El impacto que tendrá la inteligencia artificial en la ciberseguridad empresarial en 2026 fue analizado por los expertos de Kaspersky, quienes prevén que la rápida adopción de modelos de lenguaje, sistemas generativos y agentes autónomos marcará un antes y un después tanto en las capacidades defensivas de las organizaciones como en el nivel de sofisticación de los ciberataques.
En un contexto donde la digitalización, el trabajo híbrido y la automatización ya son parte central del negocio, la IA se transformará en un elemento crítico para la resiliencia operativa, la reputación corporativa y la continuidad del negocio.
1. Los deepfakes pasarán de ser una amenaza emergente a riesgo estructural para las empresas. El dato de que el 72% de los ciudadanos chilenos todavía no tiene claridad sobre qué es un deepfake, de acuerdo a una investigación realizada por Kaspersky, indica una debilidad significativa para las compañías de la zona. Esta carencia de comprensión pone en riesgo a empleados, proveedores y consumidores frente a fraudes que son cada vez más realistas, originados por inteligencia artificial, en un contexto donde la suplantación de identidad, así como la alteración de voz e imagen y las técnicas avanzadas de ingeniería social, avanzan más rápido que la habilidad humana para detectarlos.
Los deepfakes estarán plenamente integrados en el panorama de riesgos corporativos en 2026, por lo que las organizaciones deben abordarlos como riesgos constantes y no como eventos esporádicos. La suplantación de altos directivos, las estafas económicas, la alteración de la comunicación interna y los asaltos al sector clave como finanzas, adquisiciones y administración general transformarán la falta de conocimiento en una amenaza directa para la supervivencia empresarial, la imagen de la empresa y la solidez financiera.
2. Mayor calidad y accesibilidad del fraude basado en IA. La notable mejora en la calidad del audio sintético facilitará la creación de ataques de voz muy verosímiles, mientras que las herramientas para su producción serán cada vez más accesibles. Esto aumentará los incidentes de fraude por suplantación, engaños en transferencias, manipulación de proveedores y asaltos en el ámbito financiero.
3. Falta de estándares sólidos para identificar contenido generado por IA. La falta de sistemas globales realmente efectivos para clasificar e identificar el contenido producido por inteligencia artificial llevará a las organizaciones a fortalecer sus propios métodos de validación, verificación y control de autenticidad, sobre todo en procesos críticos como aprobaciones de pagos, comunicaciones internas y gestión de proveedores. Esto requerirá modificaciones en los flujos operativos y una inversión adicional en tecnología y formación.
4. La IA como motor transversal en toda la cadena del ciberataque. La inteligencia artificial será fundamental para que los atacantes puedan llevar a cabo labores que anteriormente necesitaban un alto grado de especialización. Desde la organización y creación de recursos hasta el establecimiento de sistemas y la elaboración de mensajes engañosos, la inteligencia artificial acortará considerablemente los plazos y aumentará la profesionalidad en cada etapa del asalto.
Esto se traducirá en operaciones más rápidas, más escalables y mucho más difíciles de rastrear, aumentando la capacidad de los atacantes para adaptarse, evadir defensas y lanzar campañas altamente personalizadas contra organizaciones puntuales.
5. Regulación, secure by design y control corporativo del uso de la IA. Aunque las regulaciones y las políticas gubernamentales desempeñarán una función fundamental en la incorporación responsable de la inteligencia artificial, como evidencian las discusiones legislativas en Colombia y Brasil, la administración adecuada de los peligros vinculados a la IA no puede ser confiada únicamente a la normativa existente. Las instituciones deben adelantarse e incorporar principios de seguridad y privacidad desde las fases tempranas de concepción, desarrollo y puesta en marcha de sistemas de inteligencia artificial, a lo largo de todo su ciclo de vida, con el propósito de evitar riesgos tales como la pérdida de datos, manipulaciones, parcialidades y el uso inapropiado de información sensible.
En este marco, la elección de aceptar, limitar o restringir la utilización de inteligencia artificial dentro de la empresa debe ser incorporada en la matriz de riesgos de la organización y formalizarse a través de políticas internas claras para la gobernanza de la IA. Para resguardar la ciberseguridad empresarial no se debe permitir la automatización ni el procesamiento a través de inteligencia artificial de procesos, datos y activos críticos o confidenciales sin realizar previamente evaluaciones de impacto, implementar controles técnicos sólidos, llevar a cabo auditorías regulares y establecer mecanismos de supervisión humana, para asegurar que su uso esté en línea con los nuevos principios regulatorios y garantizar que la compañía conserve el control completo sobre su información, decisiones y operaciones fundamentales.
Claudio Martinelli, director general de las Américas en Kaspersky, explica que “lo más disruptivo de 2026 no será únicamente la capacidad técnica de los deepfakes o de la IA, sino el impacto directo que tendrán en la toma de decisiones empresariales. Las compañías deberán operar en un entorno en el que ya no será posible asumir que la información es auténtica por defecto, lo que obliga a repensar controles, políticas internas y modelos de seguridad desde el diseño. Esta pérdida de certeza transformará la forma en que se aprueban operaciones, se gestionan riesgos y se protege la confianza dentro de la organización. La verdadera ventaja competitiva ya no estará solo en detectar amenazas, sino en construir modelos de negocio resilientes, donde el uso de la IA esté alineado a la matriz de riesgo y la veracidad de la información deba ser verificada de manera sistemática”.
Los expertos de Kaspersky entregan las siguientes recomendaciones para evitar este tipo de vulnerabilidades y potenciar la ciberseguridad empresarial:
• Control web para reducir riesgos desde la navegación: Las empresas deben utilizar web control para regular a qué sitios y recursos pueden acceder los empleados. Así se pueden bloquear páginas maliciosas, plataformas de fraude o herramientas de generación de contenido peligroso, reduciendo el riesgo de infecciones, estafas y fugas de información desde el origen.
• Control de aplicaciones en equipos y celulares corporativos: Es crucial emplear application control en desktops y mobile device management (MDM) para determinar qué aplicaciones pueden usarse dentro de la empresa. Esto permite bloquear apps legítimas que están siendo usadas para estafas cuando no son necesarias para la operación, evitando suplantaciones, fraudes y comunicaciones no autorizadas.
• Capacitación continua, el factor humano sigue siendo el mayor riesgo: Las empresas deben invertir constantemente en la educación de sus colaboradores, pues el error humano sigue siendo la principal puerta de entrada de los ataques. Plataformas como Kaspersky Automated Security Awareness Platform (ASAP) de Kaspersky permiten capacitar a los empleados con cursos y simulaciones prácticas para minimizar el riesgo de fraudes, phishing y suplantaciones basadas en IA.
