La adopción corporativa de la inteligencia artificial supera la velocidad de su seguridad

El 99,9% de los fallos corregibles en paquetes de IA permanece sin parches en los entornos de producción en la nube, según un informe de Orca Security.

0
13
Simulación de IA

El despliegue de la inteligencia artificial (IA) ha dejado de ser un terreno de pruebas o proyectos piloto para consolidarse como parte de la infraestructura operativa y crítica de las empresas. Sin embargo, este avance no ha venido acompañado de una maduración equivalente en los protocolos de protección. De acuerdo con el informe 2026 State of AI Security Report, elaborado por la firma de ciberseguridad Orca Security tras analizar la telemetría de más de 1.200 entornos de nube en producción, el 99,9% de las vulnerabilidades conocidas y corregibles en paquetes de IA permanece sin recibir parches de seguridad por parte de las organizaciones.

El estudio, basado en datos recopilados durante el segundo trimestre de 2026 en las plataformas de Amazon Web Services (AWS), Microsoft Azure y Google Cloud, expone una brecha considerable entre la velocidad de adopción tecnológica y la gestión de sus riesgos asociados. Actualmente, el 81% de las organizaciones que emplean paquetes de IA convive con al menos una vulnerabilidad conocida en sus sistemas, una cifra que incrementó respecto al 62% detectado en el reporte de 2024. A esto se suma que la disponibilidad de exploits públicos —códigos que permiten aprovechar una falla de seguridad— para este tipo de paquetes se multiplicó por 250 en el mismo periodo, afectando a la mitad de las vulnerabilidades registradas.

Esta situación coincide con un cambio en la arquitectura de los sistemas corporativos. Las herramientas de IA ya no operan de forma aislada, sino que se encuentran interconectadas con bases de datos empresariales, identidades y servicios en la nube. Según los datos publicados, el 56% de las empresas ha integrado agentes de IA autónomos en sus flujos de producción, mientras que un 51% utiliza esta tecnología para el desarrollo de aplicaciones personalizadas. Asimismo, el 64% de las entidades analizadas utiliza bases de datos vectoriales para gestionar el almacenamiento de la información que alimenta a estos modelos.

La exposición de los datos es otro de los puntos analizados en la investigación. El reporte señala que entre el 87% y el 98% de las cargas de trabajo de IA en los tres principales proveedores de nube carece de cifrado gestionado por el cliente, lo que delega la protección en configuraciones por defecto. Por otra parte, la proliferación de herramientas es notable, dado que el 55% de las organizaciones gestiona de forma simultánea cuatro o más servicios de inteligencia artificial.

La urgencia por mitigar estos riesgos técnicos se ve presionada por el actual marco regulatorio internacional. Las empresas que operan en mercados globales deben adecuarse a normativas de estricto cumplimiento, como las obligaciones para sistemas de IA de alto riesgo contempladas en la Ley de IA de la Unión Europea (EU AI Act), que entran en vigor el 2 de agosto de 2026, o la legislación enmendada del estado de Colorado (EE. UU.), prevista para el 1 de enero de 2027. Estas regulaciones exigen mayores controles de gobernanza, transparencia y gestión de riesgos en todo el ciclo de vida del software.

A pesar de los desafíos estructurales, el análisis registra avances en áreas específicas donde las empresas han dirigido inversiones y disciplina operativa. En las infraestructuras de Amazon SageMaker, la proporción de entornos que operan con acceso de superusuario (root) se redujo del 98% al 76% en comparación con el informe previo. De igual forma, las configuraciones inseguras del servicio de metadatos de instancias (IMDSv2) descendieron del 77% al 48%.

Los especialistas del sector coinciden en que la reducción del riesgo sistémico requiere tratar a los ecosistemas de IA bajo los mismos estándares de supervisión que cualquier otra infraestructura crítica de producción. Esto implica implementar de forma homogénea políticas de acceso bajo el principio de mínimo privilegio, auditorías constantes de credenciales, gestión activa de parches y mecanismos de cifrado personalizados.

Fuente: Orca Security | Editado por CDOL

Custom Text
Artículo anteriorInstagram integra herramientas de inteligencia artificial generativa de forma nativa en sus Historias
Artículo siguienteEl tráfico automatizado redefine la seguridad web