Las brechas que trae 2026 en ciberseguridad: menos ruido, más resiliencia

Por : Sergio Muniz (Director de Ventas de Gestión de Acceso e Identidades para Latinoamérica)

Aun cuando las amenazas a la ciberseguridad se vuelven cada vez más sofisticadas, 2026 representa una oportunidad para volver a los fundamentos que fortalecen y hacen más resiliente la protección de todos los sistemas informáticos, incluida la Inteligencia Artificial (IA).

A nivel global y regional, el 2026 será el año en el cual la ciberseguridad se volverá algo futurista. Será el año en que las organizaciones entiendan algo incómodo pero decisivo: la mayoría de los ataques más dañinos no entran por fallas sofisticadas, sino por brechas básicas que nunca se cerraron.

Mientras hablamos de inteligencia artificial, muchas veces sin haber concientizado a los empleados sobre conceptos esenciales de seguridad y privacidad, los atacantes ya están usando esas mismas capacidades. Aunque hoy existan herramientas defensivas con IA cada vez más avanzadas por parte de los proveedores, algo tan simple, y tan olvidado, como aplicar correctamente los fundamentos básicos de seguridad podría mitigar una parte significativa del riesgo.

La tecnología avanza, pero los fundamentos siguen siendo el punto más débil. Y en nuestra región, por diversas razones estructurales y culturales, esa debilidad se paga caro.

Como advierte Haider Iqbal, Director de Marketing de Producto en gestión de identidades y accesos de Thales, el mayor riesgo para 2026 no es la inteligencia artificial en sí, sino la distracción que genera. La “fiebre del oro” de la IA está llevando a muchas organizaciones a desplegar nuevas capas tecnológicas sin haber asegurado lo esencial. El resultado es conocido: más superficie de ataques, menos control real.

El dato es contundente y no admite eufemismos. Las amenazas relacionadas con identidad explican hoy la mayoría de las brechas graves. No porque los atacantes sean excepcionalmente brillantes, sino porque siguen encontrando puertas abiertas: identidades mal gestionadas, accesos excesivos, configuraciones incorrectas y parches que nunca llegaron.

Marco Venuti, director de Aceleración del Negocio de Gestión de Identidades y Accesos de Thales, lo resume con crudeza: los equipos de seguridad pasan más tiempo integrando herramientas que gestionando riesgos. En 2026, eso ya no será sostenible.

En América Latina, existen avances acelerados en digitalización financiera, servicios a la ciudadanía en línea, nubes a disposición de usuarios, empresas y organismos públicos pero muchas veces estas mejorías en el día a día carecen de una sólida disciplina de seguridad. Por ello, es necesario dejar de postergar lo básico. La eficiencia se convertirá en la verdadera métrica de la resiliencia cibernética. No más herramientas, sino mejores decisiones.

A esto se suma un riesgo que aparece, y reaparece, de forma consistente en encuestas, foros y reportes globales: la cadena de suministro o “supply chain”. El World Economic Forum vuelve a señalarlo con claridad en sus informes más recientes. El riesgo de supply chain no solo persiste, sino que escaló de manera significativa durante 2025, y lo hizo precisamente porque muchos de sus controles dependen de fundamentos básicos mal resueltos: visibilidad limitada, dependencias no mapeadas, accesos heredados y confianza implícita en terceros.

Este contexto exige también un giro cultural dentro de las organizaciones. La seguridad debe dejar de ser vista como un costo técnico y pasar a ser una responsabilidad empresarial mensurable, al nivel de cualquier otra prioridad estratégica. En 2026, los directorios ya no preguntarán solo si estamos protegidos, sino cuál es el costo real de no estarlo. La cuantificación del riesgo cibernético será tan relevante como cualquier indicador financiero, y los responsables de seguridad deberán hablar ese idioma.

Como advierte Daniel Toh, vicepresidente del área de ingeniería de Thales, las organizaciones deben diseñar asumiendo que los proveedores fallan, que la nube se equivoca y que los accesos mal configurados existen.

Finalmente, hay un riesgo que crece en silencio: el factor humano en un contexto de inteligencia artificial democratizada. El acceso masivo a capacidades ofensivas elimina los picos previsibles de ataque y genera una presión constante. En este escenario, validar identidades, monitorear comportamientos y reducir privilegios internos será tan importante como defenderse de amenazas externas.

¿Cuál es el riesgo para el negocio si un ataque tiene éxito porque no se tomaron acciones prioritarias y básicas? El futuro de la ciberseguridad en 2026 se define por hacer bien lo esencial, de forma disciplinada y continua. Cerrar las brechas básicas es condición, en definitiva, para no cerrar los caminos hacia el desarrollo.