La inteligencia artificial (AI, por sus siglas en inglés) ha pasado de ser una promesa tecnológica para convertirse en un factor crítico dentro de la estrategia de ciberseguridad.
Su adopción, sin embargo, plantea una paradoja ineludible para los líderes de IT: mientras fortalece la detección y la respuesta, también amplifica la sofisticación del ataque.
En un entorno donde la inteligencia artificial generativa (GenAI, por su acrónimo en inglés), los deepfakes y la automatización maliciosa ya forman parte del día a día, la discusión dejó de ser tecnológica para volverse estratégica: ¿cómo gobernar la AI, contener su riesgo y convertirla en una ventaja competitiva sostenible?
Este fue el eje de la conversación en una reciente mesa redonda del IT Masters Club, patrocinada por Zscaler, compañía especializada en seguridad en la nube y arquitecturas Zero Trust, que reunió a CISO y líderes tecnológicos de distintos sectores para analizar el impacto real de la AI en la ciberseguridad empresarial.
Los datos de contexto no son menores. Un sondeo IT Master Mag mostró que la confianza en la capacidad de la AI para responder de manera autónoma a un incidente de ciberseguridad sigue siendo moderada: solo 26% de los líderes tecnológicos afirma tener plena confianza en estas herramientas.
Esta cautela se reflejó de manera consistente a lo largo del foro: si bien la AI amplifica la capacidad de detección y respuesta, su uso sin controles adecuados puede incrementar la superficie de riesgo.
Índice de temas
Fuga de información y pérdida de control, principales riesgos
Al abordar la pregunta sobre el mayor riesgo percibido al integrar AI en la operación, la mayoría de los participantes coincidió en un punto central: la filtración de información confidencial. En sectores altamente regulados, como el financiero y el asegurador, esta preocupación se intensifica.
El CISO global de BNP Paribas Cardif, Francisco Salvador García Dayo, subrayó que el uso de datos sensibles —especialmente información de salud y medios de pago— obliga a extremar precauciones, aun cuando los modelos de AI se ejecuten de forma interna.
El riesgo de exfiltración, advirtió, no solo implica sanciones regulatorias, sino un impacto reputacional difícil de revertir.
Desde la banca de inversión, la directora ejecutiva de Canales digitales de Banco Actinver, Lourdes Arana Navarro, señaló que uno de los mayores desafíos es el uso no controlado de herramientas de GenAI por parte de los usuarios.
La facilidad de acceso a plataformas abiertas lleva a que empleados utilicen estas tecnologías fuera de entornos corporativos, exponiendo información crítica. La solución, coincidió, no pasa únicamente por prohibir, sino por incentivar su uso dentro de marcos institucionales claros.
En el ámbito gubernamental, el jefe de la unidad de Tecnologías de la Información y Comunicaciones, Carlos Rincón Partida, del Instituto de Salud del Estado de México, reconoció que el rezago tecnológico convive con riesgos emergentes igualmente relevantes.
El uso de herramientas gratuitas sin filtros, incluso para tareas sensibles como la elaboración de iniciativas normativas, abre la puerta a sesgos, errores y decisiones mal informadas. La necesidad de visibilidad y detección temprana del uso de AI se vuelve, en este contexto, prioritaria.
Otros participantes enfatizaron la tensión permanente entre control y usabilidad. El jefe de Servicios de Tecnología de la IT del Fondo de la Vivienda del Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado (Fovissste), Alejandro Martínez Flores, apuntó que muchas herramientas de uso cotidiano —como aplicaciones de mensajería— representan riesgos significativos, pero siguen siendo ampliamente adoptadas por su practicidad.
El reto para las áreas de IT y seguridad es evitar convertirse en un obstáculo operativo y, en cambio, ofrecer alternativas seguras que los usuarios estén dispuestos a adoptar.
De la restricción a la gobernanza activa
La conversación avanzó hacia las estrategias concretas de mitigación. Lejos de enfoques puramente restrictivos, varios líderes coincidieron en la necesidad de esquemas de gobernanza más sofisticados, basados en segmentación, monitoreo continuo y educación.
El CISO de Tiendas Tres B, Mario Fernando Díaz Gómez, compartió un modelo de adopción escalonada, con distintos niveles de acceso a herramientas de AI según el perfil del usuario.
Bajo este esquema, la mayoría opera en entornos altamente contenidos, mientras que un grupo reducido cuenta con capacidades ampliadas bajo supervisión estricta, lo que ha permitido reducir fugas sin frenar la innovación.
Desde la perspectiva del patrocinador, el director para América Latina de Zscaler, Mario Mora, señaló: “La inteligencia artificial es un habilitador poderoso, pero sin visibilidad y control puede convertirse en un factor de riesgo. El reto para las organizaciones no es adoptar AI más rápido, sino integrarla dentro de un modelo de Zero Trust que permita proteger datos, usuarios y aplicaciones sin sacrificar agilidad”.
La capacitación emergió como un elemento transversal. Héctor Rodríguez López, de Compañía Mexicana de Traslado de Valores, destacó la importancia de campañas de concientización orientadas a riesgos específicos, como los deepfakes, alineadas con marcos normativos emergentes en materia de AI.
En una línea similar, del Fovissste, Edgar Espinosa Hernández, enfatizó que la revisión de logs y la observabilidad son indispensables para entender cómo se está utilizando realmente la AI dentro de la organización. En organizaciones globales, el desafío se amplifica.
Sergio Torrontegui, BISO para las Américas de Unilever de México, señaló que la velocidad de adopción tecnológica suele superar la capacidad de las políticas para mantenerse actualizadas. Asumir que la transformación digital es inherentemente asimétrica obliga a priorizar visibilidad sobre control absoluto.
¿Dónde aporta más valor la AI en ciberseguridad?
Cuando se analizó el rol más efectivo de la AI frente a un entorno de amenazas dinámico, la mayoría coincidió en que su mayor contribución se encuentra en la detección temprana y la automatización de tareas rutinarias.
La reducción de falsos positivos, el análisis de vulnerabilidades y la priorización basada en contexto fueron citados como casos de uso donde la AI libera tiempo de los equipos para enfocarse en decisiones de mayor valor.
En sectores como el retail y el financiero, la escasez de talento especializado hace que incluso mejoras marginales —del orden de 5 o 10%— tengan un impacto significativo.
El CISO de Coppel, José Felipe García Vivanco, destacó que el verdadero reto no es tecnológico, sino de negocio: identificar casos de uso medibles que justifiquen la inversión ante la alta dirección.
Otros participantes, como el CISO de Gentera, Israel Gutiérrez, advirtieron sobre los límites actuales de la tecnología. La AI es especialmente eficaz en tareas repetitivas de síntesis y análisis, pero su uso en escenarios proactivos o de día cero sigue requiriendo cautela, dada la posibilidad de sesgos o alucinaciones.
Preparación continua en un entorno de cambio permanente
Finalmente, al evaluar el nivel de preparación frente a nuevas amenazas impulsadas por AI, emergió un consenso claro: no existen planes cerrados. La ciberseguridad es un proceso vivo.
Los roadmaps se revisan constantemente y deben adaptarse a eventos disruptivos inesperados. El objetivo ya no es evitar a toda costa un incidente, sino desarrollar la resiliencia organizacional.
Desde el sector público, se reconocieron limitaciones presupuestales y estructurales, pero también la importancia del intercambio de experiencias entre organizaciones y proveedores como un mecanismo para elevar el nivel colectivo de madurez.
En este sentido, espacios como IT Masters Club se consolidan como foros donde la conversación trasciende la tecnología para centrarse en decisiones estratégicas.
Visión a futuro: del control al liderazgo estratégico
La sesión dejó una conclusión contundente: la AI no sustituye al criterio humano, pero redefine el rol del liderazgo en ciberseguridad.
El CISO deja de ser un operador de herramientas para convertirse en un actor clave en la estrategia de negocio, responsable de equilibrar innovación, riesgo y cumplimiento.
Modelos como Zero Trust, combinados con capacidades avanzadas de AI, ofrecen un marco para avanzar en esa dirección, siempre que estén acompañados de gobernanza, visibilidad y una cultura organizacional consciente del riesgo.
En un entorno donde la tecnología avanza más rápido que las políticas, el verdadero diferenciador no será quién adopte primero la AI, sino quién logre integrarla de manera responsable, medible y alineada a los objetivos del negocio. Ese fue, en esencia, el consenso que marcó esta edición del IT Masters Club.
Participantes
Lourdes Arana Navarro, directora ejecutiva de Canales Digitales de Banco Actinver; Mario Fernando Díaz Gómez, CISO de Tiendas Tres B; Edgar Javier Espinosa Hernández, Seguridad de la Información del Fondo de la Vivienda del Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado (Fovissste); Francisco Salvador García Dayo, oficial de Seguridad global (CISO) de Bnp Paribas Cardif; José Felipe García Vivanco, CISO de Coppel; Israel Gutiérrez, CISO de Gentera; Alejandro Martínez Flores, jefe de Servicios de Tecnología de la IT del Fondo de la Vivienda del Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado (Fovissste); Alfredo Martínez Nájera, director de Sistemas de Ediciones Larousse; Juan Edgar Martínez Requenes, Socio de Negocios de IT de AstraZeneca; José Luis Núñez Guzmán, director de Sistemas y Operaciones de Fincomún, Servicios Financieros Comunitarios; Carlos Rincón Partida, jefe de la unidad de Tecnologías de la Información y Comunicaciones del Instituto de Salud del Estado de México (ISEM); Héctor Rodríguez López, CISO de Compañía Mexicana de Traslado de Valores; Raymundo Adrian Sanchez Becerril, líder de Ciberseguridad de Secretaría de Infraestructura, Comunicaciones y Transportes; Sergio Torrontegui, BISO Americas de Unilever de México, y Claudio Augusto Vivian Gutiérrez, CIO / director general adjunto de Tecnología de Bolsa Mexicana de Valores.
