Acceso invisible, riesgos visibles: El desafío de la ciberseguridad en la era de la IA

Por Eduardo Travieso Itriago

Para KPMG, el concepto de «acceso invisible» hace referencia a la capa de servicios, APIs y procesos automatizados que permiten el funcionamiento de las empresas modernas sin intervención humana constante. Si bien esto aporta eficiencia, crea un perímetro de seguridad difuso. La firma advierte que la facilidad con la que los sistemas interactúan entre sí ha generado «puntos ciegos» que los ciberdelincuentes están explotando para infiltrar redes corporativas, robar datos y ejecutar ataques de ransomware de manera silenciosa.

Ejes de Riesgo Identificados

El informe destaca tres áreas críticas donde la visibilidad se ha perdido:

• Dependencia de Terceros y APIs: La integración masiva de software de proveedores externos crea vulnerabilidades en la cadena de suministro digital; si un proveedor es vulnerado, el acceso se vuelve invisible pero dañino.
• Automatización sin Supervisión (IA): El uso de agentes de IA para gestionar flujos de trabajo críticos puede derivar en decisiones erróneas o maliciosas si los sistemas de control no están diseñados con parámetros de seguridad robustos.
• Erosión del Perímetro Tradicional: Con el trabajo híbrido y el uso de dispositivos personales para tareas laborales, la red corporativa ya no es un lugar físico, sino una red de identidades dispersas que son difíciles de monitorear.

Recomendaciones Estratégicas de KPMG

Para mitigar estos riesgos visibles, la firma propone un cambio de paradigma en la gobernanza tecnológica:

1. Arquitectura Zero Trust (Confianza Cero): Implementar un modelo donde nunca se confía por defecto, verificando continuamente cada solicitud de acceso, sin importar su origen.
2. Visibilidad Extrema (Observabilidad): Invertir en herramientas que permitan mapear en tiempo real todas las conexiones e interacciones que ocurren en la infraestructura digital, haciendo «visible» lo invisible.
3. Resiliencia Proactiva: No basta con prevenir; las organizaciones deben tener protocolos de respuesta ante incidentes que asuman que la brecha ya ha ocurrido, permitiendo una recuperación rápida sin detener la operación.

Con este informe, KPMG Colombia posiciona la ciberseguridad no como una barrera técnica, sino como un habilitador estratégico de negocio. En 2026, la capacidad de una empresa para gestionar sus accesos invisibles determinará su estabilidad frente a un panorama de amenazas cada vez más sofisticado. La visibilidad de los riesgos es, en última instancia, la única defensa efectiva contra los ataques que ocurren bajo el radar.

Por Eduardo Travieso Itriago