El riesgo interno crece en la era de la IA y exige un nuevo enfoque

La ciberseguridad se ha centrado durante mucho tiempo en levantar muros alrededor de los sistemas digitales, pero la mayor amenaza para las empresas ya no viene del exterior. El Ponemon Institute afirma que hoy en día el 45% de las incidencias derivan del riesgo interno, lo que significa que una organización puede sufrir daños o pérdidas como consecuencia de las acciones u omisiones de personas con acceso autorizado, incluyendo tanto el uso indebido intencionado como el no intencionado de dicho acceso.

Riesgos internos 

Los ciberdelincuentes están descubriendo que los seres humanos pueden ser el eslabón más débil incluso en los entornos mejor protegidos. En este contexto, el teletrabajo y los modelos de trabajo híbrido han ampliado la superficie de ataque y reducido la visibilidad. Con los equipos trabajando desde lugares remotos, la actividad se desarrolla a través de plataformas en la nube y herramientas de colaboración; desde la perspectiva de la seguridad digital, el seguimiento se ha vuelto más complejo. 

Las herramientas tradicionales, como, p. ej., la prevención de pérdida de datos (DLP), tienen dificultades para seguir el ritmo de un comportamiento dinámico e impredecible de los usuarios. En la actualidad, los empleados se saltan protocolos de seguridad o eluden herramientas corporativas para cumplir con sus plazos. Son prácticas arriesgadas que pueden salir muy caras: según el Ponemon Institute, el coste medio de un incidente originado dentro de la organización supera los 17,4 millones de dólares.  

Paralelamente, las herramientas de IA y los agentes de IA generativa están originando nuevos riesgos: tanto los agentes humanos como los autónomos pueden filtrar datos. Otro factor a tener cuenta es el aumento de la externalización y el recurso a terceros que ha incrementado el número de personas con acceso privilegiado dentro de las organizaciones. Así, no sorprende que los ciberdelincuentes recurran cada vez más al soborno de empleados, aprovechen dificultades económicas y/o el descontento laboral para obtener acceso a los datos de una empresa.

Aceptar el error humano

El informe “2025 Insider Risk Report: The Hidden Cost of Everyday Actions” de Fortinet concluye que un 62% de las incidencias originadas por actores internos no son intencionados, sino que se deben a la negligencia, a descuidos o a usuarios comprometidos. Visto así, es hora de dejar de tratar a los empleados como el problema y empezar a convertirlos en parte de la solución. En lugar de pruebas simuladas de phishing y programas de formación punitivos que suelen generar resentimiento en lugar de resiliencia, hay que replantearse el modelo.

Es aquí donde entra en juego la gestión del riesgo humano que reconoce la complejidad del entorno laboral y se concentra en los hábitos relacionados con la ciberseguridad. Las herramientas de gestión del riesgo humano supervisan el comportamiento real de los usuarios, detectan anomalías en su contexto y envían avisos oportunos para prevenir gestiones de riesgo antes de que se produzcan. En lugar de castigar los errores, estas herramientas ayudan a los usuarios a evitarlos desde el principio.

En este contexto, la conciencia de cada usuario es clave y para conseguirlo se necesita crear una cultura de responsabilidad compartida en la empresa. El liderazgo debe implementar una seguridad donde el éxito se mide por la rapidez con la que los empleados mejoran, no por la frecuencia con la que cometen errores. Las campañas de concienciación deben ser prácticas y estar arraigadas en el comportamiento del mundo real.

Paralelamente, las organizaciones tienen que entender cómo la transformación digital ha transformado el panorama de los riesgos digitales. La TI en la sombra ya no es un asunto marginal; queramos o no, forma parte del día a día laboral. Que se trate de un desarrollador que utiliza un complemento de IA o un profesional de marketing que comparte archivos a través de una plataforma no aprobada por la empresa, los empleados siempre encontrarán el camino más rápido hacia la productividad. La ciberseguridad, en vez de ser un obstáculo, debe de acompañar a los usuarios en ese camino.

Ciberseguridad en la era de la IA

Las empresas más exitosas serán aquellas que traten la identidad como infraestructura y el comportamiento humano como una de las claves para defenderse de las ciberamenazas. Invertirán en herramientas que se adaptan a las personas y no al revés. En vez de centrarse en la vigilancia de los usuarios, tratarán de aceptar el hecho de que el error humano forma parte del proceso y, por lo tanto, se apoyarán en sistemas que respalden este enfoque. 

El riesgo interno crece en las empresas y la IA es una herramienta de doble filo: puede impulsar la protección, pero también abrir nuevas amenazas. Por eso, hoy la ciberseguridad no puede basarse solo en el control: debe construirse también sobre la confianza en las personas que están detrás de cada pantalla.

Por Gonzalo Gabriel y Galán, Regional Sales Manager España, Integrity360