En un mundo cada vez más digitalizado, las organizaciones se enfrentan a una carrera constante por mantener el ritmo de los rápidos avances tecnológicos. Según un nuevo informe de Tenable, la empresa de Exposure Management, la evolución de los sistemas híbridos, multinube y de inteligencia artificial (IA) está superando las estrategias de seguridad actuales, creando nuevas capas de complejidad y riesgo.
El Informe sobre el estado de la seguridad en la nube y la IA 2025 revela que el 34% de las organizaciones con cargas de trabajo de IA ya han sufrido violaciones relacionadas con esta tecnología. Además, el 14% admite no estar seguro si han experimentado incidentes similares. Estos datos ponen de manifiesto la urgencia de que las empresas evolucionen sus enfoques de seguridad para mantenerse a la vanguardia de los desafíos emergentes.
Entornos híbridos y multinube dominan, pero la seguridad no sigue el ritmo
Según el estudio, el 82% de las organizaciones ahora operan en entornos híbridos que abarcan tanto infraestructuras locales como en la nube. Además, el 63% utiliza más de un proveedor de servicios en la nube. Paralelamente, el 55% de las empresas ya emplea la IA en producción.
Sin embargo, las prácticas de protección no van a la par con esta rápida adopción tecnológica. Solo el 26% realiza pruebas específicas de seguridad en IA, el 22% clasifica y cifra los datos de IA, y apenas el 15% ha implementado prácticas de MLOps (operaciones de aprendizaje automático) con un enfoque en seguridad.
La identidad, el eslabón más débil de la seguridad en la nube
El informe señala que la identidad emergió como la principal vulnerabilidad en la seguridad de la nube. El 59% de las organizaciones detectaron identidades desprotegidas y permisos peligrosos como el principal riesgo para su infraestructura en la nube. Además, tres de las cuatro principales causas de las violaciones sufridas estaban relacionadas con la identidad: exceso de permisos (31%), controles de acceso inconsistentes (27%) y mala higiene de identidad (27%).
A pesar de reconocer el problema, las empresas enfrentan desafíos estructurales para abordarlo. El 28% reporta una desalineación entre los equipos de nube y de gestión de identidades y accesos (IAM), mientras que el 21% tiene dificultades para aplicar el principio de privilegios mínimos. La prioridad más citada para los próximos 12 meses es justamente implementar este control dentro de una estrategia Zero Trust.
Desalineación entre percepción de riesgo y realidad
Sorprendentemente, los incidentes de IA en la práctica se deben a amenazas tradicionales, como vulnerabilidades de software (21%), fallas de modelos (19%), amenazas internas (18%) y configuraciones incorrectas en la nube (16%). Sin embargo, los equipos de seguridad se enfocan más en riesgos considerados «nuevos», como la manipulación de modelos (18%) y el uso de modelos no autorizados (15%), lo que demuestra una desalineación entre la percepción de riesgo y la realidad.
Esta brecha de conocimiento impide el alineamiento estratégico, ya que el 34% de los encuestados señala la falta de conocimiento especializado como el principal desafío. Además, el 31% afirma que su liderazgo ejecutivo no tiene suficientes conocimientos sobre los riesgos de seguridad en la nube.
Hacia una mayor madurez en seguridad de nube e IA
Para fortalecer los programas de seguridad en la nube y la IA, el estudio recomienda que las organizaciones:
- Prioricen la visibilidad unificada y la aplicación consistente de políticas en entornos híbridos y multinube.
- Inviertan en gobernanza de identidad, incluyendo controles para identidades con privilegios mínimos y no humanas (IA).
- Amplíen los KPIs para reflejar la prevención y la resiliencia, no solo la respuesta a incidentes.
- Alineen el entendimiento del liderazgo con las realidades operacionales para apoyar una planificación y asignación de recursos más inteligentes.
- Vayan más allá del cumplimiento como el límite máximo de la seguridad de IA, usándola como punto de partida para salvaguardas técnicas más profundas.
En palabras de Jim Reavis, cofundador y CEO de la Alianza para la Seguridad en la Nube: «Estamos en medio de la evolución más rápida en la historia de la computación en la nube. Desafortunadamente, como dejó claro nuestra investigación, muchas estrategias de seguridad ya están totalmente rezagadas. El riesgo de permanecer estáticos crece más cada día. Las organizaciones necesitan replantear su abordaje y generar defensas adaptativas y preparadas para el futuro que sean capaces de evolucionar tan rápido como la tecnología que protegen».
La madurez de la seguridad no vendrá solo de las herramientas, sino de un esfuerzo coordinado entre equipos, liderazgo y estrategia. Las organizaciones exitosas serán aquellas que construyan estructuras para entender, priorizar y reducir riesgos antes de que ocurran los incidentes.
