• El 82% de las personas ya usa IA, pero solo el 57% se siente cómodo con ella; la seguridad y privacidad son sus principales preocupaciones.
Bogotá, xx de julio de 2025. En la carrera por la adopción acelerada de la inteligencia artificial (IA), es fundamental reconocer que su desarrollo no puede abordarse sin considerar la ciberseguridad como un componente estructural. Desde una perspectiva técnica, es esencial definir e implementar una arquitectura de seguridad sólida como parte integral del entorno de control de la IA.
Confianza, vulnerabilidad y superficie de ataque
Según el estudio de EY Responsible AI Pulse Survey, el 75% de los CEO cree que están alineados con las expectativas de los consumidores en cuanto al uso ético de la IA, pero solo el 35% de los consumidores está de acuerdo. Por otro lado, el reporte AI SentimentIndex, también de EY, refuerza esta discrepancia: aunque el 82% de las personas ya utiliza IA, solo el 57% se siente cómodo con ella. Las principales preocupaciones de los usuarios respecto a la IA son la seguridad de los sistemas (64%) y la privacidad de los datos (61%).
El mismo estudio revela que la adopción de IA está superando ampliamente la capacidad de las organizaciones para gobernarla adecuadamente. Solo el 20% de los ejecutivos considera que su organización cuenta con marcos sólidos de gobernanza de IA, y apenas el 9% tiene controles de ciberseguridad específicos para modelos de IA.
Estas cifras reflejan una verdad que en ciberseguridad conocemos desde hace tiempo: la confianza es tan fuerte como el eslabón técnico más débil. Cuando se construyen sistemas de IA sin integrar protección de datos, controles de acceso, trazabilidad y auditoría desde el diseño, las organizaciones se exponen a fallas y vulnerabilidades que pueden afectar negativamente la confianza del público.
IA sin Ciberseguridad: una paradoja técnica
Además, el estudio de EY sobre “Prioridades de las Juntas Directivas 2025 en Colombia” muestra que la innovación y las tecnologías emergentes ocupan la prioridad número 2 para las juntas este año, mientras que la ciberseguridad y la privacidad de datos están en la posición número 8. Aún más preocupante es que el 95% de las juntas prioriza el uso de IA para capturar oportunidades de mercado y mejorar la eficiencia interna, por encima de la mitigación de riesgos.
Desde una perspectiva técnica, esta desconexión es crítica. Cada nuevo modelo de IA amplía la superficie de ataque: APIs expuestas, datos sensibles mal gobernados, integraciones débiles y una presión constante por conectar estos sistemas a entornos híbridos o multicloud. ¿Qué tan preparados están estos entornos para resistir una amenaza dirigida o una fuga de datos?
Diseñar IA segura desde el núcleo
La GenAI y los agentes de IA que interactúan con múltiples aplicaciones incrementan exponencialmente la complejidad y el riesgo. La seguridad no puede añadirse al final; debe integrarse desde el entrenamiento, pasando por la validación de datos, los controles de acceso, la gestión de identidades y el monitoreo post-despliegue. Cada etapa del ciclo de vida de la IA debe contar con un mapa de riesgos, mecanismos de defensa activa y capacidad de respuesta ante incidentes.
Supervisión débil, riesgo alto
El estudio “Prioridades de las Juntas Directivas 2025 en Colombia” señala que:
• El 53% de las juntas considera que dedica poco tiempo a la ciberseguridad.
• El 38% dice recibir menos información de la necesaria.
• Solo el 13% cree que el CISO ganará protagonismo este año en las reuniones de las juntas.
Esto deja claro que la supervisión aún no alcanza la madurez necesaria para anticipar vulnerabilidades ni acompañar el ritmo del despliegue tecnológico. Desde un enfoque técnico, esto se traduce en implementaciones inseguras, falta de monitoreo y mayor exposición a ataques avanzados.
IA segura o IA fallida: recomendaciones clave desde la ciberseguridad
Como profesionales en ciberseguridad, debemos ser enfáticos: la IA no es segura por defecto, ni responsable sin un diseño seguro. Cada avance tecnológico que no integre principios de seguridad es una oportunidad perdida… o una amenaza programada.
Para cerrar esta brecha crítica, proponemos cinco recomendaciones técnicas esenciales:
1. Seguridad desde el diseño: integrar controles de seguridad desde la arquitectura inicial del modelo hasta su despliegue.
2. Gobernanza técnica clara: definir responsabilidades sobre los riesgos de IA en los equipos de tecnología y seguridad.
3. Controles específicos para IA: implementar mecanismos de autenticación, monitoreo y respuesta ajustados al comportamiento de modelos de IA.
4. Validación continua de datos: asegurar la calidad, legalidad y trazabilidad de los datos utilizados en entrenamiento y operación.
5. Simulación de escenarios adversos:realizar pruebas regulares de estrés y simulacros de ciberataques dirigidos a modelos de IA.
“Sin confianza, no hay innovación sostenible. La inteligencia artificial tiene el poder de transformar industrias, pero solo si se construye sobre una base de seguridad robusta. No se trata únicamente de proteger datos, sino de preservar la confianza del consumidor, la continuidad del negocio y la integridad del ecosistema digital. En un entorno donde cada avance tecnológico puede ser una oportunidad o una amenaza latente, la ciberseguridad no puede ser una opción tardía: debe ser el punto de partida”, afirmó, GustavoDíaz, Socio Líder Servicios Financieros, EY Colombia y Líder en Ciberseguridad para el sector financiero, EY Latinoamérica.
EY | Building a better working world
EY está construyendo un mejor mundo de negocios al crear nuevo valor para los clientes, las personas, la sociedad y el planeta, mientras genera confianza en los mercados de capital.
Impulsados por datos, IA y tecnología avanzada, los equipos de EY ayudan a los clientes a dar forma al futuro con confianza y desarrollar respuestas para los problemas más urgentes de hoy y mañana.
Los equipos de EY trabajan en un espectro completo de servicios en Auditoría y Finanzas, Consultoría, Fiscal-Legal, Estrategia y Transacciones. Impulsados por conocimientos sectoriales, una red globalmente conectada y multidisciplinaria, y socios de ecosistemas diversos, brindamos soluciones en más de 150 países y territorios.
All in to shape the future with confidence.
EY se refiere a la organización global y podría referirse a una o más de las firmas integrantes de Ernst & Young Global Limited, cada una de las cuales es una entidad legal independiente. Ernst & Young Global Limited, una compañía de responsabilidad limitada constituida conforme a las leyes del Reino Unido, no proporciona servicios a clientes. Para conocer la información sobre cómo EY recaba y utiliza los datos personales y una descripción de los derechos que tienen las personas conforme a la ley de protección de datos, ingrese a ey.com/privacy. Las firmas miembro de EY no ofrecen servicios legales en los casos en que las leyes locales lo prohíban.