Un estudio de Proofpoint revela que el 32% de organizaciones en España ha experimentado incidentes con la IA pese a contar con controles de seguridad de la IA implementados

28/04/2026 - 08:34

En casi ocho de cada diez (78%) entidades españolas no confían plenamente en que sus controles de seguridad de IA detectarían una IA comprometida

El 90% de las organizaciones en España ha desplegado asistentes de IA más allá de la fase piloto.
El 90% tiene dificultades con la complejidad de múltiples herramientas a medida que los riesgos de la IA se expanden a través del correo electrónico, la nube, la colaboración y los sistemas de IA.

Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha publicado su informe “AI and Human Risk Landscape” de 2026, que analiza la brecha cada vez mayor entre la rapidez con la que las organizaciones ponen en práctica la IA y lo preparadas que están para proteger e investigar los riesgos derivados. En este estudio global se han encuestado a más de 1.400 profesionales de la seguridad en 12 países, examinando cómo la rápida adopción de la IA transforma la colaboración empresarial y deja al descubierto debilidades estructurales en los controles de seguridad y la respuesta a incidentes.

La IA se integra cada vez más en las organizaciones y se encuentra operativa en la mayoría de las funciones, con implementaciones que abarcan el soporte al cliente, la mensajería interna, los flujos de trabajo de correo electrónico y la colaboración con terceros. En España, el 90% de las organizaciones ha desplegado asistentes de IA más allá de la fase piloto, y el 64% ha probado o implementado agentes autónomos. Sin embargo, si bien las organizaciones invierten en herramientas y controles de IA, muchas no pueden confirmar que esos controles sean efectivos: el 78% no confía plenamente en que sus controles de seguridad de IA detectarían una IA comprometida, y el 32% con controles implementados ya ha experimentado un incidente relacionado con la IA, confirmado o sospechoso.

La mayoría de las organizaciones españolas declara asimismo que no está completamente preparada para investigar incidentes relacionados con la IA que abarcan múltiples sistemas y canales. Concretamente, solo un tercio afirma estar preparada para abordar una investigación.

“Los resultados de este año destacan la brecha creciente entre la adopción de la IA y la preparación en seguridad”, dice Ryan Kalember, director de estrategia en Proofpoint. “Las organizaciones escalan los asistentes de IA y los agentes autónomos en sus principales flujos de trabajo. No obstante, muchas no pueden confirmar que sus controles sean efectivos o investigar completamente los incidentes que se mueven a través de los canales de colaboración. A medida que la IA se integra en la manera de trabajar, los líderes de seguridad deben reconsiderar cómo protegen las interacciones confiables entre personas, datos y sistemas de IA”.

Estas son las principales conclusiones referentes a España del informe “AI and Human Risk Landscape” realizado por Proofpoint:

El despliegue de la IA ha superado la preparación en seguridad. La adopción de la IA ha sido más rápida que la maduración de los marcos de gobernanza. Mientras que el 90% de las organizaciones ha desplegado asistentes más allá de la fase piloto y el 64% desarrolla agentes autónomos, el 69% describe la seguridad como “una puesta a punto”, “inconsistente” o “reactiva”. Un 27% informa haber experimentado un incidente relacionado con la IA, sospechoso o confirmado, lo que indica que la exposición ya está presente en entornos de producción.
Los canales de colaboración son la principal superficie de ataque de la IA. La IA amplía la superficie de ataque, lo que hace que las amenazas se propaguen a velocidad de máquina e impacten en los flujos de trabajo conectados. Si bien el correo electrónico sigue como el vector de amenaza más común (81%), la exposición ahora se extiende a través de aplicaciones SaaS y en la nube de terceros (47%), plataformas sociales y de mensajería (45%), así como SMS o mensajes de texto (42%). Entre las organizaciones en España que han experimentado un incidente relacionado con la IA, la exposición ha aumentado en todos los canales: un 74% en el correo electrónico y un 56% que involucra asistentes o agentes de IA, SMS o mensajes de texto y plataformas sociales o de mensajería.
La confianza excede la eficacia de los controles. Aunque muchas organizaciones tienen controles de seguridad implementados, carecen de garantías. El 59% de las organizaciones asegura tener cobertura de seguridad de IA implementada. Sin embargo, el 78% no confía plenamente en que esos controles detectarían un compromiso de la IA. De hecho, el 32% de las organizaciones con controles ha reportado algún incidente relacionado con la IA. Persisten las brechas en capacitación (55%), monitorización o registro insuficientes (38%) y alineación de gobernanza entre equipos (35%).
La preparación en investigación se queda atrás de la realidad de los incidentes. Cuando ocurren incidentes relacionados con la IA, muchas organizaciones luchan por investigarlos de manera efectiva. Solamente el 11% de los encuestados asegura estar totalmente preparado para investigar un incidente relacionado con la IA o con agentes, y el 41% señala dificultades para correlacionar amenazas entre canales. Dado que la actividad relacionada con la IA abarca correo electrónico, plataformas de colaboración y sistemas en la nube, la capacidad de reconstruir eventos depende de la visibilidad en entornos conectados, algo que muchas organizaciones aún no tienen.
La proliferación de herramientas forma una barrera estructural. La fragmentación en las pilas de seguridad agrava el desafío, limitando la visibilidad y ralentizando la respuesta cuando los incidentes se mueven a través de los sistemas a velocidad de máquina. El 90% de las organizaciones afirma que gestionar múltiples herramientas de seguridad es al menos moderadamente desafiante, y el 38% lo describe como muy o extremadamente difícil. Los encuestados citan desafíos de integración (53%), presiones de costes operativos (41%) y dificultad para correlacionar amenazas (41%).
La arquitectura de seguridad pasa a prioridad estratégica a medida que escala la IA. El 56% de las organizaciones busca activamente la consolidación de proveedores y herramientas, y el 41% cree que una plataforma unificada es más efectiva que soluciones puntuales. En los próximos 12 meses, el 50% planea expandir las protecciones de IA, el 48% tiene la intención de ampliar la cobertura de los canales de colaboración y el 61% espera avanzar hacia un enfoque de plataforma unificada.

“Aunque la IA ha introducido nuevos riesgos, como la ingeniería de prompts, su mayor impacto ha sido amplificar los riesgos que siempre hemos tenido”, apunta Kalember. “La ejecución de código poco fiable, el manejo incorrecto de datos sensibles y la pérdida de control de credenciales son los mismos desafíos que los humanos han generado durante décadas. La IA los ejecuta a una velocidad y una escala de máquina. Cuando las organizaciones le entregan a la IA las llaves para actuar en su nombre a través de clientes, partners y sistemas internos, el radio de impacto de cualquiera de esos fallos crece drásticamente. La respuesta no es tratar la IA como una nueva categoría de amenaza, sino aplicar controles rigurosos y probados a lo que la IA toca y ejecuta, además de para qué se le permite autenticarse. Las organizaciones que establezcan bien esa base desde el principio escalarán la IA con confianza. Aquellas que no lo hagan, automatizarán su propia exposición”.

###

Para descargar el informe “AI and Human Risk Landscape” de 2026, visita: https://www.proofpoint.com/us/resources/threat-reports/ai-human-risk-landscape-report

Metodología

El informe “AI and Human Risk Landscape” de 2026 ofrece una visión global de la adopción de la IA y la gestión de los riesgos de seguridad derivados por parte de las organizaciones. La investigación examina la madurez de la implementación de la IA, la efectividad de los controles, la experiencia con incidentes, la exposición de los canales de colaboración y la preparación para la investigación a medida que los asistentes de IA y los agentes autónomos se integran en los flujos de trabajo empresariales. En enero de 2026, se encuestó a más de 1.400 profesionales de seguridad a tiempo completo de organizaciones de diversos tamaños e industrias. Los encuestados representaban a 20 sectores y abarcaban 12 países, incluyendo Estados Unidos, Reino Unido, Francia, Alemania, Italia, España, Emiratos Árabes Unidos, Australia, Japón, Singapur, India y Brasil.

###

Acerca de Proofpoint, Inc.

Proofpoint, Inc. es líder mundial en ciberseguridad centrada en las personas y los agentes, y protege la forma en que las personas, los datos y los agentes IA se conectan a través del correo electrónico, la nube y las herramientas de colaboración. Proofpoint es un partner de confianza para más de 80 de las empresas de la lista Fortune 100, para más de 10.000 grandes empresas y para millones de organizaciones más pequeñas a la hora de detener amenazas, prevenir la pérdida de datos y crear resiliencia entre las personas y los flujos de trabajo de IA. La plataforma de colaboración y seguridad de datos de Proofpoint ayuda a organizaciones de todos los tamaños a proteger y ayudar a su personal, al tiempo que adoptan la IA de forma segura y con confianza. Más información en www.proofpoint.com.

Conecta con Proofpoint: LinkedIn

Proofpoint es una marca registrada o nombre comercial de Proofpoint, Inc. en los Estados Unidos y/o en otros países. Todas las demás marcas comerciales mencionadas en este documento son propiedad de sus respectivos titulares.

La ciberseguridad para el espacio de trabajo agéntico comienza con la plataforma de seguridad centrada en las personas y los agentes de Proofpoint.

Únase a un evento Protect en vivo y descubra cómo proteger a las personas, los datos y la IA

Detenga las ciberamenazas con protección multicanal impulsada por IA.

Vea Core Email Protection en acción: bloquee el 99,99 % de las amenazas por correo electrónico.

Transforme la seguridad de los datos con un enfoque unificado y omnicanal.

Comprenda los principales riesgos de seguridad de datos a los que se enfrentan las organizaciones y cómo adelantarse a ellos.

Tecnologías de Proofpoint que impulsan una seguridad centrada en las personas y los agentes.

Explore los paquetes de Proofpoint

Optimice las soluciones de Proofpoint con servicios expertos.

«La asociación con Proofpoint es una extensión de nuestro equipo». — Celesta Capital

Soluciones integrales para las amenazas de ciberseguridad actuales.

Conozca los nuevos riesgos de la IA y cómo construir una base segura para su adopción empresarial.

Protección superior para todos los sectores, desde pequeñas empresas hasta grandes organizaciones.

Descubra los riesgos de seguridad que las organizaciones sanitarias no pueden permitirse ignorar.

Más de 80 empresas del Fortune 100 eligen Proofpoint para proteger a sus personas, datos e IA.

¿Evalúa proveedores de seguridad? Compárenos mediante comparaciones lado a lado.

Investigaciones, análisis y recursos de los expertos de Proofpoint.

Nuevos agentes, nuevos ataques: asegurar la colaboración en la era agéntica

Aprenda de nuestra inteligencia de amenazas experta y de análisis que no encontrará en ningún otro lugar.

Proofpoint DISCARDED: relatos desde las trincheras de la investigación de amenazas

Conozca más sobre el equipo que impulsa una seguridad centrada en las personas y los agentes.

¿Listo para unirse a una empresa que está redefiniendo la ciberseguridad?