La IA redefinirá la ciberseguridad empresarial en 2026, según estudio

Las compañías deberán prepararse para un entorno donde los deepfakes, los modelos abiertos y la automatización de ataques impulsada por IA redefinirán la gestión del riesgo. También redefinirán el fraude y la protección operativa. La ciberseguridad empresarial será clave en este nuevo panorama.

Los expertos de Kaspersky han dado a conocer sus predicciones sobre el impacto que tendrá la inteligencia artificial en la ciberseguridad empresarial de cara a 2026. El análisis revela que la rápida adopción de modelos de lenguaje, sistemas generativos y agentes autónomos marcará un antes y un después tanto en las capacidades defensivas de las organizaciones. En la misma medida marcarán el nivel de sofisticación de los ciberataques.

En un contexto donde la digitalización, el trabajo híbrido y la automatización ya forman parte del núcleo del negocio, la IA se convertirá en un factor crítico. Será esencial para la resiliencia operativa, la reputación corporativa y la continuidad del negocio.

1. Los deepfakes pasarán de ser una amenaza emergente a riesgo estructural para las empresas

El hecho de que el 70% de los latinoamericanos aún no sepan qué es un deepfake, según un estudio de Kaspersky, representa una vulnerabilidad crítica para las empresas de la región. Esta falta de conocimiento expone a colaboradores, proveedores y clientes a fraudes cada vez más creíbles, impulsados por inteligencia artificial. Esto ocurre en un entorno donde la suplantación de identidad, la manipulación de voz e imagen y la ingeniería social avanzada evolucionan más rápido que la capacidad de detección humana.

En 2026, los deepfakes estarán plenamente integrados en el panorama de riesgos corporativos. Por lo tanto, las empresas deberán tratarlos como amenazas permanentes y no como incidentes aislados. La suplantación de ejecutivos, los fraudes financieros y la manipulación de comunicaciones internas dañarán áreas críticas. Además, los ataques a finanzas, compras y dirección general convertirán el desconocimiento en un riesgo directo. Este riesgo afectará la continuidad del negocio, la reputación corporativa y la estabilidad financiera.

2. Mayor calidad y accesibilidad del fraude basado en IA

La mejora drástica del audio sintético permitirá ataques de voz altamente realistas, mientras que las herramientas de generación serán cada vez más fáciles de usar. Esto incrementará los casos de fraude por suplantación, estafas en transferencias, manipulación de proveedores y ataques al área financiera.

3. Falta de estándares sólidos para identificar contenido generado por IA

La ausencia de sistemas universales realmente fiables para etiquetar e identificar contenido generado por inteligencia artificial obligará a las empresas a reforzar sus propios mecanismos. Tendrán que fortalecer la validación, verificación y control de autenticidad, especialmente en procesos críticos como autorizaciones de pago. También en comunicaciones internas y gestión de proveedores. Esto implicará ajustes en los flujos operativos y una mayor inversión en tecnología y capacitación.

4. La IA como motor transversal en toda la cadena del ciberataque

La IA será clave para que los actores maliciosos automaticen tareas que antes requerían altos niveles de experiencia. Desde la planificación y el desarrollo de herramientas hasta la preparación de infraestructuras y la generación de comunicaciones fraudulentas. Así, la inteligencia artificial reducirá drásticamente los tiempos. Además, elevará la profesionalización de cada fase del ataque.

Como resultado, las operaciones serán más rápidas, más escalables y mucho más difíciles de rastrear. Aumentará la capacidad de los atacantes para adaptarse, evadir defensas y lanzar campañas altamente personalizadas contra organizaciones específicas. 

5. Regulación, secure by design y control corporativo del uso de la IA

Si bien la reglamentación y las políticas públicas jugarán un rol clave en la adopción responsable de la inteligencia artificial, como lo reflejan los debates legislativos en Colombia y Brasil, la gestión efectiva de los riesgos asociados a la IA no puede depender exclusivamente del marco regulatorio.

Las organizaciones deben anticiparse e integrar principios de security and privacy by design desde las etapas iniciales de diseño, desarrollo y despliegue de sistemas de IA. Esto debe realizarse a lo largo de todo su ciclo de vida. Así se previenen riesgos como la fuga de datos, manipulaciones, sesgos y usos indebidos de información sensible.

En este contexto, la decisión de permitir, limitar o restringir el uso de inteligencia artificial dentro de la organización deberá integrarse a la matriz de riesgos corporativa. También debe formalizarse mediante políticas internas claras de gobernanza de IA.

Procesos, datos y activos críticos o confidenciales no deben ser automatizados ni procesados mediante IA sin previas evaluaciones de impacto. Además, se requieren controles técnicos robustos, auditorías periódicas y mecanismos de supervisión humana. Así se garantiza un uso alineado con los principios regulatorios emergentes. Además, se asegura que la empresa mantenga el control total sobre su información, sus decisiones y sus operaciones críticas.

• El deepfake nos está ganando la partida
• Día de las Redes Sociales: cómo preservar lo humano en la era de bots y deepfakes
• Firma antivirus Kaspersky lanza su propio Sistema Operativo
• Hackers roban millones de dolares
• ¡Alerta! Nueva estafa en WhatsApp suplanta a Amazon

“Lo más disruptivo de 2026 no será únicamente la capacidad técnica de los deepfakes o de la IA, sino el impacto directo que tendrán en la toma de decisiones empresariales. Las compañías deberán operar en un entorno en el que ya no será posible asumir que la información es auténtica por defecto. Esto obliga a repensar controles, políticas internas y modelos de seguridad desde el diseño. Esta pérdida de certeza transformará la forma en que se aprueban operaciones, se gestionan riesgos y se protege la confianza dentro de la organización.

La verdadera ventaja competitiva ya no estará solo en detectar amenazas, sino en construir modelos de negocio resilientes. Aquí, el uso de la IA se alinea a la matriz de riesgo y la veracidad de la información deba ser verificada de manera sistemática”, asegura Claudio Martinelli, director general de las Américas en Kaspersky.

Para evitar este tipo de vulnerabilidades, los expertos de Kaspersky recomiendan:

• Control web para reducir riesgos desde la navegación: Las empresas deben contar con web control para regular a qué sitios y recursos pueden acceder los empleados. Esto permite bloquear páginas maliciosas, plataformas de fraude o herramientas de generación de contenido peligroso. Así se reduce el riesgo de infecciones, estafas y fugas de información desde el origen.
• Control de aplicaciones en equipos y celulares corporativos: Es clave aplicar application control en desktops y mobile device management (MDM). Esto ayuda a decidir qué aplicaciones pueden usarse dentro de la empresa. Bloqueará apps legítimas que están siendo usadas para estafas cuando no son necesarias para la operación. Así se evitan suplantaciones, fraudes y comunicaciones no autorizadas.
• Capacitación continua, el factor humano sigue siendo el mayor riesgo: Las empresas deben invertir en la educación constante de sus colaboradores, ya que el error humano sigue siendo la principal puerta de entrada de los ataques. Plataformas como Kaspersky Automated Security Awareness Platform (ASAP) de Kaspersky permiten entrenar a los empleados con cursos y simulaciones prácticas. Esto reduce el riesgo de fraudes, phishing y suplantaciones basadas en IA.