El 52% de los consejeros de administración en España identifica la inteligencia artificial generativa, con ChatGPT como referencia más citada, como un riesgo potencial para la ciberseguridad de su organización. Así lo recoge el informe Cybersecurity: The 2023 Board Perspective, publicado por Proofpoint, empresa especializada en protección del correo electrónico y cumplimiento normativo, con datos de encuestas a directivos de varios países europeos, incluido el mercado español.
Los consejos de administración, más alerta pero igual de vulnerables
El 76% de los consejeros encuestados en España cree que su organización corre el riesgo de sufrir un ciberataque en los próximos doce meses, ocho puntos más que en la edición anterior (68%). La mayoría, un 80%, dice que la ciberseguridad es una prioridad para la junta, pero el 52% reconoce no sentirse preparado para responder a un ataque real, cinco puntos más que el año pasado (47%).
El patrón es llamativo: la conciencia sobre el riesgo sube, la inversión también según el 74% de los encuestados, pero la sensación de preparación no sigue el mismo ritmo. El 90% de los consejeros cree que su junta entiende claramente los ciberriesgos, pero ese optimismo no se traduce en confianza operativa cuando se pregunta si podrían gestionar un incidente grave.
La IA generativa entra en el mapa de riesgos de los consejos
Que la mitad de los consejeros mencione la IA generativa como riesgo potencial refleja cómo el debate ha llegado a las salas de juntas mucho más rápido de lo habitual. La preocupación concreta es doble: el uso de herramientas como ChatGPT para mejorar ataques de phishing a escala, y la posible filtración de información corporativa a través del uso descontrolado de estas herramientas por parte de empleados.
Este punto conecta con una tendencia más amplia. Mientras los consejos todavía consideran el malware como principal amenaza, los CISOs (directores de seguridad de la información) se muestran más preocupados por las amenazas internas y el fraude por correo electrónico. La brecha de percepción entre quien toma las decisiones presupuestarias y quien gestiona la seguridad en el día a día sigue siendo un problema de fondo. Como muestra el análisis de Revista Cloud sobre el abuso de credenciales como riesgo silencioso, el malware visible suele recibir más atención que las amenazas que operan sin hacer ruido.
Los CISOs ganan peso en las juntas, pero las diferencias persisten
El informe destaca una mejora en la relación entre consejos y CISOs. El 70% de los directivos españoles afirma interactuar con los responsables de seguridad de forma regular, y la mayoría siente que existe alineación en prioridades. Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad de Proofpoint, considera este acercamiento una señal positiva, aunque advierte que no es el momento de bajar la guardia.
La regulación también presiona en esta dirección. El avance de la normativa europea sobre inteligencia artificial obliga a las organizaciones a definir responsabilidades internas sobre el uso de sistemas de IA, lo que implica que los consejos no pueden seguir delegando todo en el equipo técnico. La IA generativa, considerada un sistema de riesgo en determinados usos, va a exigir decisiones a nivel directivo que antes se tomaban, en el mejor de los casos, a nivel de CISO.
El debate sobre qué implica la llegada de la IA para las empresas en términos legales y de responsabilidad ya está en marcha. El informe de Proofpoint llega en un momento en que los desafíos legales de la IA empiezan a tener forma concreta, y los consejos que aún tratan la ciberseguridad como una cuestión exclusivamente técnica tienen cada vez menos margen para seguir haciéndolo.
Preguntas frecuentes
¿Qué es el informe Cybersecurity: The 2023 Board Perspective de Proofpoint?
Es una encuesta anual de Proofpoint a miembros de consejos de administración de grandes empresas en varios países, incluido España. Analiza su percepción sobre riesgos de ciberseguridad, preparación ante ataques y relación con los CISOs.
¿Por qué la IA generativa preocupa a los consejos de administración?
Principalmente por dos razones: su potencial para mejorar ataques de phishing a escala y el riesgo de que empleados filtren información corporativa al usar herramientas como ChatGPT sin políticas de uso claras.
¿Cuál es la diferencia entre la percepción de los consejos y la de los CISOs sobre las amenazas?
Según el informe, los consejos tienden a priorizar el malware como mayor amenaza, mientras que los CISOs están más centrados en amenazas internas y fraude por correo electrónico. La distancia entre ambas perspectivas complica la toma de decisiones presupuestarias en seguridad.
¿Qué porcentaje de empresas españolas se siente preparada ante un ciberataque?
Solo el 48%, ya que el 52% de los encuestados confiesa no sentirse preparado para enfrentar un ataque en el próximo año, pese a que el 80% dice que la ciberseguridad es una prioridad de la junta.
