El CISO ya no es un escudo: la IA lo obliga a ser estratega o quedarse fuera

La IA acorta ataques pero también da superpoderes a los defensores. Bankinter, Mapfre y BBVA debaten el nuevo rol del CISO como arquitecto de gobernanza, no solo de defensas.

El CISO ya no es un escudo: la IA lo obliga a ser estratega o quedarse fuera

Foto: Tiger Lily

La inteligencia artificial llegó a la ciberseguridad para redefinir quién tiene la sartén por el mango. Mientras los ciberdelincuentes usan modelos generativos para acortar tiempos de ejecución y ampliar el blanco de sus ataques, los defensores tienen una ventana que no pueden dejar pasar: convertirse en early adopters de la misma tecnología o quedar rezagados. En el Cybersecurity Summer Edition 2026, CISOs de Bankinter, Mapfre, BBVA e IAAS365 coincidieron en que la ventaja inicial del atacante es real, pero temporal. Jacinto Muñoz, CISO de Mapfre Iberia, lo resumió así: "Los atacantes pueden ganar batallas, pero los defensores, al adquirir un conocimiento más profundo de la tecnología, son quienes finalmente ganan la guerra". La clave está en la asimetría de conocimiento: quien entiende primero la IA, controla el tablero.

La gobernanza como nuevo campo de batalla

La discusión no se queda en la tecnología. En el centro del debate está el concepto de "Human-in-the-loop", que implica que ningún proceso automatizado debe operar sin supervisión humana. Juan Carlos Muñoz, CISO de Bankinter, explicó que su entidad creó un Chief Artificial Intelligence Transformation Officer (CAITO) para implementar el programa IA First, lanzado a principios de año. El mensaje es claro: la IA no reemplaza a los equipos de seguridad, los obliga a reorganizarse. Para el mercado latinoamericano, donde muchas empresas aún operan con equipos reducidos y estructuras planas, esta figura puede ser un lujo que pocos puedan costear. La pregunta incómoda es si los CISOs de la región pueden asumir ese rol sin el presupuesto ni el talento que exige.

Patrocinado Advertisement

Miguel Ángel Arroyo, CISO de IaaS365, puso sobre la mesa el riesgo de la "falta de explicabilidad" en las decisiones de los agentes de IA, un problema que se agrava cuando los sistemas operan con permisos sin auditoría. En un contexto donde las regulaciones de protección de datos en países como Brasil (LGPD), México o Argentina son cada vez más estrictas, la opacidad algorítmica no es solo un problema técnico, sino un riesgo legal mayúsculo. Si un agente de IA decide bloquear una transacción o denegar un acceso y no se puede reconstruir su razonamiento, la defensa ante un regulador se vuelve casi imposible.

El costo de no subirse a tiempo

El desafío para los CISOs latinoamericanos es doble: no solo deben dominar la IA como herramienta ofensiva y defensiva, sino que además deben hacerlo con presupuestos que siguen siendo una fracción de los de sus pares europeos o estadounidenses. Mientras Bankinter o Mapfre pueden destinar fondos a un CAITO y a una plataforma como SAP Business AI Platform (que exige inversiones que arrancan en cientos de miles de euros por proyecto), las empresas de la región necesitan soluciones modulares y de código abierto para no quedar fuera del juego. Pero hay un dato que no se puede ignorar: la IA no solo automatiza defensas, también automatiza ataques, y los criminales cibernéticos no tienen restricciones de presupuesto ni de gobernanza.

La mesa redonda del Cybersecurity Summer Edition dejó un mensaje que resuena especialmente en América Latina: la falta de explicabilidad y de supervisión puede ser más peligrosa que la ausencia de defensas. Jacinto Muñoz advirtió que los agentes de IA deben operar con controles de privilegios estrictos, evitando que actúen como "usuarios privilegiados con permisos excesivos". En organizaciones donde el CISO aún pelea para que el board entienda la diferencia entre un firewall y un SIEM, explicar que un agente de IA autónomo puede convertirse en un backdoor viviente es una batalla cultural que no admite demoras.

El nuevo rol del CISO: arquitecto de gobernanza

El consenso de los expertos es que el CISO de 2026 no puede ser solo el guardián de las puertas. Tiene que ser el arquitecto de una gobernanza que integre la IA como un habilitador, no como una amenaza. Esto implica crear nuevos roles de supervisión, establecer auditorías continuas sobre los algoritmos y, sobre todo, educar a la dirección ejecutiva para que entienda que la IA no es un proyecto de IT, sino una decisión estratégica de negocio.

Para los ejecutivos latinoamericanos, la reflexión final es preventiva: si hoy no tienen definido quién audita las decisiones de sus modelos de IA, están operando con el freno de mano suelto en una pendiente. La guerra la ganan los defensores, pero solo aquellos que se atreven a conocer y controlar la tecnología antes de que ella los controle a ellos.

Fuentes

  1. CISO discuten el impacto de la inteligencia artificial en ciberseguridad
  2. La ciberseguridad entra en los consejos: la IA redefine el papel de los CISO
  3. Ciberseguridad e inteligencia artificial: desafíos para el CISO en 2026 | S2GRUPO
  4. La IA en ciberseguridad: perspectivas y reflexiones de CISOs
  5. La IA desborda a las empresas y redefine las prioridades del CISO | Seguridad | IT User
Marcelo Peguero

Escrito por

Marcelo Peguero

Consultor de estándares

Versátil por naturaleza, estratégico por formación. Co-fundador de Isoinnova, experto en certificaciones de calidad y gestión organizacional, con un ojo puesto en el ecosistema cripto y las tecnologías financieras emergentes. Marcelo ve la IA desde el ángulo del inversor y del gestor — quién está ganando, quién está perdiendo y adónde va el dinero.