La compañía Tenable Research dio a conocer su informe «El estado de la seguridad en la nube y en la IA 2025» donde se revela que la rápida evolución de los sistemas híbridos, multinube y de IA supera las estrategias de seguridad en la nube, creando nuevas capas de complejidad. En este estudio, se muestra como el 34% de las organizaciones con cargas de trabajo de IA ya sufrieron violaciones relacionadas con la tecnología, además, el 14% dijo no estar seguro.

Ambientes complejos dominan, pero la seguridad no acompaña el ritmo

El estudio revela que el 82% de las organizaciones trabaja actualmente con entornos híbridos, combinando infraestructuras locales y en la nube, mientras que el 63% confía en múltiples proveedores cloud. Además, más de la mitad de las empresas (55%) ya ha incorporado la inteligencia artificial (IA) en sus operaciones productivas.

Sin embargo, las medidas de seguridad no avanzan al mismo ritmo que la adopción tecnológica. Solo una de cada cuatro organizaciones (26%) realiza pruebas de seguridad específicas para IA, el 22% aplica clasificación y cifrado de datos, y únicamente el 15% ha implementado prácticas de MLOps (operaciones de aprendizaje automático) centradas en la seguridad. Como consecuencia, surgen problemas de visibilidad fragmentada, gestión inconsistente de identidades y vacíos en la supervisión de riesgos, aspectos que los atacantes pueden aprovechar.

La identidad es el eslabón más débil de la seguridad en la nube

La identidad emergió como la principal vulnerabilidad: el 59% de las organizaciones detectaron identidades desprotegidas y permisos peligrosos como el principal riesgo de seguridad para la infraestructura de la nube. Entre las empresas que sufrieron violaciones, tres de las cuatro principales causas estaban relacionadas con la identidad: exceso de permisos (31%), controles de acceso inconsistentes (27%) y mala higiene de identidad (27%).

Aunque reconocen el problema, las empresas enfrentan brechas estructurales para abordarlo. Según indica la investigación, el 28% reporta desalineación entre equipos de nube e IAM, y el 21% tiene dificultad para aplicar el principio de menor privilegio. La prioridad más citada para los próximos 12 meses es justamente implementar este control (44%) dentro de una estrategia Zero Trust.

Los incidentes tienen causas conocidas, pero el foco aún está en riesgos «nuevos»

Los incidentes de IA, en la práctica, están siendo causados por amenazas tradicionales, como vulnerabilidades de software (21%), fallas de modelos (19%), amenazas internas (18%) y configuraciones incorrectas en la nube (16%). Sin embargo, los equipos de seguridad concentran sus preocupaciones en riesgos considerados «nuevos», como manipulación de modelos (18%) y uso de modelos no autorizados (15%), demostrando una desalineación entre percepción de riesgo y realidad. Esta desalineación sugiere que muchos programas de seguridad aún tratan la IA como algo fundamentalmente nuevo, en vez de aplicar principios comprobados de seguridad de la nube e identidad a estos nuevos sistemas.

La brecha de conocimiento impide el alineamiento estratégico

El estudio identifica que el 34% de los encuestados señala la falta de conocimiento especializado como el principal desafío. Además, el 31% afirma que su liderazgo ejecutivo no tiene conocimientos suficientes de los riesgos de seguridad de la nube, mientras que el 20% observa que los líderes creen que las herramientas integradas del proveedor de nube son «suficientemente buenas».

«Las organizaciones mexicanas están adoptando IA y multinube a una velocidad sin precedentes, pero muchas aún operan con herramientas fragmentadas y sin visibilidad unificada.”, afirma Arturo Barquín, Director General de Tenable México.  “Es fundamental pasar de un modelo reactivo a uno proactivo en la gestión de exposiciones. Las organizaciones logren este salto no solo reducirán su riesgo, sino que ganarán la confianza de socios globales”, finalizó.  

Camino hacia la madurez

Para fortalecer los programas de seguridad en nube e IA, el estudio recomienda que las organizaciones:

• Prioricen la visibilidad unificada y la aplicación consistente de políticas en entornos híbridos y multinube
• Inviertan en gobernanza de identidad, incluyendo controles para identidades con privilegios mínimos y no humanas (IA)
• Amplíen los KPIs para reflejar la prevención y la resiliencia, no solo la respuesta a incidentes
• Alineen el entendimiento del liderazgo con las realidades operacionales para apoyar una planificación y asignación de recursos más inteligentes
• Vayan más allá del cumplimiento como el límite máximo de la seguridad de IA, usándola como punto de partida para salvaguardas técnicas más profundas

«Estamos en medio de la evolución más rápida en la historia de la computación en la nube.  Desafortunadamente, como dejó claro nuestra investigación, muchas estrategias de seguridad ya están totalmente rezagadas», dijo Jim Reavis, cofundador y CEO de la Alianza para la Seguridad en la Nube. «El riesgo de permanecer estáticos crece más cada día.  Las organizaciones necesitan replantear su abordaje y generar defensas adaptativas y preparadas para el futuro que sean capaces de evolucionar tan rápido como la tecnología que protegen».