Aquí tienes el texto completamente limpio, sin códigos HTML ni etiquetas ocultas, listo para leer o usar:
Durante dos años las organizaciones experimentaron con IA. Hoy la conversación avanza hacia cómo controlar una tecnología que ya está tomando decisiones, automatizando procesos y ampliando la superficie de riesgo.
El FBI lleva años repitiendo el mismo mensaje: si su organización es víctima de un ataque de ransomware, no pague. La lógica es clara, pagar financia a los atacantes, no garantiza la recuperación de los datos y convierte a la empresa en un objetivo recurrente. Sin embargo, según el reporte State of Cybersecurity 2026 de Ivanti, basado en una encuesta a más de 1.200 profesionales de seguridad, el 54% de las organizaciones dice que pagaría, o probablemente pagaría, si fuera atacada hoy.
No es que las organizaciones no sepan que no deben pagar, es que no han construido la capacidad para no tener que hacerlo. Y esa distinción es el problema central que la industria lleva demasiado tiempo evitando nombrar. El mismo reporte confirma que la brecha entre el nivel de amenaza percibido y la capacidad real de defensa creció un promedio de 10 puntos respecto al año anterior. Esto ocurre mientras el 83% de las organizaciones reporta que sus presupuestos de seguridad aumentaron.
Más inversión, mayor desprotección. Esa contradicción dice mucho más del estado de la ciberseguridad hoy que cualquier cifra aislada.
En América Latina, el ransomware dejó de ser teórico. Costa Rica, Colombia, México ya han vivido ataques que paralizaron operaciones completas. La región enfrenta el mismo dilema global, pero con menos margen de error: infraestructuras fragmentadas, equipos de seguridad reducidos y, en muchos casos, una visión que todavía trata ciberseguridad como costo y no como capacidad crítica del negocio.
Lo preocupante no es solo el presente. Es que el mismo patrón está a punto de repetirse con la inteligencia artificial. Las organizaciones que no construyeron resiliencia básica frente al ransomware ahora se preparan para desplegar IA agente, sistemas autónomos capaces de tomar decisiones sin supervisión humana. Y lo hacen con la misma urgencia y la misma falta de preparación estructural.
Incluso en casos concretos, estos sistemas ya pueden automatizar decisiones como aprobaciones operativas o respuestas a incidentes sin intervención humana directa, elevando el impacto potencial de un error.
Por eso, el desafío ya no es únicamente adoptar inteligencia artificial, sino gobernarla. Gobernar la IA no consiste únicamente en reducir riesgos de seguridad. También implica definir responsabilidades, establecer mecanismos de supervisión humana y garantizar que los sistemas operen de manera transparente y alineada con los objetivos del negocio.
También implica decidir quién responde cuando la IA falla y cómo se gestionan decisiones híbridas entre humanos y sistemas autónomos.
La IA agente llega antes que los controles
El 87% de los profesionales de seguridad encuestados dice que adoptar IA agente es una prioridad para sus equipos en 2026. Pero solo el 55% cuenta con guardrails formales para controlar el despliegue de sistemas de IA.
Se está acelerando la adopción de tecnología autónoma sin los controles mínimos en marcha, el mismo patrón que generó vulnerabilidades en ciclos anteriores, ahora con mayor velocidad y menor margen de error.
El Global Cybersecurity Outlook 2025 del Foro Económico Mundial encontró que casi tres de cada cuatro organizaciones reportaron un aumento en sus riesgos de ciberseguridad en 2025, antes de que la IA agente se masificara.
A esto se suma una creciente presión regulatoria en distintos mercados, donde marcos emergentes de gobernanza y cumplimiento comienzan a exigir mayor trazabilidad, control y responsabilidad en el uso de inteligencia artificial.
Las organizaciones que más avanzan no son las que adoptan más rápido, sino las que combinan innovación con gobernanza. Definen responsabilidades, establecen métricas de éxito antes de desplegar nuevos sistemas e incorporan mecanismos de supervisión desde el primer día.
En la práctica, esto empieza con acciones concretas como inventariar los sistemas de IA en uso, asignar ownership claro entre tecnología, seguridad y negocio, y establecer controles de acceso, monitoreo y auditoría desde el inicio.
El 78% de las organizaciones dice tener una estrategia documentada para gestionar riesgos de seguridad, pero menos de la mitad la aplica de forma consistente en sus operaciones diarias. Lo que el ransomware demostró, y lo que la IA agente está a punto de confirmar, es que la distancia entre tener un plan y estar preparado puede costar muy caro.
Preparación, no gasto
El problema de fondo no es presupuestario, es estructural. Las organizaciones con mayor madurez en ciberseguridad no son necesariamente las que más gastan, son las que han convertido la preparación en un hábito operativo. Tienen marcos de gobernanza que se aplican, no que se archivan. Simulan incidentes antes de que ocurran. Forman a sus equipos en riesgos específicos, no en advertencias genéricas. Requiere invertir diferente: en marcos de gobernanza que se ejecuten, en simulaciones de ataque que preparen a los equipos para decidir bajo presión y en capacitación específica sobre riesgos reales.
Esa preparación no solo reduce riesgos, también habilita a las organizaciones a escalar la adopción de IA con mayor velocidad y confianza, convirtiendo la gobernanza en un habilitador del valor de negocio.
El 54% que pagaría un rescate de ransomware no lo haría por ignorancia ni por falta de presupuesto. Lo haría porque en el momento del ataque, pagar sería la única decisión para la que estarían preparados. Lo mismo ocurrirá con la IA si no se construyen los controles ahora. Cambiar ese patrón no requiere más inversión. Requiere invertir diferente: en resiliencia, en respuesta, en gobernanza real.
En América Latina, esa transformación tiene una urgencia particular. Las organizaciones que adopten la IA con un marco sólido de gobernanza podrán capturar su valor de forma sostenible, escalar su uso con confianza y reducir riesgos operativos. Las que continúen implementándola sin controles adecuados quedarán expuestas a problemas de seguridad, cumplimiento, reputación y decisiones automatizadas que difícilmente podrán supervisar o corregir.
La pregunta ya no es quién adoptará la IA primero, sino quién será capaz de gobernarla mejor.
Por Leonardo González, Director Regional para América Latina de Ivanti
