La ciberseguridad entra en 2026 con una contradicción cada vez más difícil de ocultar: los equipos de seguridad confían más que nunca en la automatización y en la Inteligencia Artificial, pero al mismo tiempo admiten que la preparación real de las organizaciones no crece al ritmo de las amenazas.
Esa es la fotografía principal que deja el 2026 State of Cybersecurity Report: Bridging the Divide de Ivanti, elaborado a partir de respuestas de más de 1.200 profesionales de ciberseguridad en todo el mundo. El informe describe una brecha que la compañía denomina “Cybersecurity Readiness Deficit”: un déficit de preparación que se ensancha año tras año, impulsado por el aumento de ataques, la complejidad del entorno SaaS, la presión regulatoria y, sobre todo, por la aceleración del uso de IA por parte de los atacantes.
La IA agéntica: “queremos que actúe sola”… con matices
El titular que más conversación está generando es claro: el 87 % de los equipos de seguridad asegura que adoptar IA agéntica —sistemas capaces de tomar decisiones y ejecutar acciones de forma autónoma en tiempo real— es una prioridad. Y aún más llamativo: el 77 % declara tener “algún nivel de comodidad” permitiendo que estos sistemas actúen sin revisión humana previa.
El matiz importante es que esa confianza no es absoluta. El informe insiste en que el mercado está entrando en una fase de “aceptación cautelosa”: muchas organizaciones quieren agentes que investiguen, correlacionen señales y propongan acciones, pero no todas están listas para delegar respuestas críticas sin controles. De hecho, el documento subraya que la adopción real de IA en funciones clave sigue siendo desigual:
- 53 % la usa para aplicar políticas de seguridad cloud.
- 44 % para workflows de respuesta a incidentes.
- 43 % para correlación de inteligencia de amenazas.
- 42 % para respuesta y remediación de vulnerabilidades.
En paralelo, casi todos los encuestados (92 %) afirman que la automatización reduce los tiempos de respuesta. El problema no es la fe en la automatización: es la distancia entre el deseo de “piloto automático” y la madurez operativa necesaria para sostenerlo.
Deepfakes: la amenaza “ya está aquí”, pero la preparación es baja
Si hubiera que elegir un área donde la brecha entre amenaza y preparación se vuelve más tangible, el informe señala los deepfakes y el contenido sintético.
Los datos son contundentes: el 77 % de las organizaciones afirma haber sido objetivo de ataques basados en deepfakes. Y más de la mitad (51 %) reporta campañas de phishing personalizadas potenciadas por contenido sintético. Sin embargo, cuando se pregunta por preparación, solo el 27 % se considera “muy preparado” ante este tipo de amenaza, lo que deja un hueco de más de veinte puntos entre riesgo percibido y capacidad real.
El informe también aterriza el problema en el terreno incómodo de la alta dirección: solo el 30 % de los profesionales cree que su CEO podría identificar “definitivamente” un deepfake. Es decir: el vector de ataque no es solo tecnológico, también es cultural y de formación.
Ransomware, credenciales y APIs: la brecha de preparación crece
Ivanti también analiza la diferencia entre lo que se considera “amenaza alta/crítica” y el porcentaje que se declara “muy preparado” para defenderse. En ransomware, por ejemplo, el informe presenta una distancia especialmente visible: el 63 % lo ve como amenaza alta o crítica, pero solo el 30 % se considera muy preparado.
El patrón se repite en áreas que llevan años en el “top” de preocupaciones: credenciales comprometidas, vulnerabilidades de software, riesgo de cadena de suministro y vulnerabilidades relacionadas con APIs. No se trata de amenazas nuevas. Lo nuevo es la velocidad: el informe menciona cómo los atacantes acortan el tiempo entre la publicación de un parche y la explotación, una carrera que la IA ayuda a acelerar.
La grieta IT–Seguridad: cuando el riesgo no se prioriza igual
Otro hallazgo relevante para entender por qué cuesta tanto cerrar la brecha de preparación no está en la tecnología, sino en la coordinación interna.
Casi la mitad (48 %) de los profesionales de seguridad considera que los equipos de IT no responden con urgencia ante preocupaciones de ciberseguridad. Y un 40 % cree que IT no entiende la tolerancia al riesgo de su propia organización. Esto impacta directamente en disciplinas como exposure management, donde seguridad necesita que IT ejecute cambios, priorice parches, ajuste configuraciones y acepte ventanas de mantenimiento.
El resultado: se acumulan riesgos conocidos, se parchea tarde, se mide mal y se llega a los comités directivos con indicadores que no explican “riesgo” sino “actividad”.
Medir no es gestionar: métricas fragmentadas y poco contexto de negocio
El informe insiste en un punto que muchos CISOs repiten desde hace años: hay demasiados KPI que “quedan bien” pero dicen poco.
Solo el 60 % usa análisis de impacto de negocio para priorizar riesgos. Y aunque el 51 % utiliza un “exposure score” o índice basado en riesgo, todavía es común depender de métricas de proceso como:
- mean time to remediate (47 %)
- porcentaje de exposiciones remediadas (41 %)
El problema, según Ivanti, es que esas métricas pueden mejorar mientras el riesgo real empeora. En otras palabras: se puede “ir rápido”… en la dirección equivocada.
El factor humano: estrés, fatiga y falta de talento como vulnerabilidad sistémica
El informe también retrata una crisis silenciosa: el desgaste de los equipos.
Un 43 % de los profesionales declara niveles altos de estrés, y un 79 % afirma que afecta a su salud física o mental. Además, se describen efectos concretos: dificultad para concentrarse, problemas de sueño y aumento de ansiedad. En este contexto, la falta de talento —o el desajuste entre habilidades y necesidades reales— aparece como un freno directo a la adopción efectiva de automatización y agentes: sin perfiles capaces de gobernar, evaluar y controlar esos sistemas, la autonomía se convierte en un riesgo más.
Entonces, ¿qué cambia con la IA agéntica?
La lectura que deja el informe es que la IA agéntica se está convirtiendo en “una prioridad” antes de convertirse en “una capacidad madura”. Y ahí está el peligro: si los agentes se despliegan como un atajo para suplir falta de tiempo y personal, pero sin datos de calidad, guardrails y métricas útiles, la organización no gana defensa: gana complejidad.
Por eso el documento insiste en conceptos que, para muchas empresas, suenan menos atractivos que “autonomía”, pero son los que permiten escalar sin romper: gobernanza, trazabilidad, control del riesgo, y formación real contra engaños sintéticos.
Preguntas frecuentes
¿Qué es la IA agéntica en ciberseguridad y en qué se diferencia de la automatización clásica?
La automatización suele ejecutar reglas predefinidas. La IA agéntica puede decidir y actuar de forma más autónoma, ajustando su comportamiento según el contexto (por ejemplo, investigando señales, correlacionando eventos y tomando acciones).
¿Por qué los deepfakes se han convertido en un problema “de seguridad” y no solo de reputación?
Porque habilitan ataques operativos: fraudes por suplantación, ingeniería social a directivos, vishing y phishing hiperpersonalizado. El impacto ya no es solo imagen: es dinero, acceso y credenciales.
¿Qué métricas ayudan más a priorizar riesgos de forma práctica?
Las que conectan exposición con impacto de negocio: scoring basado en riesgo, análisis de impacto, criticidad de activos, probabilidad de explotación y dependencia operativa. Medir solo tiempos o volumen remediado puede ocultar riesgo real.
¿Cómo empezar con agentes de IA sin asumir demasiada autonomía desde el día uno?
Una aproximación habitual es “human-in-the-loop”: el agente investiga y propone, pero un responsable aprueba acciones críticas; además, se exige trazabilidad (qué vio, qué decidió y por qué) y se limita el alcance por dominios o tipos de incidente.
vía: ivanti
