Tres informes publicados entre finales de 2025 y principios de 2026 ofrecen perspectivas distintas: la global, la normativa y la española. Todos ellos coinciden en una misma conclusión que ya no admite matices: la inteligencia artificial ha cambiado las reglas del juego en ciberseguridad, y los atacantes están sacando más provecho de ella que los defensores. Por desgracia, no es una hipótesis, sino un dato bien documentado.
Lo dice el World Economic Forum con su encuesta a 804 profesionales de 92 países. A su vez lo confirma Deloitte con más de cien organizaciones españolas de primer nivel. Por último, también lo enmarca el ISMS Forum con un análisis detallado de la regulación que intenta poner orden en todo esto. Cuando tres fuentes independientes convergen en el mismo diagnóstico, merece la pena preguntarse qué implica eso para quien tiene la responsabilidad de proteger una organización.
El consenso que ya no se puede ignorar
Empecemos por los números, porque son elocuentes. El 94% de los profesionales encuestados por el WEF identifica la inteligencia artificial como el factor de cambio más significativo en ciberseguridad. En España, Deloitte constata que por primera vez, la inteligencia artificial es el principal reto percibido por los CISOs (77%), por delante de la gestión de terceros y del cumplimiento regulatorio. Y el 87% de los encuestados a nivel global señala las vulnerabilidades asociadas a la inteligencia artificial como el riesgo de mayor crecimiento.
No estamos hablando de una tendencia emergente sino de un consenso masivo entre quienes se dedican profesionalmente a esto. La inteligencia artificial no es una amenaza más que añadir a la lista. Es un multiplicador que amplifica todo lo que ya existía: el phishing se vuelve más creíble, el fraude más sofisticado, el ransomware más rápido, y la cadena de suministro más opaca.
Lo que resulta particularmente incómodo es la asimetría. Los atacantes adoptan inteligencia artificial con una agilidad que las organizaciones defensoras no pueden igualar. No tienen comités de aprobación, ni evaluaciones de impacto, ni presupuestos que justificar ante un consejo de administración. La ventaja ofensiva se está ampliando, y el primer caso confirmado de inteligencia artificial agéntica que logró acceso a objetivos de alto valor, divulgado por Anthropic en noviembre de 2025, convierte este punto en algo tangible.
La fuerza de la regulación para un problema que no resuelve
El segundo hilo que conecta los tres informes es la regulación. El Reglamento de Inteligencia Artificial europeo (RIA), la primera legislación exhaustiva del mundo sobre la materia, ya está en vigor con aplicación escalonada hasta 2027. NIS2 y DORA elevan las exigencias de ciberseguridad a niveles sin precedentes. Y todo esto converge al mismo tiempo, creando una presión regulatoria que obliga a las organizaciones a subir la ciberseguridad al comité de dirección.
El informe de ISMS Forum es especialmente revelador aquí. La gobernanza de la inteligencia artificial ha pasado de ser una recomendación ética a una obligación legal, con sanciones de hasta 35 millones de euros o el 7% de la facturación global. Esto no es un horizonte lejano: es el marco jurídico que ya aplica. Y exige un ecosistema de roles coordinados (CISO, CAIO, CDO, DPO, equipos legales) que la mayoría de organizaciones todavía no tiene desplegado.
La regulación cumple una función esencial: fuerza la elevación del debate. El dato de Deloitte es claro: el 75% de las organizaciones españolas identifica el patrocinio de la Dirección como la principal palanca para mejorar su postura de ciberseguridad. La regulación es el catalizador más eficaz para conseguir ese patrocinio. Pero tiene un límite evidente: no puede cerrar la brecha de velocidad entre ataque y defensa. Los plazos regulatorios se miden en años; los ciclos de innovación ofensiva, en semanas.
El verdadero problema: la brecha entre ambición y ejecución
Aquí está lo que ninguno de los tres informes dice abiertamente, pero los tres dejan entrever. En 2026, la ciberseguridad ya no tiene un problema de reconocimiento. Los CEOs la mencionan. Los consejos de administración la incluyen en sus agendas. Los presupuestos crecen. Pero entre el discurso estratégico y la capacidad de ejecución se abre un abismo que pocos quieren cuantificar.
El WEF documenta que el 85% de las organizaciones insuficientemente resilientes presentan carencias críticas de talento. Solo el 27% simula incidentes cibernéticos con sus proveedores. Solo el 33% ha mapeado su cadena de suministro. Mientras tanto, el 77% declara haber adoptado inteligencia artificial para ciberseguridad, pero más de la mitad reconoce que le faltan las competencias para hacerlo bien.
Deloitte lo traduce al contexto español: la escasez de profesionales especializados empuja a modelos híbridos donde los terceros ganan peso, pero la externalización total es un riesgo y la autosuficiencia, una quimera. El CISO evoluciona de técnico a estratégico, pero persiste una brecha estructural entre negocio y seguridad que convierte muchas buenas intenciones en ejercicios de cumplimiento formal.
Es precisamente en este punto donde está la trampa. La regulación obliga a gobernar la inteligencia artificial con rigor mientras que la inteligencia artificial obliga a responder con velocidad. El problema es que la capacidad real de las organizaciones no da para ambas cosas al mismo tiempo y ese es el dilema que define 2026.
Qué se lee entre líneas de los 3 informes
Hay tres silencios reveladores en esta convergencia:
- Inequidad cibernética. El WEF lo documenta con datos demoledores: las organizaciones pequeñas tienen el doble de probabilidad de experimentar resiliencia insuficiente. La sociedad civil alcanza un 37% de resiliencia insuficiente frente al 11% del sector privado. Pero nadie dice lo obvio: la regulación diseñada para los grandes puede asfixiar a los pequeños, que son exactamente los más vulnerables y los que forman la mayor parte del tejido empresarial. El 99,8 % de las empresas en España son pymes (empresas con menos de 250 asalariados) y generan aproximadamente el 65 % del PIB empresarial del país,
- Dependencia tecnológica. El 77% de las organizaciones ya usa inteligencia artificial para ciberseguridad, pero esa inteligencia artificial viene de un puñado de proveedores. Las disrupciones de AWS, Azure y Cloudflare en 2025 demostraron lo que ocurre cuando el ecosistema depende de unos pocos. Gobernar la inteligencia artificial sin gobernar la dependencia de quien la proporciona es una gobernanza incompleta.
- Nadie ha resuelto el problema de la velocidad. La inteligencia artificial agéntica opera en tiempo real. Los marcos de gobernanza operan en tiempo humano. Los ciclos regulatorios operan en tiempo institucional. Esas tres velocidades son incompatibles, y el punto de fractura no está en la tecnología: está en la capacidad de decisión de las personas que deben gestionarla.
Mirando el cercano futuro
Si estos tres informes se leen como un sistema, el mensaje es claro. En los próximos cinco años veremos tres cosas:
- La inteligencia artificial se normalizará como componente de todo ciberataque relevante. No como herramienta auxiliar, sino como infraestructura operativa. El concepto de Agentic SOC que describe Deloitte (centros de operaciones de seguridad con agentes autónomos) será la respuesta defensiva natural, pero llegará tarde a la mayoría de organizaciones.
- La regulación creará un efecto de selección. Las organizaciones que la usen como palanca para elevar la ciberseguridad al nivel estratégico ganarán resiliencia real. Las que la traten como un ejercicio de cumplimiento acumularán documentación impecable y vulnerabilidades intactas.
- El talento será el diferenciador definitivo. No la tecnología, no los presupuestos, no los marcos normativos. La capacidad de atraer, formar y retener profesionales que entiendan simultáneamente la tecnología, el negocio y la regulación determinará quién sobrevive a esta transición y quién la sufre.
La realidad presente
2026 no es el año en que la inteligencia artificial se convierte en un problema de ciberseguridad. Eso ya ocurrió. 2026 es el año en que dejamos de poder fingir que no ha ocurrido. Los datos están ahí: tres informes, tres perspectivas, una misma conclusión.
El adversario no espera a que las organizaciones terminen de diseñar su marco de gobernanza. No espera a que los CISOs consigan presupuesto. No espera a que la regulación se aplique completamente. Y la distancia entre la velocidad del ataque y la velocidad de la respuesta es el verdadero indicador de riesgo que ningún cuadro de mando recoge todavía.
La pregunta que debería estar sobre la mesa de todo comité de dirección no es si la inteligencia artificial cambia las reglas de la ciberseguridad. La pregunta es cuánto tiempo más pueden permitirse actuar como si las reglas antiguas siguieran vigentes.
Fuentes:
- World Economic Forum / Accenture. Global Cybersecurity Outlook 2026. Enero de 2026. 64 páginas. Encuesta a 804 participantes de 92 países.
- ISMS Forum / Cisco. Estudio sobre Gobierno de la IA. Noviembre de 2025. 83 páginas.
- Deloitte Cyber Strategy. El estado de la ciberseguridad en España 2026. 7.ª edición. 56 páginas. Muestra de más de 100 organizaciones españolas.
- Anthropic. [Disrupting the first reported AI-orchestrated cyber espionage campaign]. Noviembre de 2025.
- Fortune. [Anthropic says it ‘disrupted’ what it calls ‘the first documented case of a large-scale AI cyberattack‘]. Noviembre de 2025.
- INCIBE-CERT. [Claude from Anthropic stops the first agentic cyberattack]. 2025.
- IncidentHub. [Major Cloud Outages of 2025]. 2025.
- Cloudflare. [Cloudflare outage on November 18, 2025 — Post-mortem]. Noviembre de 2025.
Descubre más desde El Sentido de la Seguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.