Muchas empresas creen que su problema de ciberseguridad se resuelve contratando más personal o comprando más software. En 2026, el verdadero riesgo suele estar en otro lugar: equipos sin criterio para usar IA con responsabilidad, velocidad y sentido empresarial.
La brecha de habilidades en ciberseguridad ya no puede entenderse solo como escasez de personal. Hoy es, sobre todo, una brecha de criterio, formación y capacidad real para integrar inteligencia artificial en la defensa del negocio. Diversos estudios recientes muestran que las organizaciones ya usan o planean usar IA en ciberseguridad, pero muchas todavía carecen de la experiencia necesaria para gobernarla, interpretarla y convertirla en una ventaja operativa. Al final de este artículo comprenderá por qué la IA no reemplaza al talento, por qué amplifica tanto la defensa como el riesgo, y cómo abordar esta situación desde una visión de arquitectura empresarial funcional, donde tecnología, procesos, roles y decisiones trabajan de forma coherente.
La afirmación de que las destrezas en IA son cruciales para cerrar la brecha de habilidades en ciberseguridad no es una moda pasajera. Es una advertencia seria para la dirección empresarial. La nota de ITware Latam, basada en hallazgos de Fortinet, apunta a una realidad que muchas compañías ya están viviendo: la ciberseguridad dejó de ser un asunto meramente técnico y pasó a convertirse en una prioridad de junta, de gerencia y de continuidad del negocio. Fortinet señala que la expansión de la IA, junto con el crecimiento del riesgo operativo, está llevando este tema al nivel directivo.
Pero aquí conviene detenerse un momento. En muchas empresas, cuando aparece un problema complejo, la reacción suele ser predecible: comprar una nueva plataforma, contratar una herramienta con palabras rimbombantes o incorporar una solución “inteligente” esperando que por sí sola cierre la vulnerabilidad. Ese enfoque casi siempre fracasa. No porque la tecnología sea mala, sino porque la organización la introduce sobre una estructura débil, con procesos difusos, roles ambiguos y una visión fragmentada del riesgo.
Ese es el punto que más me interesa subrayar: la brecha en ciberseguridad no es únicamente una brecha de especialistas. Es también una brecha de arquitectura empresarial. Cuando una empresa no tiene clara su estructura de decisiones, sus flujos de información, sus niveles de responsabilidad y sus criterios de priorización, cualquier herramienta de IA termina funcionando como un acelerador del desorden.
Los datos recientes son contundentes. El estudio de ISC2 de 2025 muestra que los profesionales del sector ya no priorizan solamente la falta de personas, sino la falta de habilidades críticas. De hecho, ISC2 decidió no publicar este año una estimación tradicional de “brecha de personal” porque el problema central se está desplazando hacia la calidad y profundidad de las capacidades requeridas. Además, el informe señala que la IA está creando oportunidades, pero exige inversión en multicapacitación y desarrollo de competencias, incluso en medio de restricciones presupuestales.
Esa conclusión es muy importante para cualquier empresario. Significa que la pregunta correcta no es “¿cuántas personas me faltan?”, sino “¿qué capacidades reales tiene hoy mi organización para anticipar, interpretar y responder a amenazas en un entorno donde la IA acelera tanto al atacante como al defensor?”.
El Foro Económico Mundial refuerza esta idea. En su Future of Jobs Report 2025, la IA y el big data aparecen entre las habilidades de mayor crecimiento, seguidas por redes y ciberseguridad. No estamos hablando de competencias separadas. El mercado está mostrando que ambas ya forman parte de una misma conversación empresarial: proteger, analizar, automatizar y decidir mejor.
Ahora bien, no toda empresa necesita un laboratorio sofisticado de modelos avanzados para empezar a actuar con inteligencia. Lo que sí necesita es comprender dónde la IA aporta valor real en ciberseguridad. Fortinet encontró que 97% de las organizaciones encuestadas ya usan o planean implementar soluciones de ciberseguridad habilitadas por IA. Las áreas de mayor interés son detección y prevención de amenazas, automatización de seguridad e inteligencia de amenazas. En América Latina, además, el interés por usar IA para detección y prevención aparece especialmente alto, mientras que la preocupación por la falta de experiencia en IA también es mayor que en otras regiones.
Ahí aparece la paradoja más delicada. La región quiere usar IA en seguridad, pero al mismo tiempo reconoce que no tiene suficientes destrezas para gobernarla con madurez. Y ese vacío no se resuelve instalando más paneles, más alertas o más dashboards. Se resuelve formando criterio organizacional.
Formar criterio significa varias cosas. Significa que la alta dirección entienda qué riesgos está asumiendo cuando adopta IA. Significa que el área tecnológica no vea la IA como un juguete, sino como un activo que debe ser gestionado. Significa que los equipos de seguridad aprendan no solo a operar herramientas, sino a interpretar resultados, validar sesgos, identificar falsos positivos, entender dependencias de datos y responder con procedimientos claros.
Desde una perspectiva empresarial madura, el problema no está en la falta de entusiasmo por la IA. El problema está en la ausencia de estructura para convertir ese entusiasmo en capacidad funcional. He visto organizaciones con licencias costosas y equipos agotados, donde nadie tiene claro quién valida una alerta automatizada, quién responde ante una desviación, quién supervisa el uso de datos sensibles y quién informa a la gerencia cuando la automatización empieza a producir confianza falsa.
Ese último riesgo es más común de lo que parece. Cuando una empresa adopta IA en ciberseguridad sin marco de gobierno, suele caer en una ilusión peligrosa: creer que está más protegida porque ahora “la máquina aprende”. En realidad, una defensa automatizada mal integrada puede ampliar la superficie de error. El Global Cybersecurity Outlook 2025 del Foro Económico Mundial advierte que el cibercrimen sigue creciendo en frecuencia y sofisticación, incluyendo tácticas potenciadas por IA como phishing, vishing y deepfakes, mientras el aumento de exigencias regulatorias y la ampliación de la brecha de habilidades complican la gestión del riesgo.
Por eso el camino serio no consiste en reemplazar personas por IA, sino en rediseñar la relación entre personas, procesos y tecnología. La IA debe descargar tareas repetitivas, mejorar correlación de eventos, acelerar análisis y apoyar decisiones. Pero la decisión final sobre riesgo, prioridad, escalamiento y cumplimiento sigue siendo humana y organizacional.
Aquí la arquitectura empresarial cumple un papel decisivo. Una empresa funcional no pregunta primero qué herramienta comprar. Pregunta primero qué proceso quiere asegurar, qué activo crítico debe proteger, qué responsabilidades existen, qué datos circulan, qué normas aplican y qué resultado de negocio se está buscando preservar. Solo después entra la tecnología, y entra con propósito.
En este punto conviene mirar también la gobernanza. NIST mantiene que la gestión de riesgos en IA debe incorporar consideraciones de confiabilidad, evaluación, uso y supervisión. Su perfil para IA generativa, publicado en 2024, busca precisamente ayudar a las organizaciones a identificar riesgos específicos y adoptar acciones más alineadas con sus objetivos. Dicho en lenguaje empresarial: la IA no debe implementarse solo porque está disponible, sino porque puede ser administrada de forma confiable, trazable y útil.
Este principio es especialmente relevante para empresas medianas, grupos empresariales y organizaciones en crecimiento. Allí suele haber una combinación difícil: presión por modernizarse, recursos limitados, equipos pequeños y expectativas desproporcionadas sobre la automatización. En esos contextos, la mejor inversión no siempre es la herramienta más costosa. A menudo es un programa serio de formación aplicada, un modelo claro de gobierno de datos, una definición correcta de roles y una ruta gradual de adopción.
Por eso insisto en algo que muchas compañías todavía subestiman: la ciberseguridad con IA no comienza en el software. Comienza en la estructura. Comienza cuando la empresa decide quién observa, quién analiza, quién aprueba, quién actúa y cómo se mide el resultado. Sin eso, la inteligencia artificial solo corre más rápido que la madurez institucional.
También es importante revisar la forma de contratar. Fortinet insiste en que las organizaciones deben abrir múltiples caminos hacia la experiencia, no depender únicamente de títulos tradicionales, e invertir en certificaciones, entrenamiento y nuevos grupos de talento. ISC2, por su parte, conecta claramente la escasez de habilidades con mayor riesgo, más incidentes y más fatiga del personal. Esto tiene una consecuencia directa para el empresario: si no desarrolla talento, terminará pagando la brecha en interrupciones, rotación, errores de juicio o pérdida de confianza.
En el ecosistema de blogs de TODO EN UNO.NET, este tema conversa naturalmente con la reflexión sobre organización funcional, cumplimiento y tratamiento responsable de datos. Por eso, cuando se estudian estos desafíos, también resulta pertinente revisar enfoques complementarios en espacios como https://organizaciontodoenuno.blogspot.com y https://todoenunonet-habeasdata.blogspot.com, donde la conversación sobre estructura y responsabilidad adquiere un valor práctico para la empresa.
La conclusión empresarial es clara. La brecha de habilidades en ciberseguridad no se cierra contratando por inercia ni acumulando plataformas. Se cierra cuando la empresa entiende que la IA exige una nueva disciplina de dirección: más formación, más gobierno, más trazabilidad y más criterio funcional. La tecnología seguirá avanzando. Los atacantes también. La verdadera diferencia estará en las organizaciones que aprendan a integrar inteligencia, estructura y responsabilidad en una sola arquitectura de decisiones.
Y ahí está la lección de fondo: una empresa segura no es la que más herramientas presume, sino la que mejor articula personas, procesos, información y tecnología alrededor de un propósito funcional. Antes de automatizar, hay que comprender. Antes de escalar, hay que ordenar. Antes de confiar en la IA, hay que diseñar una empresa capaz de usarla con criterio.
La inteligencia no transforma a la empresa cuando se instala en un sistema; la transforma cuando se convierte en criterio para decidir mejor.
“Nunca la tecnología por la tecnología en sí misma, sino la tecnología por la funcionalidad.”