La ciberseguridad ha dejado de ser un asunto encerrado en el SOC. En 2026, las decisiones sobre seguridad digital afectarán a la adopción de inteligencia artificial, a la continuidad de negocio, a la cadena de suministro, al cumplimiento normativo, a la geopolítica y al papel real que tendrá el CISO dentro de la empresa. El último informe de KPMG en España, Consideraciones sobre ciberseguridad para 2026, sitúa ese cambio en ocho prioridades que ya no pueden tratarse como proyectos aislados.
La idea de fondo es clara: la IA está ampliando la superficie de ataque al mismo tiempo que ofrece nuevas capacidades defensivas. Los agentes autónomos empiezan a ejecutar tareas, las identidades no humanas superan en muchos entornos a las humanas, los sistemas IT y OT están cada vez más conectados, y la criptografía poscuántica pasa de ser una conversación técnica a convertirse en una cuestión estratégica para sectores como finanzas, defensa o infraestructuras críticas.
La seguridad autónoma llega al SOC, pero también al cumplimiento
KPMG señala que una de las prioridades será preparar a los equipos de ciberseguridad para la seguridad autónoma. No se trata solo de automatizar alertas o enriquecer eventos, algo que muchas organizaciones ya hacen desde hace años. El cambio está en que los agentes de IA empiezan a asumir tareas más avanzadas basadas en inteligencia: investigación de incidentes, cumplimiento normativo, gestión de riesgos, correlación de evidencias o supervisión de identidades no humanas.
Este avance puede ayudar a equipos saturados, pero también obliga a rediseñar controles. Un agente que ejecuta acciones no puede tratarse como una simple herramienta pasiva. Necesita límites, trazabilidad, permisos mínimos, revisión de decisiones y mecanismos para detener comportamientos no previstos. La promesa de la seguridad autónoma solo funciona si la organización sabe qué puede hacer cada agente, qué datos puede consultar, qué sistemas puede modificar y quién responde cuando algo falla.
La IA también está cambiando la gestión de vulnerabilidades. El debate alrededor de modelos como Claude Mythos ha mostrado que los sistemas avanzados pueden analizar grandes bases de código, formular hipótesis sobre fallos, validar ataques y construir cadenas de explotación funcionales. KPMG advierte que el punto importante no es que aparezcan más vulnerabilidades, sino que el ritmo de identificación y explotación puede superar los ciclos tradicionales de parcheo.
Eso obliga a revisar una práctica muy extendida: gestionar vulnerabilidades por ventanas semanales, priorización manual y dependencia casi exclusiva del CVSS. En un entorno donde la IA puede acelerar tanto la ofensiva como la defensa, algunas correcciones deberán evaluarse y desplegarse en menos de 24 o 48 horas. La capacidad de decisión será tan importante como la herramienta técnica.
Identidades no humanas y agentes: el nuevo perímetro
La expansión de agentes de IA, cuentas de servicio, credenciales de máquina, bots, APIs y automatizaciones ha creado un problema que muchas empresas todavía no tienen bien inventariado. Las identidades no humanas ya superan en número a los usuarios humanos en muchos entornos, pero su gobierno suele estar menos maduro.
El riesgo es evidente. Una cuenta humana puede estar sujeta a MFA, revisiones periódicas, baja al salir de la compañía y políticas de acceso por rol. Una identidad no humana puede quedar olvidada durante años, con secretos embebidos, permisos excesivos y uso poco monitorizado. Cuando esas identidades pasan a estar conectadas a agentes de IA capaces de actuar sobre herramientas y datos, el perímetro se vuelve más difícil de controlar.
KPMG insiste en que la seguridad en IA no puede limitarse a proteger el modelo. Hay que proteger el entorno completo del agente: las herramientas que puede usar, las APIs que invoca, la memoria que mantiene, los datos que recupera mediante RAG y las acciones que ejecuta. El dato deja de ser un recurso estático y pasa a formar parte de la ejecución. Por eso debe tratarse con un rigor parecido al código: trazabilidad, versionado, propósito explícito, control de acceso y caducidad.
La cadena de suministro de IA añade otra capa de riesgo. Modelos externos, APIs de terceros, toolchains, librerías, conectores y datos corporativos pueden introducir dependencias opacas. Las organizaciones necesitarán programas de AI Supply Chain similares a los que ya existen para cloud o software crítico: registro de versiones, auditoría de APIs, evaluación de proveedores, planes de salida y capacidad real de sustituir una pieza clave sin quedar bloqueadas durante meses.
Geopolítica, IT/OT y criptografía poscuántica
La ciberseguridad de 2026 también estará marcada por un contexto geopolítico más duro. KPMG apunta que las defensas digitales y los activos físicos están expuestos a posibles ataques de Estados hostiles. Esto afecta especialmente a energía, transporte, industria, salud, telecomunicaciones, sector público y servicios financieros. La seguridad deja de centrarse únicamente en proteger datos y pasa a proteger continuidad operativa.
La hiperconectividad entre IT y OT aumenta esa presión. Sensores embebidos, dispositivos IoT, plantas industriales conectadas y entornos físicos digitalizados hacen que la frontera entre lo cibernético y lo físico sea cada vez menos clara. Un incidente ya no implica solo pérdida de información o indisponibilidad de una aplicación. Puede afectar a producción, seguridad de personas, logística, mantenimiento o suministro.
El informe también sitúa la criptografía poscuántica como una prioridad difícil de aplazar. El riesgo de que futuros ordenadores cuánticos puedan romper algoritmos criptográficos actuales obliga a preparar inventarios, evaluar exposición y planificar migraciones. Para sectores como defensa, banca o infraestructuras críticas, no se trata de una moda técnica. Los datos cifrados hoy pueden ser capturados para ser descifrados más adelante, cuando la capacidad cuántica lo permita.
La migración a criptografía poscuántica será compleja porque afecta a certificados, sistemas legacy, comunicaciones, dispositivos, software embebido, proveedores y procesos de largo ciclo de vida. No bastará con cambiar un algoritmo en una aplicación moderna. Habrá que saber dónde se usa criptografía, qué datos deben protegerse durante décadas y qué sistemas no podrán actualizarse fácilmente.
El CISO gana peso, pero también presión
El papel del CISO sigue ampliándose. Ya no basta con reportar incidentes, gestionar herramientas y presentar métricas técnicas. La seguridad se ha integrado en innovación, cumplimiento, operaciones, IA, cadena de suministro, resiliencia y estrategia. El CISO se convierte en una figura que debe traducir riesgo técnico a lenguaje de negocio y, al mismo tiempo, evitar que la organización frene la adopción de tecnologías necesarias.
Ese equilibrio será complicado. La dirección quiere automatizar, usar IA, ganar eficiencia y desplegar agentes. Los equipos de seguridad deben permitirlo sin abrir una superficie de ataque inmanejable. La respuesta no puede ser bloquear por defecto, pero tampoco aceptar cualquier integración sin controles. KPMG habla de generar confianza e impulsar innovación. En la práctica, eso exige gobierno, arquitectura, observabilidad y capacidad operativa.
La observabilidad será uno de los cambios más importantes. En sistemas de IA no basta con monitorizar el modelo. Hay que observar el ciclo completo de acción: qué datos recupera el agente, qué herramientas llama, qué memoria crea, qué decisiones toma, qué permisos usa y qué acciones ejecuta. Esto requerirá nuevos logs, integración con SIEM, playbooks específicos y equipos capaces de interpretar incidentes que no se parecen a los tradicionales.
La capacitación también será determinante. Proteger IA con equipos que no han sido formados en seguridad de modelos, RAG, agentes, prompt injection, memorias persistentes o red teaming de IA es una receta para aplicar controles mal diseñados. La seguridad en IA necesita perfiles híbridos, laboratorios, simulaciones y prácticas específicas.
El mensaje para 2026 es incómodo, pero necesario: la ciberseguridad no podrá seguir funcionando con ritmos, controles y estructuras pensadas para un mundo anterior a la IA agéntica. Las organizaciones que traten estos cambios como un problema puntual llegarán tarde. Las que los entiendan como una evolución estructural tendrán más opciones de innovar sin perder el control.
Preguntas frecuentes
¿Cuáles son las principales prioridades de ciberseguridad para 2026?
KPMG identifica ocho áreas: seguridad autónoma, geopolítica y cumplimiento, protección de sistemas de IA, identidades no humanas, hiperconectividad IT/OT, criptografía poscuántica, cadena de suministro y ampliación del papel del CISO.
¿Por qué la IA cambia tanto la ciberseguridad?
Porque introduce agentes capaces de actuar, arquitecturas RAG conectadas a datos corporativos, nuevas superficies de ataque, más automatización y una velocidad mayor tanto para defensores como para atacantes.
¿Qué son las identidades no humanas?
Son cuentas de servicio, credenciales de máquina, bots, agentes de IA, APIs y automatizaciones que acceden a sistemas y datos sin ser usuarios humanos directos.
¿Qué deberían hacer las empresas ahora?
Inventariar agentes y modelos, revisar permisos, acelerar parcheo, reforzar observabilidad, preparar la transición poscuántica, controlar la cadena de suministro de IA y formar equipos especializados en seguridad de IA.
