Ciberseguridad en Evolución: Inteligencia Artificial, Confianza Cero e Hybrid Mesh Security

En el segmento Estrategia, Tecnología y Negocio de IT ahora, tuvo la oportunidad de intercambiar ideas, conceptos y experiencias en un conversatorio en torno al tema “Ciberseguridad en Evolución: Inteligencia Artificial, Confianza Cero e Hybrid Mesh Security”.

Durante la sesión se abordaron temas como el impacto de la inteligencia artificial en la seguridad, las nuevas implicaciones de su uso, las amenazas y los riesgos asociados.

Participaron líderes de seguridad de diversos sectores, incluyendo gobierno, finanzas, farmacéutica, telecomunicaciones y educación. Entre ellos estuvieron David Nuñez, gerente de Arquitectura y Gestión de Proyectos de Ciberseguridad de CNT; Adriana Sánchez, CISO de la UDLA; Soledad Salazar, líder de Seguridad de la Información de Leterago; Felipe Gómez, CISO de Banco Pichincha; Andrés Salazar, responsable de Seguridad de Cooperativa Andalucía; Eduardo Alvarado, CISO de la Cooperativa Policía Nacional; Armando Chávez, administrador de Seguridad; y Cristian Loján, especialista de Seguridad de la Policía Nacional.

También participaron de Check Point: Francisco Robayo, director de Ingeniería para Latinoamérica; Sandra Piedad Díaz, gerente para la región NOLA; y Erika Granizo, gerente de Territorio Ecuador.

Desafíos de las organizaciones frente a la IA

La integración de la inteligencia artificial (IA), especialmente la generativa, en procesos organizacionales plantea desafíos que van más allá de lo técnico. Automatizar tareas, mejorar la experiencia del cliente, detectar riesgos o gestionar información crítica requiere algo más que tecnología: demanda gobernanza, conciencia y responsabilidad.

Durante el encuentro, los participantes compartieron diversas experiencias y posturas sobre el uso actual de la IA. Coincidieron en que la automatización basada en esta tecnología permite escalar la atención al cliente, personalizar servicios y optimizar procesos. Sin embargo, también advirtieron sobre el riesgo asociado al manejo de información sensible.

Uno de los principales desafíos planteados fue cómo involucrar al “cliente de IA” —es decir, al usuario que interactúa con agentes inteligentes. Se destacó que, mientras la interfaz de IA conversa con el usuario, detrás de esa interacción hay datos a los que la IA puede acceder. En muchos casos, los usuarios exploran los límites del sistema, y la IA responde porque está conectada a fuentes internas, generando riesgos.

El problema no es solo técnico, sino también cultural. Pese a que la privacidad es un tema cada vez más presente, todavía existe un desconocimiento generalizado sobre el verdadero alcance del uso de la información. Muchas personas, incluso dentro de las organizaciones, no dimensionan los riesgos al utilizar herramientas gratuitas. De allí surge la necesidad de desarrollar modelos propios y controlar accesos.

La gobernanza de IA es una necesidad organizacional

Se reflexionó sobre la importancia de establecer una gobernanza de IA. Francisco Robayo, director de Ingeniería para Latinoamérica en Check Point, señaló que la adopción acelerada de esta tecnología exige mayor gestión y control. Independientemente del tamaño de la organización, resulta cada vez más necesario contar con un marco interno que regule el uso de la IA generativa. Este marco debe integrarse dentro de la gobernanza de tecnología y de información. Mencionó que las actualizaciones más recientes del marco NIST ya incluyen esta necesidad, destacando la importancia de establecer controles específicos sobre el uso de la IA y de contar con políticas que definan quién puede usar estas herramientas, para qué fines, con qué datos y bajo qué condiciones.

David Núñez, gerente de Arquitectura y Gestión de Proyectos de Ciberseguridad en CNT, comentó que, aunque hoy en día existen herramientas de IA gratuitas y de fácil acceso, es indispensable avanzar hacia modelos propios y establecer restricciones claras sobre su uso. “La preocupación principal radica en que, si vamos a utilizar IA de forma sostenida, es preferible construir modelos adaptados a nuestras necesidades y limitar su uso dentro de nuestras instituciones. En los casos en que se recurra a modelos externos mediante servicios SaaS, se debe tener en cuenta que las consultas podrían quedar expuestas, lo cual representa un riesgo importante para la seguridad de la información”, explicó.

También se mencionó que la conciencia sobre los riesgos no debe recaer únicamente en los equipos de seguridad. Todas las áreas deben estar informadas y comprometidas con la protección de los datos, entendiendo el impacto reputacional y económico que puede derivarse de un uso inadecuado de estas tecnologías.

Cultura y resiliencia

La velocidad con la que se adoptan nuevas tecnologías ha superado la capacidad de adaptación de muchas organizaciones y sociedades. Por ello, educar en buenas prácticas digitales, generar conciencia sobre el valor de la información y fomentar una cultura de responsabilidad compartida se vuelve una tarea urgente.

Sandra Piedad Díaz, gerente para la región Nola de Check Point, señaló que las transiciones tecnológicas han sido tan rápidas y absorbentes que la sociedad no está preparada para asimilarlas, lo que profundiza aún más la brecha digital. Esta situación exige respuestas ágiles frente a tecnologías que no son modas, sino herramientas con un alto impacto en procesos organizacionales y en la seguridad de la información.

Por esta razón, muchas organizaciones han comenzado a elaborar políticas internas para regular el uso de IA. No obstante, el verdadero desafío radica en el cumplimiento de estas políticas y en comunicar de forma clara por qué existen controles y medidas de seguridad. Si los usuarios no comprenden su razón de ser, su eficacia se ve limitada.

Andrés Salazar, especialista en Seguridades de la Información de Cooperativa Andalucía, advirtió que aún existe un gran desconocimiento sobre el cuidado de la información. Aunque se habla cada vez más de privacidad, pocas personas comprenden su verdadero alcance ni las consecuencias de un uso indebido.

Soledad Salazar, líder de Seguridad de la Información en Leterago, planteó que como sociedad debemos fomentar una cultura de responsabilidad digital. Educar a los usuarios es un desafío, pero es vital, ya que los controles y tecnologías más avanzadas no bastan si las personas no están informadas ni capacitadas para utilizarlas con responsabilidad.

Eduardo Alvarado, CISO de Cooperativa Policía Nacional, destacó que la automatización de procesos como el soporte puede representar una oportunidad para ganar eficiencia. Sin embargo, también es esencial mantener restricciones adecuadas en los accesos, especialmente cuando quienes poseen mayores privilegios manejan la información más sensible. Esto exige un enfoque más riguroso y consciente en la gestión.

Para Liliana Córdova, líder del área de Seguridad y del CSIRT de la Escuela Politécnica Nacional, el usuario es, en última instancia, el “firewall” más importante de una institución. Por eso, es fundamental orientarlo y explicarle claramente qué tipo de información puede o no compartirse. Las herramientas tecnológicas pueden fallar, pero el criterio humano sigue siendo esencial como primera línea de defensa.

Erika Granizo, gerente de territorio Ecuador de Check Point, mencionó que además de las campañas de concientización, es necesario contar con una estrategia corporativa y apoyarse en herramientas por ejemplo de protección de marca que identifiquen usos indebidos, rastreen sitios maliciosos y protejan los dominios expuestos. Así, se refuerza la seguridad desde la visibilidad y el control de los activos digitales.

Al hablar sobre resiliencia Felipe Gómez, CIO de Banco Pichincha, señaló que si se tiene claridad sobre cuáles son los principales modelos de negocio de una organización, se puede construir capacidades para responder con agilidad ante una evento o amenaza. Esa capacidad de respuesta depende, en gran medida, de las personas.

Felipe Gómez, CIO de Banco Pichincha, definió la resiliencia como la capacidad de “levantarse lo más rápido posible y sin llorar”, es decir tener la capacidad de recuperarse rápidamente y seguir adelante, sin detenerse. En el ámbito organizacional, se traduce en planes de continuidad del negocio, respaldos, estrategias de recuperación ante desastres y acciones inmediatas para contener amenazas.

El aprendizaje que dejan las crisis y la capacidad de aplicar ese conocimiento son también parte de la resiliencia.

Algunas observaciones de interés

• La tecnología debe acompañar a la cultura organizacional, requiere un compromiso entre lo que se adquiere y lo que realmente se adapta a las necesidades, cultura y procesos de la organización.
• La seguridad no funciona si no se piensa en las personas. Más allá de la tecnología, el verdadero desafío es construir procesos que involucren a todos: directivos, colaboradores, terceros y clientes, porque cualquier usuario puede representar un riesgo para la organización.
• Las pruebas de los planes de contingencia deben realizarse de forma continua, incluyendo simulaciones repetidas para evaluar cómo responde la organización.
• Las pruebas deben repetirse tantas veces como sea necesario, hasta lograr que el plan sea realmente medible y funcional. La participación de las personas en estos ejercicios es indispensable, ya que su reacción y preparación determinan en gran parte la efectividad del plan.
• Para poder implementar un esquema de Zero Trust (confianza cero) parte de un tema de cultura organizacional para luego ir a temas como herramientas SASE
• En la conversación sobre Zero Trust surge un dilema relevante y es que el CEO debe liderar la estrategia de ciberseguridad, pero también aceptar que, al adoptar este modelo, deberá aceptar no ir más allá de los privilegios dados y aceptar parte del principio de mínima confianza, incluso desde la alta dirección.
• Frente a un incidente, se debe asumir la responsabilidad, comprender lo ocurrido y evaluar qué más se puede hacer y la toma de decisiones oportunas para mitigar su impacto.