IA y ciberseguridad: gobernanza, riesgo y oportunidad en la nueva frontera digital

La convergencia de la inteligencia artificial y la ciberseguridad representa uno de los desafíos estratégicos más profundos a los que se enfrentan las organizaciones modernas. Es una frontera de inmensa oportunidad, que promete una eficiencia y una transformación sin precedentes, pero también está plagada de riesgos complejos que ponen a prueba los cimientos mismos de la gobernanza corporativa y la custodia de los datos. Este artículo sintetiza las principales conclusiones de una mesa redonda de alto nivel, patrocinada por myCloudDoor, que reunió a líderes de tecnología y seguridad de los sectores más críticos de España (incluidos el financiero, sanitario, legal, energético y educativo) para diseccionar esta realidad de doble filo. Su debate revela un claro consenso: navegar por este nuevo panorama requiere una estrategia deliberada y polifacética que sitúe la gobernanza, los datos y los factores humanos en su núcleo.

Para diseccionar esta realidad de doble filo, myCloudDoor reunió en una mesa redonda de alto nivel a líderes de tecnología y seguridad de los sectores más críticos de España. En el debate participaron Raúl Lopez, CIO del Hospital Universitario Gregorio Marañón; Boris Delgado Riss, Director de Industria y TIC de AENOR, Sara Gómez, Head and Data & Analytics Chapter Lead de Roche, Miguel Monedero, Director Global de Ciberseguridad de myCloudDoor, Daniel Andrés, Director de Data e IA de myCloudDoor, Francisco Lázaro, Gerente del Área de Ciberseguridad y Privacidad de Renfe, Manuel Patiño, Chief Information Officer de Universidad Europea, Fanny Pérez Santiago, directora corporativa de ciberseguridad de Codere,  Jorge Pereda, Head of IT Operations & Cybersecurity de MN8 Energy, Sara Molina, Socia responsable del área de Legaltech Innovación y Transformación de la función legal de Pérez-Llorca, y Raúl Rubio, socio de Propiedad Intelectual, Industrial y Tecnología de Pérez-Llorca. Participó como moderador Gustavo de Porcellinis director de MuyComputerPro.com.

El primer y más fundamental desafío que emerge en la adopción de la inteligencia artificial no es tecnológico, sino organizativo. Antes de que un solo algoritmo se ponga en producción, las organizaciones deben construir un marco de gobernanza robusto que defina las reglas del juego. El debate reveló dos enfoques distintos, aunque complementarios, que reflejan el ADN y la cultura de cada entidad, pero que convergen en una solución estructural común. Por un lado, se encuentra el modelo de gobernanza que nace desde la cúspide directiva, impulsado por principios y cumplimiento. AENOR ejemplifica este enfoque estructurado. Como explica Boris Delgado Riss, director de industria y TIC, la estrategia de IA no surgió de los departamentos técnicos, sino que fue una decisión de alto nivel. «No ha sido ninguna iniciativa desde TI ni desde DATA, ha sido una iniciativa desde el Consejo de Administración que había que poner los raíles a través de una política con una serie de pilares estratégicos», afirmó durante el debate. Este modelo, que curiosamente nace del área de compliance, establece un mandato claro y unos principios rectores basados en la normativa europea antes de que comience cualquier desarrollo significativo, garantizando que la innovación se produzca dentro de un perímetro seguro y predefinido.

En el polo opuesto se sitúa un modelo más ágil y colaborativo, impulsado por el valor de negocio. Codere representa este marco. Fanny Pérez Santiago, directora corporativa de ciberseguridad, detalló cómo diversas áreas de la compañía, desde el negocio hasta recursos humanos, comenzaron a proponer casos de uso. Esta efervescencia de iniciativas llevó a la conclusión de que «tenemos que abordar esto como un proyecto, proceso y ya tenemos un gobierno». En este caso, la gobernanza no es un requisito previo impuesto desde arriba, sino una necesidad que emerge orgánicamente para gestionar una cartera de proyectos, cada uno de los cuales debe justificarse con un caso de negocio claro y un retorno de la inversión (ROI) tangible. A pesar de sus diferentes puntos de partida, ambos caminos conducen a la misma solución estructural: el comité multifuncional como nexo de decisión. Como comentó Boris, AENOR creó una «unidad de inteligencia artificial donde es colegiada, que es un comité de decisión donde está SISO, CIO, CT, parte jurídica y negocio». De forma similar, Codere subraya que las iniciativas se generan   «de una manera colaborativa con DPO, con las diferentes áreas de la compañía, incluso negocio».

El dato como epicentro: el combustible crítico y el talón de Aquiles estratégico

Si la gobernanza establece el marco, los datos son el combustible que impulsa el motor de la inteligencia artificial. El debate dejó claro que el mayor obstáculo y, a la vez, el mayor habilitador para la IA no es el algoritmo, sino la calidad, estructura y gestión de los datos que lo alimentan. Esta cuestión trasciende la mera técnica para convertirse en un desafío de proceso de negocio fundamental, un «talón de Aquiles» estratégico para muchas organizaciones. La dificultad para gestionar la información es un reto casi universal. Francisco Lázaro, gerente del área de ciberseguridad y privacidad de Renfe, lo expresó sin rodeos al señalar que el proyecto que a todos les da más pereza es «el de la clasificación de la información», argumentando que la complejidad en la protección de datos se origina en «la falta de clasificación de forma correcta y para poder aportar valor a tecnologías como la Inteligencia Artificial».

Su perspectiva era compartida por Manuel Patiño, Chief Information Officer de la Universidad Europea, quien describe la categorización de los datos como «un proyecto que dura toda la vida», reconociendo su naturaleza continua y ardua. Este obstáculo es tan significativo que se convierte en un freno para la innovación. Jorge Pereda, Head of IT Operations & Cybersecurity de MN8 Energy, admite que a su compañía la adopción de IA generativa suponía una esfuerzo muy grande precisamente por el «stopper de los datos», su correcta clasificación y gestión.  La clave para superar este estancamiento reside en un cambio de paradigma fundamental sobre la naturaleza del problema. Miguel Monedero, director global de ciberseguridad de myCloudDoor, ofreció una visión que redefine el enfoque: «Nosotros tenemos muchos proyectos de clasificación y etiquetado, siempre se lo decimos al cliente ‘esto es un proyecto de negocio y comunicación interna’ la organización va a tener que comportarse de otra forma, esto es un proceso vivo».

Esta afirmación expone por qué los proyectos de clasificación de datos fracasan tan a menudo: están fundamentalmente mal diagnosticados. Las empresas los tratan como una tarea finita, liderada por el departamento de TI, para «limpiar el desorden». La realidad es que la gestión de datos es una función de negocio continua, como las finanzas o los recursos humanos. Requiere una propiedad permanente (la «oficina del dato» que Francisco Lázaro señaló que a menudo falta ), un esfuerzo constante y un cambio cultural en el que toda la organización comprenda su papel en la creación, clasificación y mantenimiento de la información. La implicación es clara: las empresas que esperan una tecnología mágica para resolver su problema de datos aplicándola a posteriori a sus bases de datos no estructuradas «la tecnología intenta ayudar, pero en este caso aún está algo verde y tiene limitaciones «, advierte Monedero seguirán atascadas. La solución es organizativa y cultural, no meramente tecnológica.   

Esta centralidad del dato se magnifica en entornos altamente regulados. Para Sara Gómez, de Roche, la conexión es directa: «el tener una estrategia de AI ha traído una estrategia de datos». Esto implica la necesidad de revisar constantemente las plataformas y la seguridad, ya que sus activos de información son explicó que la adopción de una estrategia de IA les obligó a revisar su estrategia de datos, ya que sus activos de información son «muy golosos» (muy atractivos para los atacantes) y tienen una «responsabilidad de que esos datos se usen de manera correcta». En el sector sanitario, la complejidad es aún mayor. Raúl Lopez, ponente del  Hospital Universitario Gregorio Marañón señaló que en entornos médicos y de técnicos sanitarios especializados, incluso con el procesamiento del lenguaje natural, «muchos campos tienen terminología propia», lo que convierte la estructuración y clasificación de la historia clínica en un obstáculo monumental. En última instancia, como resume Francisco Lázaro, de Renfe: «Se nos olvida muchas veces, que realmente lo que vale es el dato, los sistemas son algo añadido».

La IA en acción: de la eficiencia operativa a la transformación del negocio

Una vez establecidos los cimientos de la gobernanza y la gestión de datos, la inteligencia artificial demuestra una doble capacidad: por un lado, ofrece ganancias de eficiencia inmediatas y cuantificables; por otro, actúa como un motor para redefinir modelos de negocio estratégicos a largo plazo. Los casos de uso presentados durante la mesa redonda ilustran perfectamente esta dualidad. Para generar impulso interno y asegurar el respaldo ejecutivo, es crucial comenzar con proyectos que ofrezcan un retorno de la inversión (ROI) claro y directo. Estos casos de «ROI duro» no solo ahorran costes, sino que construyen credibilidad y capital político para iniciativas más ambiciosas. Un ejemplo contundente proviene del sector legal. Raúl Rubio, socio en Pérez-Llorca, ofreció una métrica impresionante. Gracias a una IA entrenada con su propia documentación, un proceso que normalmente tomaba una hora por documento se redujo drásticamente: «Hemos conseguido que la revisión de 40 contratos mediante herramientas de IA han tardado 6 horas, incluida la revisión humana». Esto representa una poderosa «búsqueda de eficiencias internas» que transforma áreas transaccionales tradicionalmente costosas y lentas. 

En el ámbito de las operaciones de ciberseguridad, la Universidad Europea presenta un caso igualmente convincente. Manuel Patiño explicó que, mediante el uso de IA para analizar un volumen masivo de logs, «hemos reducido el 40% de las falsas alarmas lo cual es un ahorro de costes directo». La importancia de este logro es estratégica. Como él mismo subraya, «Tener un ROI tan fácil y tan claro ayuda a que estas iniciativas sean asumibles». En un entorno donde, según Patiño, los comités de dirección a menudo financian la ciberseguridad  más por miedo que por un entendimiento profundo de los problemas potenciales, un proyecto con un retorno financiero positivo y tangible cambia por completo la conversación. Demuestra el valor práctico de la tecnología y allana el camino para futuras inversiones.

Diseñando el futuro: la IA como motor de transformación

Más allá de la optimización, la IA está siendo utilizada para rediseñar servicios fundamentales y crear un valor estratégico sin precedentes. Estos casos de uso visionarios no solo mejoran los procesos existentes, sino que transforman la misión central de las organizaciones. El sector de la salud ofrece algunos de los ejemplos más impactantes y con consecuencias directas que mejoran la vida de las personas. El Hospital Universitario Gregorio Marañón está aplicando la IA de formas que alteran directamente los resultados de los pacientes. Han desarrollado algoritmos que predicen la presión asistencial en urgencias analizando variables como el clima, lo que permite una mejor gestión de los recursos. Más críticamente, utilizan la IA para priorizar las citas con especialistas. Raúl López, CIO del hospital, destaca un caso de éxito en el que «el sistema identificó posibles melanomas que estaban citados para tres meses para acelerar la siguiente cita dada la posible gravedad de la enfermedad detectada», acelerando un diagnóstico y tratamiento que podrían salvar una vida. Esto no es solo una mejora de la eficiencia; es una reinvención de la atención al paciente.   

El sector educativo también está experimentando una transformación profunda. La Universidad Europea tiene un «plan de IA muy agresivo», según Manuel Patiño, que va más allá de las operaciones internas para cambiar la propia naturaleza de la enseñanza y las temáticas que se imparten a nivel universitario para que los alumnos estén preparados para un futuro laboral en el que la IA será protagonista. El objetivo es superar el modelo de «talla única» y utilizar la IA para «darle a cada uno lo que necesita y de la forma que lo necesita». Están desarrollando herramientas de IA para realizar exámenes orales y, de manera crucial, están integrando la alfabetización en IA como una materia troncal en todos sus programas de grado. Esta decisión se basa en la firme creencia de que, en el futuro, «un abogado será el mejor si sabe utilizar la IA que si no» , una visión que se aplica a todas las carreras y profesiones. 

Ciberseguridad en la era de la IA: un campo de batalla de doble filo

La inteligencia artificial desempeña un papel dual en el ámbito de la ciberseguridad: es, simultáneamente, un poderoso escudo defensivo y un nuevo y sofisticado vector de ataque. Los líderes reunidos demostraron una profunda conciencia de esta dicotomía, explorando cómo aprovechar la IA para la defensa mientras se preparan para mitigar los nuevos riesgos que introduce. Como escudo defensivo, la IA está aumentando las capacidades de los equipos de seguridad. Sara Molina de Pérez-Llorca, destacó que los despachos de abogados son objetivos muy atractivos para los ciberdelincuentes. Para hacer frente a esta amenaza, están utilizando herramientas con IA para crear un «cerebro integrado de la ciberseguridad» capaz de correlacionar eventos dispares, como un incidente de phishing con un comportamiento anómalo de un empleado, para obtener una visión unificada del riesgo.

Del mismo modo, Fanny Pérez Santiago explicaba que Codere está enfocada en usar la IA para «mejorar las capacidades de detección» de sus operaciones de seguridad de Nivel 2 y Nivel 3, alimentando sus modelos con históricos de alertas y vulnerabilidades para construir una base de conocimiento inteligente. Sin embargo, el poder de la IA conlleva nuevos y complejos peligros. El riesgo ya no reside únicamente en los datos almacenados, sino en la interacción dinámica con los modelos. El «problema del prompt» es una preocupación central. Raúl Rubio (Pérez-Llorca) describió la necesidad de ir más allá de las soluciones de los proveedores y desarrollar su propio «modelo de guardarailes, porque muchas veces el vendor te dice que los tiene pero no son los que necesitas». Comentó también que «Mi equipo está llegando incluso a construir modelos de IA que auditan los promt para controlar la información que los empleados introducen en los sistemas».

Esta preocupación es compartida por Francisco Lázaro (Renfe), quien enfatiza la necesidad de supervisar qué preguntan los empleados, ya que «muchas veces el sesgo y los problemas de ética están en los datos» con los que se entrenan los modelos». Además, Francisco Lázaro introdujo un área de riesgo crítica y a menudo pasada por alto: la tecnología operacional (OT). En el mundo industrial, los sistemas de control están diseñados para durar décadas. El desafío de seguridad es inmenso, ya que para mantener la certificación de seguridad , un sistema debe cumplir con las normas vigentes en el momento de su instalación, que pudo ser hace 25 años. Como él mismo afirma crudamente: «En el mundo de OT si parcheas te por delante llevas la certificación y la tienes que pasar de nuevo». Esto crea una brecha de seguridad masiva donde las defensas modernas no pueden aplicarse sin invalidar la licencia operativa del sistema, dejando a infraestructuras críticas en un estado de vulnerabilidad heredada.  

Este debate revela una evolución crucial en el pensamiento sobre la seguridad. La ciberseguridad tradicional se centraba en proteger sistemas y perímetros (cortafuegos, redes, endpoints). La llegada de la IA, especialmente la generativa, obliga a un cambio de enfoque hacia la protección de todo el ciclo de vida de la información. Esto incluye: los datos fuente utilizados para el entrenamiento (el problema de la clasificación), la entrada del usuario (el problema de la auditoría de prompts), la lógica del modelo (el problema de los guardarraíles y de la explicabilidad),  y la salida del modelo (el problema de la fuga de datos y el sesgo). El dilema de la OT es una manifestación extrema de esta realidad: cuando el «sistema» está congelado en el tiempo, la seguridad de los datos y los procesos se convierte en la única línea de defensa viable. La seguridad ya no es un perímetro estático; es un proceso continuo entretejido en el tejido de cómo la información se crea, se utiliza y se comparte.

Navegando el laberinto regulatorio y el poder de la estandarización

Como suele pasar el ritmo vertiginoso de la innovación tecnológica choca con el ritmo más lento y deliberado de la legislación, pero la llegada de la IA como herramienta de amplio uso personal y empresarial está aumentando esa presión. Esta fricción genera incertidumbre, especialmente en los sectores más regulados. Sin embargo, el debate sugiere que la estandarización proactiva, en lugar de la espera pasiva, es el camino más pragmático y estratégico para avanzar con confianza. La preocupación por el impacto de la regulación es evidente, sobre todo en el sector público. Raúl López, del Hospital Universitario Gregorio Marañón, expresó esta problemática. Señala que la combinación de ser una administración pública, con sus inherentes cuellos de botella burocráticos, y tener que cumplir con una regulación europea de la IA que se percibe como «muy rigurosa y exigente», crea un freno significativo. Su temor es que este desfase regulatorio y de recursos provoque que «nos va a pasar por la derecha tanto Asia como EEUU».  

Frente a esta parálisis potencial, la estandarización emerge como la solución práctica. Las organizaciones no necesitan esperar pasivamente a que se aprueben las leyes para actuar. Boris Delgado Riss, de AENOR, defendía el uso de estándares establecidos, como la familia ISO/IEC 27000, como una herramienta de gobernanza eficaz. Sostiene que el objetivo no es la certificación en sí misma, sino el «marco de control» que proporciona. De manera crucial, afirma que «el estándar se debe adaptar a la organización y no al revés». Esta perspectiva posiciona a los estándares no como restricciones rígidas, sino como marcos flexibles que habilitan una innovación gestionada y responsable. Raúl Rubio, de Pérez-Llorca, reforzaba esta idea con una conclusión contundente y pragmática. Desde el punto de vista de la implementación práctica, «La clave es la normalización y no la legislación, porque la legislación ya no la podemos cambiar».

Este diálogo pone de manifiesto una elección estratégica fundamental. Una organización puede adoptar una postura reactiva, esperando a que se promulguen las leyes para luego luchar por cumplirlas, con el riesgo de quedarse atrás. O puede ser proactiva, adoptando estándares flexibles y reconocidos internacionalmente (el modelo de AENOR) para construir un marco de gobernanza interno sólido antes de que la regulación se finalice y ponga límites y frenos a la innovación. Esta postura proactiva permite a la organización seguir innovando con confianza, sabiendo que cuenta con un modelo de control defendible y basado en principios. Transforma el desafío de «¿cómo cumplimos la ley?» a «¿cómo gestionamos nuestros riesgos de forma eficaz?», una posición mucho más poderosa y ágil en el dinámico entorno de la IA.

El factor humano: recalibrando el talento y la concienciación

En última instancia, el éxito de cualquier estrategia de IA y ciberseguridad depende del elemento humano. La tecnología, por muy avanzada que sea, es manejada por personas. El debate final se centró en esta dimensión indispensable, explorando la necesidad de nuevos perfiles de talento, nuevos modelos educativos y un enfoque más sofisticado de la concienciación sobre la seguridad. La era de la IA está forjando un nuevo arquetipo de profesional: el talento híbrido que puede tender puentes entre la experiencia de dominio y la competencia tecnológica. Sara Molina de Pérez-Llorca señaló que en el bufete ya están buscando (con grandes dificultades para encontrarlo) «talento muy concreto como abogados ingenieros, y luego doble grados de abogados con formación de data analytics o con conocimientos en prompting». Ya no se trata de tener un equipo técnico que apoye a los abogados, sino de que los propios abogados sean tecnológicamente competentes. Esta tendencia se refleja en el sector educativo.  

Manuel Patiño explica que la Universidad Europea está «modificando todos los programas para meter la IA como troncal» para garantizar que los futuros profesionales de todos los campos, no solo los tecnológicos, estén alfabetizados en IA. El dilema de la concienciación en ciberseguridad también revela una comprensión más matizada. Existe un reconocimiento de que el miedo puede tener un papel inicial. Manuel Patiño admitía que «con la ciberseguridad la educación pasa en parte por asustar» para establecer la seriedad de la amenaza. Sin embargo, esta visión se equilibra con la creencia de que el aprendizaje real es experiencial.   Francisco Lázaro de Renfe argumentó que «la concienciación ayuda pero el ser humano aprende tropezando. Hasta que a ti no te pasa no lo ves».  Raúl Rubio estuvo de acuerdo, destacando la enorme diferencia de mentalidad entre un cliente que ha sufrido un ataque y uno que no.

La síntesis de estos puntos de vista apunta a una estrategia de concienciación por capas. Jorge Pereda (MN8 Energy) utiliza los pequeños ataques reales que reciben para decidir dónde lanzar sus campañas de concienciación, convirtiendo incidentes menores en momentos de enseñanza. Boris Delgado Riss (AENOR) aboga por apelar a la parte emocional y utilizar la narración de historias (storytelling) sobre lo que podría pasar para que el riesgo sea tangible. La estrategia más madura, por tanto, no se basa en una sola táctica. Requiere: una base de urgencia, a veces inducida por el miedo y una experiencia simulada. En este sentido llamó la atención la mención de una técnica utilizada por el despacho de abogados Pérez-Llorca mencionada por su portavoz Sara Molina, se trata de un juego de mesa que permite trazar el flujo de datos con historias y ejercicios realistas. Otra técnica de concienciación es la de aprovechar incidentes reales como lecciones concretas. El objetivo final, como articuló el ponente de AENOR, es ir más allá del miedo para crear una cultura de responsabilidad compartida en la que  «cada empleado es el CISO».   

Conclusión: hacia una IA responsable, segura y estratégica

La mesa redonda, patrocinada por myCloudDoor, concluye con una visión clara: la intersección entre la inteligencia artificial y la ciberseguridad no es una simple tendencia tecnológica, sino el campo de batalla estratégico que definirá a los líderes empresariales del futuro. Es una batalla por la competitividad que se irá acelerando cada vez más. El debate dibuja un panorama de doble filo que las organizaciones deben navegar con urgencia y precisión. Por un lado, la IA se consolida como el escudo más potente en el arsenal de la ciberseguridad. Permite a los equipos de defensa pasar de una postura reactiva a una predictiva, correlacionando eventos dispares para crear un «cerebro de seguridad integrado» y reduciendo drásticamente el ruido de las falsas alarmas con un ROI tangible. Por otro lado, la IA introduce vectores de ataque y riesgos que se multiplican ya que el acceso a herramientas de ataque está cada vez al alcance de más personas con conocimientos más básicos. El perímetro de seguridad ya no es la red, sino la propia interacción con el modelo: los datos de entrenamiento, las consultas de los usuarios (prompts) y la lógica interna del algoritmo.

Esta nueva realidad obliga a reinterpretar los pilares fundamentales de la estrategia empresarial. La gobernanza debe ir más allá del cumplimiento para establecer reglas de enfrentamiento claras para una tecnología que es tanto una herramienta como un arma potencial. El principio de que «lo que se protege es el dato» se vuelve más crítico que nunca, convirtiendo la clasificación y el control de la información en la principal línea de defensa. Y, finalmente, el  factor humano se erige como el baluarte decisivo. En un entorno donde la IA amplifica tanto el ingenio como el error humano, el objetivo de que «cada empleado sea el CISO» deja de ser una aspiración para convertirse en una necesidad de supervivencia.  El viaje se presenta apasionante pero no exento de complicaciones y los riesgos son innegables. Sin embargo, las organizaciones que logren dominar esta dualidad, aprovechando la IA como un multiplicador de sus defensas mientras construyen una resiliencia robusta frente a sus nuevos peligros, no solo protegerán su presente, sino que asegurarán su liderazgo en la era digital.