BizkaIA SUMMIT

11 4 marzo 2026 bizkaia summit » L. A. I. «Tengo unos compañeros al otro lado de la barrera (los ciberdelin- cuentes) que están muy emociona- dos con la IA porque su principal cuello de botella, que era automati- zar las acciones y desarrollar tecno- logía compleja para atacarnos, está desapareciendo», comenzó su ponencia Xavi Pes,VP de AI Secu- rity Studios (división diseñada para ayudar a las organizaciones a anti- cipar, defenderse y responder a las amenazas de la IA) en Plain Con- cepts. «Ellos no tienen marcos de gobierno y no necesitan desplegar ciberseguridad, y por eso desarro- llar la IA por su parte es mucho más sencillo», continuó el experto. Si ade- más añadimos a la ecuación que los agentes son una tecnología cada vez más instaurada en muchas corpo- raciones, las posibilidades ‘del mal’ se multiplican. Una realidad que se refleja en que no sólo hay un incremento de los ataques sino que su complejidad y velocidad es cada vez mayor «bási- camente porque nosotros estamos empezando a poner esta tecnología en producción y ellos están tenien- do herramientas cada vez más potentes para atacarnos», detalló Pes. El mayor ejemplo es que «has- ta ahora los equipos de cibersegu- ridad teníamos varias semanas para reaccionar desde la primera alerta hasta que había una explotación real, y ahora se ha comprimido a horas o días hasta el punto de que si no eres capaz de automatizar y acele- rar no puedes responder», puso sobre la mesa el experto. Pero lo que realmente está cam- biando las reglas del juego de la ciberseguridad es la superficie de ataque, es decir, todas las nuevas formas que los ‘malos’ tienen de acceder a nosotros. «Hace 20 años la ciberseguridad era poner un firewall, de repente descubrimos que se podían subir las cosas al cloud, que podíamos trabajar des- de casa… y la complejidad de todo se ha incrementado de forma expo- nencial; a ello hay que añadirle que ahora metemos IA en todo y así la superficie de ataque es cada vez es más amplia y ellos tienen más herra- mientas» para hacer daño.Y lo que es más, «no sólo tenemos una mayor superficie de ataque en cuanto a tamaño (nodos de red, servidores, sistemas…) sino que estamos inven- tando nuevas maneras de atacar- nos, y si ya nos costaba controlar las amenazas con el entorno que tenía- mos antes, si le metemos IA es aún peor», lamentó Pes. Necesidad de colaboración Entonces, ¿qué podemos hacer? «Igual que estamos transformando los procesos para trabajar con IA tenemos que hacer evolucionar la ciberseguridad a la misma altura. No siempre se tiene que ir más rápi- do para llegar más lejos sino que estamos en un momento magnífi- co en el que replantearnos muchí- simas cosas a nivel tecnológico, esta- mos avanzando a una velocidad nunca antes vista y el gran punto que falta es colaboración. Esto ya no va de lo que opina el equipo de data, de lo que hace el equipo de infraestructuras, de las aplicaciones que desarrolla otro equipo… va de entender hacia dónde quiere ir la organización, qué herramientas tec- nológicas queremos implantar y cómo queremos mitigar estos ries- gos», alentó Pes. «Si tenemos que llevar la IA a pro- ducción, tenemos que entender cómo funciona y adaptarla a nues- tros requisitos de seguridad, gobier- no y cumplimiento, y esto a día de hoy no está resuelto», señaló el exper- to de Plain Concepts. Para ello, y teniendo en cuenta que «los atacan- tes han aprendido a usar nuestras propias herramientas de producti- vidad como armas», Pes concluyó su intervención con cuatro reco- mendaciones básicas: «Hay que hacer inventario de seguridad de todos los agentes y permisos, es decir, saber lo que tenemos; gestio- nar las identidades no humanas como prioridades de ciberseguri- dad, o lo que es lo mismo, todos estos agentes actúan y acceden a sistemas en nombre de alguien, así que en lugar de delegarle una API de todo un sistema debo ser capaz de delegar una identidad para hacer una acción acotada a ese agente en un tiempo concreto; en tercer lugar, establecer nuevos playbooks de res- puesta ante incidentes; y por últi- mo, pero la más importante de todas, que la securización de la IA no debe venir del presupuesto de seguridad sino estar contemplada de base cuando desde el propio dise- ño de esos entornos», concluyó Pes. Xavi Pes alertó de cómo la IA «aumenta la superficie de ataque de los ‘malos’, por eso debemos «hacer evolucionar la ciberseguridad a la misma altura» «Estamos inventando nuevas maneras de atacarnos» El experto en ciberseguridad, Xavi Pes.