos y datos de entrenamiento envenenados, pero aún no existen estándares para el SBOM de IA o marcos de certificación.

Predicción 8: La Gestión de Riesgos de Terceros Gira Hacia la Visibilidad y el Manejo de la IA

Los programas de riesgo de terceros deben pasar de las evaluaciones basadas en cuestionarios al monitoreo continuo.

  • Brechas de Resiliencia:
    • El 89% nunca ha practicado la respuesta a incidentes (IR) con sus proveedores externos.
    • El 87% carece de manuales de IR conjuntos con sus socios.
  • Prioridad en la Visibilidad: La falta de visibilidad es la principal prioridad para el 46% de las organizaciones. Sin embargo, solo el 36% tiene alguna visibilidad sobre cómo los socios utilizan los datos en sistemas de IA.

Predicción 9: La Respuesta a Incidentes se Vuelve Infundida con IA

Las capacidades de detección y respuesta específicas para la IA están ausentes en la mayoría de las organizaciones.

  • Brechas de Capacidad de IR:
    • Detección de anomalías con IA: 60% ausente.
    • Manuales de IR automatizados: 51% ausente.
    • Pruebas de RTO/RPO: 52% ausente.
  • Sectores Atrasados: El 76% de las organizaciones gubernamentales carecen de detección de anomalías con IA y utilizan manuales manuales. En el sector de la salud, el 64% carece de esta detección y el 77% no prueba sus objetivos de recuperación (RTO/RPO).

Predicción 10: Los Registros de Auditoría con Calidad de Evidencia se Convierten en la Piedra Angular de la Gobernanza de la IA

La falta de registros de auditoría con calidad de evidencia (presente en el 33% de las organizaciones) predice una baja madurez en todas las demás dimensiones de la IA, con brechas de 20 a 32 puntos.

  • El Problema de la Fragmentación: El 61% de las organizaciones tienen un intercambio de datos fragmentado (correo electrónico, MFT, nube, herramientas de IA en sistemas separados). Esto produce registros dispersos e inconsistentes, lo que hace imposible una auditoría eficaz y retrasa la detección de incidentes.
  • Correlación Fuerte: La existencia de registros de auditoría unificados se correlaciona más fuertemente con la madurez general de la IA que el sector, la región o el tamaño de la organización.

Predicción 11: Los Controles de Datos de Entrenamiento y las Arquitecturas «Listas para Desaprender» se Vuelven Requisitos Regulatorios

Las organizaciones no están preparadas para las regulaciones emergentes sobre datos de entrenamiento de IA.

  • Brechas Críticas en Datos de Entrenamiento:
    • El 78% no puede validar los datos antes de que entren en los pipelines de entrenamiento.
    • El 77% no puede rastrear la procedencia de sus datos de entrenamiento.
    • El 53% no puede recuperar los datos de entrenamiento después de un incidente, lo que hace imposible cumplir con el «derecho al olvido».
  • Trayectoria Regulatoria: Regulaciones como el GDPR, CCPA/CPRA y la Ley de IA de la UE exigen cada vez más gobernanza, documentación y la capacidad de eliminar datos de los modelos entrenados.

Predicción 12: La Gobernanza de la IA Llega a Todas las Salas de Juntas

La participación del consejo directivo es el predictor más fuerte de la madurez de la IA.

  • Falta de Compromiso: El 54% de los consejos no incluyen la gobernanza de la IA entre sus cinco temas principales.
  • Impacto Directo: Las organizaciones sin compromiso del consejo están de 26 a 28 puntos por detrás en métricas clave como las evaluaciones de impacto de la IA y la limitación de propósito.
  • Caso Atípico del Gobierno: El 71% de los consejos en el sector gubernamental no están comprometidos con la gobernanza de la IA.

Predicción 13: La Ley de IA de la UE Crea una Plantilla de Gobernanza Global

La Ley de IA de la UE se está convirtiendo en el estándar de facto para una «buena gobernanza de la IA».

  • Brecha de Madurez: Las organizaciones no afectadas por la ley están de 22 a 33 puntos por detrás en todos los controles principales de IA. Por ejemplo, el 72% de ellas carece de limitación de propósito.
  • Impacto Global: Aunque el 82% de las organizaciones de EE. UU. no sienten la presión de la ley, esta se propagará a través de los requisitos de la cadena de suministro y las operaciones multinacionales, dejando atrás a quienes la ignoren.

Predicción 14: La Criptografía Post-Cuántica Pasa de ser Adoptada Tempranamente a la Corriente Principal

Las organizaciones están expuestas a la amenaza de «recolectar ahora, descifrar después», donde los adversarios capturan datos cifrados hoy para descifrarlos con computadoras cuánticas en el futuro.

  • Baja Adopción: El 84% de las organizaciones no ha implementado la criptografía post-cuántica (PQC). El 48% no la está utilizando en absoluto.
  • Ventana de Actuación: Para los datos que requieren confidencialidad a largo plazo (registros médicos, datos financieros, información clasificada), la ventana para actuar se está cerrando. Los estándares NIST PQC ya están finalizados.

Predicción 15: La Soberanía de Datos se Convierte en un Imperativo de Gobernanza de la IA

Las organizaciones han resuelto la soberanía para el almacenamiento de datos, pero no para el procesamiento, entrenamiento o inferencia de la IA.

  • Brecha entre Almacenamiento y Procesamiento: El 29% cita las transferencias transfronterizas a través de proveedores de IA como una exposición de privacidad principal, pero la mayoría no sabe dónde se procesan sus datos. Un prompt enviado a un proveedor en la nube puede ser procesado en una jurisdicción diferente.
  • Presión Regulatoria Creciente: El GDPR, las leyes de localización de Oriente Medio y la Ley de IA de la UE exigen transparencia sobre dónde operan los sistemas y se procesan los datos, no solo dónde se almacenan.

Profundización Temática: El Imperativo de Seguridad de la IA Agéntica

La Curva de Adopción vs. la Madurez de los Controles

La IA agéntica ha pasado de ser un piloto a un sistema de producción, pero los controles no han seguido el ritmo. Los casos de uso avanzados, como los agentes de API y la automatización de flujos de trabajo, se están implementando con controles diseñados para copilotos básicos. La desconexión es evidente en canales como MFT, donde se están añadiendo agentes autónomos a infraestructuras que ya son inseguras.

La Brecha entre Gobernanza y Contención

Esta es la tensión central de la seguridad de la IA agéntica. Las organizaciones han invertido en observar la IA (monitoreo, supervisión humana) porque es más fácil de implementar y satisface a los auditores. Sin embargo, no han invertido en la capacidad de detener la IA (kill switches, limitación de propósito, aislamiento de red), lo que crea una brecha crítica de 15 a 20 puntos. Esta brecha expone a las organizaciones a agentes que no pueden ser restringidos, terminados o aislados si actúan de forma maliciosa o anómala.

La Dimensión de la Soberanía de Datos

La soberanía de datos se expande más allá del almacenamiento. Los controles de residencia de datos tradicionales no abordan el hecho de que un prompt puede ser procesado en múltiples jurisdicciones. Solo el 36% de las organizaciones tiene visibilidad sobre el manejo de datos de IA por parte de sus socios. Gobernar el almacenamiento de IA mientras se ignora su procesamiento creará graves problemas de cumplimiento.

Casos Atípicos Notables

  • Australia es el punto de referencia: Lidera tanto en adopción de IA como en controles, demostrando que no es necesario sacrificar uno por el otro.
  • El Gobierno es la crisis: Con un 90% sin limitación de propósito y un 76% sin kill switches, sus controles están una generación por detrás.
  • Los Servicios Profesionales son la olla a presión: La exposición de los datos de los clientes impulsa una gobernanza agresiva, sirviendo como modelo para lo que parece la gobernanza de la IA bajo presión.

Conclusiones Clave y Recomendaciones Estratégicas

El desafío fundamental para 2026 es la brecha entre gobernanza y contención. Las organizaciones pueden observar pero no detener sus sistemas de IA. La solución requiere un enfoque multifacético centrado en capacidades clave, atención del consejo directivo e infraestructura moderna.

Recomendaciones Estratégicas

Cronograma de Acciones Prioritarias

Inmediato (Q1-Q2 2026)
  • Cerrar la brecha del «kill switch». (El 60% no puede terminar agentes de IA; un incidente lo expondrá.)
  • Implementar la limitación de propósito. (El 63% no tiene límites en la autorización de los agentes; la mayor brecha.)
  • Auditar los registros de auditoría. (El 33% carece de ellos; el 61% tiene registros fragmentados que no son accionables.)
  • Evaluar la exposición de IA de terceros. (Solo el 36% tiene visibilidad; el resto confía ciegamente en los contratos.)
  • Mapear la exposición a la soberanía de datos de la IA. (La mayoría no sabe dónde se procesan los datos.)
Medio Plazo (H2 2026)
  • Desplegar la detección de anomalías con IA. (Es la mayor capacidad de IR ausente (60% de brecha).)
  • Construir un marco de gobernanza de datos de entrenamiento. (La Ley de IA de la UE lo exige; el 78% no puede validar datos.)
  • Consolidar la infraestructura de intercambio de datos. (El 61% está fragmentado; es imposible tener registros de calidad de evidencia.)
Largo Plazo (2027+)
  • Implementar un gateway de datos de IA centralizado. (Es el plano de control para toda la gobernanza de la IA.)
  • Modernizar la infraestructura de transferencia de archivos heredada. (Los sistemas MFT heredados carecen de controles conscientes de la IA.)
  • Completar la migración a PQC. (El 84% no la ha implementado; la amenaza de «recolectar ahora, descifrar después» es activa.)

Acciones Clave por Rol

  • CISO/CIO: Poner la gobernanza de la IA en la agenda del consejo; exigir controles de contención, no solo de monitoreo; financiar capacidades clave como los registros de auditoría.
  • Infraestructura de TI: Mapear los flujos de datos de la IA, incluido el procesamiento transfronterizo; consolidar el intercambio de datos fragmentado; cerrar la brecha de seguridad de MFT.
  • DevSecOps: Expandir el SBOM para incluir modelos de IA; integrar la seguridad de la IA en el CI/CD; establecer la validación de datos de entrenamiento.
  • Consejo Directivo: Hacer de la gobernanza de la IA un tema permanente en la agenda; preguntar específicamente sobre los controles de contención; comparar con la industria y la región.

Noticias relacionadas