Las herramientas autónomas de IA están ampliando la superficie de ataque de las empresas a un ritmo más rápido del que los equipos de seguridad pueden implementar medidas de protección, así lo destaca el más reciente informe de KnowBe4, titulado “Del riesgo de los agentes a los logros humanos: cómo crear una cultura de seguridad en la era de la IA agentiva”.

El panorama empresarial ha superado la fase de experimentación teórica con la IA; las organizaciones mexicanas ya han comenzado a incorporar agentes autónomos y automatización impulsada por IA en sus flujos de trabajo. Ahora que la IA autónoma está ampliamente integrada en el trabajo diario, el 56% de las organizaciones encuestadas utiliza agentes de IA autónomos capaces de actuar de forma independiente.

Sin embargo, la falta de control está dejando a las organizaciones en una situación vulnerable; el informe muestra que el 55% de los líderes admite que el uso de la IA en sus entornos no cuenta con ninguna autorización o carece de un control corporativo formal. Esta IA no autorizada funciona, en la práctica, como una capa invisible de empleados no oficiales que manejan datos confidenciales de la organización sin supervisión.

Principales conclusiones del informe en relación con México

• A diferencia de la IA tradicional, que se limita a responder a indicaciones, la IA autónoma es capaz de tomar decisiones, ejecutar flujos de trabajo de varios pasos e interactuar con otros sistemas sin intervención humana, lo que transforma de manera fundamental la mano de obra corporativa.
• Esta falta de supervisión tiene consecuencias tangibles: el 43% de los responsables de la toma de decisiones en materia de ciberseguridad afirman que el uso no autorizado de software externo y de aplicaciones de IA no autorizadas ha deteriorado directamente o ha comprometido de forma activa la postura de seguridad de su organización en los últimos 12 meses.
• Esta vulnerabilidad está fuertemente condicionada por el comportamiento de los usuarios. Más de un tercio (53%) de los trabajadores locales admite que, si las herramientas corporativas oficiales de IA son demasiado restrictivas o lentas, buscarán activamente sus propias herramientas de IA no aprobadas para eludir los bloqueos administrativos, priorizando la velocidad sobre la seguridad.

“La ciberseguridad ha entrado en una fase volátil en la que las organizaciones intentan proteger una fuerza laboral híbrida, compuesta por personas e inteligencia artificial. Es un entorno dinámico que cambia más rápido de lo que los líderes de seguridad pueden seguir el ritmo”, afirmó Perry Carpenter, estratega en jefe de ingeniería social de KnowBe4.

Agregó: “los atacantes son capaces de moverse a la velocidad y escala de una máquina, aprovechando estrategias multicanal que incluyen SMS, canales de colaboración corporativa, phishing hiperpersonalizado y deepfakes para atacar a los empleados. Además, con la creciente omnipresencia de la IA, el engaño incluye tácticas como la inyección de comandos para secuestrar agentes de IA. Dejar sin control más de la mitad del uso corporativo de la IA es una invitación abierta a los actores maliciosos”.

El informe “Del riesgo de los agentes a los logros humanos: crear una cultura de seguridad en la era de la IA con agentes” concluyó que, para alcanzar estos logros, las organizaciones deben diseñar sistemas que guíen el comportamiento, fomenten culturas de apoyo y pasar de centrarse en los fallos a reforzar las acciones positivas, además de extender una mentalidad que priorice la seguridad tanto a los agentes de IA como a los humanos.