La identidad digital: el frente donde se decide la seguridad ante la IA

Las organizaciones blindan el acceso a aplicaciones y datos sensibles para frenar el impacto del error humano y los deepfakes en 2026

Portal ERP España.

La adopción generalizada de la inteligencia artificial y el repunte de los incidentes de seguridad han forzado un cambio de paradigma en las empresas: el foco ya no está tanto en la infraestructura, como en el control estricto de los accesos. Con el ransomware presente en el 44% de las brechas registradas el pasado ejercicio a nivel global, la identidad digital emerge en 2026 como el nuevo perímetro crítico, siendo el factor humano protagonista del 60% de los incidentes, según datos de Verizon.

En España esta tendencia se ha traducido en más de 2.700 notificaciones de brechas de datos personales ante la Agencia Española de Protección de Datos (AEPD) en el último ejercicio, de las que el 80% corresponden al sector privado y el 20% al sector público. Según Zoho, esta cifra "pone de manifiesto la creciente presión regulatoria y operativa a la que se enfrentan las organizaciones para garantizar la privacidad de la información en contextos cada vez más digitales y complejos".

Esta vulnerabilidad se ve agravada por la falta de actualización de los sistemas centrales. Juan Pablo Plaza, Digital Finance Managing Director de Excelia, advierte de que muchas organizaciones descubren debilidades críticas porque su sistema operativo o de gestión “no se encuentra actualizado en términos de seguridad, dejando expuesta la información crítica de la compañía”. Esta obsolescencia facilita que los atacantes exploten identidades digitales para escalar campañas que ponen en jaque la continuidad del negocio.

El desafío de la IA generativa y la suplantación

La adopción generalizada de la inteligencia artificial ha introducido riesgos de suplantación sin precedentes. El fraude mediante deepfakes de voz y la ingeniería social avanzada permiten hoy eludir controles de identidad que antes se consideraban infalibles. Rafe Pilling, director de Threat Intelligence en Sophos X-Ops, sostiene que el riesgo actual se define por el abuso de la identidad y la IA, señalando que la diferencia entre la resiliencia y el colapso estará en quién logre “visibilidad continua, control de la identidad y una gobernanza real del uso de la IA”.

Te puede interesar: Predicciones de ciberseguridad para 2026: los agentes como nueva amenaza interna

A pesar de la urgencia que dicta el mercado, existe una brecha crítica en la preparación corporativa: según un estudio de Zoho con Arion Research, el 86% de las organizaciones en España reconoce no tener un plan de respuesta ante fallos en el uso de la IA, y apenas un 20% destina presupuesto específico a la protección de la privacidad asociada a esta tecnología.

Como contrapunto, esta presión tecnológica estaría forzando una reacción proactiva según datos de Cisco: la relevancia estratégica de la privacidad es tal que el 93% de las empresas españolas planea incrementar sus inversiones en esta área para intentar cerrar su brecha de seguridad.

En este escenario, Sridhar Iyengar, director general de Zoho en Europa, explica que la incorporación de la IA en los flujos de trabajo “amplifica el impacto de una identidad comprometida”. Iyengar alerta de que una sola cuenta vulnerada puede inducir a un asistente de IA a filtrar datos sensibles, por lo que 2026 marca un punto de inflexión hacia entornos basados en una identidad sólida, autenticación sin contraseñas y navegadores empresariales seguros para, en sus propias palabras, "poder operar con confianza en los próximos años".

El factor humano como eslabón crítico

Y es que, a pesar de la sofisticación tecnológica, la persona detrás del dispositivo sigue siendo el objetivo principal. Josep Bardallo, Cybersecurity & Cloud Director de Excelia, enfatiza la necesidad de una detección temprana, ya que “el usuario es el eslabón débil, tienes que poner medidas para que, aunque den ese primer paso, puedas detectarlos rápidamente”. Esta necesidad de monitorización es vital cuando los empleados interactúan con herramientas públicas de IA generativa, una práctica que preocupa a casi cuatro de cada diez responsables de seguridad en España.

Sobre este aspecto, Matt Cooke, director de estrategia de ciberseguridad para EMEA en Proofpoint, destaca la dificultad de supervisar la información compartida en estos sistemas. Cooke afirma que “una vez que la información confidencial o los datos personales se comparten en un sistema de IA, puede resultar difícil saber a dónde van o cómo se reutilizan esos datos”. En un ecosistema empresarial donde la migración a la nube ha desdibujado las fronteras físicas del servidor, Cooke sostiene que los equipos deben aplicar “defensas coherentes en el correo electrónico, la nube, los endpoints, la web y las herramientas de IA, además de orientar a los usuarios con protecciones oportunas y formación”.

Resiliencia operativa y cumplimiento

Esta necesidad de proteger y formar al usuario no es solo una cuestión de eficiencia operativa, sino que se ha convertido en el eje de un nuevo estándar de resiliencia. En un entorno donde la trazabilidad de los datos compartidos con la IA es cada vez más compleja, la validación de cada acceso —la gestión de identidades— se presenta como la última línea de defensa.

El éxito de las empresas dependerá de su capacidad para unificar la autenticación y blindar el factor humano, algo que será obligatorio bajo el paraguas de nuevas normativas como NIS2, DORA y la Ley de IA de la UE (AI Act). El cumplimiento de estos marcos se integra ahora como un elemento estratégico para garantizar la resiliencia operativa y la privacidad de los datos en un entorno donde la IA ya es capaz de imitar el comportamiento humano con precisión.