Hace poco aún trataba la gente de la «IA» como chapa de congreso. Hoy en cambio, si montas un chatbot o un copiloto interno, ya formas parte del inventario: hay tickets, hay tickets que no deberían existir, y alguien en inglés (sí, siempre en inglés primero) documentando otra tanda de incidentes. Yo no vengo a venderte miedo: vengo a decirte que el salto de «riesgo teórico» a «dolor en producción» ya está ocurriendo, y el mercado sigue enseñando licencias mientras a la seguridad le toca comerse los bacheos.
En 2026 el ecosistema ha dejado de hablar solo de «prompts raros». OWASP publicó su ronda de explotación sobre generative AI y el enfoque es incómodo: no es un paper abstracto, es recopilación de lo que pasa cuando el modelo, el agente o el orquestador tocan datos y privilegios de verdad. Cerca de esto, Cisco ha insistido con su informe anual de estado de la seguridad en IA: en la práctica muchas organizaciones subestiman la superficie que abren al enchufar asistentes, APIs y terceros en la misma sopa.
¿Qué pasa mientras tú aún estás pidiendo a proveedores «una demo bonita»? Pasa lo de siempre, pero acelerado. El Center for Internet Security (CIS) advirtió hace poco de forma explícita que el prompt injection deja de ser truco de laboratorio: instrucciones maliciosas en documentos, correos, fuentes «confiables» que el modelo asimila, y cadenas que terminan leyendo o exfiltrando lo que toca el contexto. No hace falta que te guste el término: hace falta que lo metas en el diagrama de amenazas y no en el pie de un slide.
Desde ESET, en un artículo en español que merece leerse con calma, se listan retos viejos y nuevos: moderación, derechos, privacidad, ética, desinformación. Nada de eso se arregla con «desactiva el sombrero» en el dashboard. Y si buscas otra lente más de infraestructura, en sitios como A10 Networks resumen riesgos que ya conocemos de otros mundos, pero ahora reetiquetados: fugas, código generado dudoso, cadenas de suministro de modelos y plugins, permisos mal cerrados. El patrón es el mismo, la velocidad y la hambre de «lanzar ya» no.
Te digo dónde veo el fallo de mercado, sin rodeos. El precio y el roadmap se deciden con benchmark de benchmarks y con demos que no envejecen. La seguridad entra luego, como capa añadida, cuando en realidad tendría que ser requisito de aceptación desde el minuto cero. Si el modelo o el agente puede tocar leer correo, bases de datos, tickets o repositorios, dejas de ser un proyecto de «innovación» y pasas a ser un vector de exfiltración, con o sin mala intención en la cadena. El usuario final no tiene por qué razonar en tokens: quien pone el producto en producción, sí. Y en mi experiencia, el vacío no está en faltar herramientas, está en faltar dueño y criterio: quién acepta el riesgo, con qué datos, bajo qué reglas y con qué auditoria posterior.
La pregunta incómoda es si tu organización sabe, con números, qué toca hoy un asistente, qué dejó de tocar y qué ocurrió la última vez que un prompt quiso «salirse» del guion. Si la respuesta es «confío en el proveedor», aún estás a tiempo, pero en 2026 eso me suena a plan de contingencia incompleto. La regulación pública añade presión, pero tú y yo sabemos quien se come el susto a las cuatro de la mañana no es un comité: es el equipo que tiene que rastrear logs y justificar un acceso en cadena. Ahí, lo que aportan informes técnicos en abierto, alertas de organismos y guías (OWASP, CIS, vendor research serio) no es entretenimiento: es munición para que alguien con poder firme mínimo de cierre, segmentación, revisión y formación, antes de otra ola de «features» con IA.
Si crees que esto exagera, piénsalo dos veces la próxima vez que oigas «sólo le pasamos un PDF» o «sólo está conectado a Jira»: es exactamente en ese «sólo» donde la superficie deja de ser «cosa de expertos» y pasa a ser tuya.
Fuentes
- OWASP GenAI Security Project, «OWASP GenAI Exploit Round-up Report Q1 2026»
- Cisco, «Cisco State of AI Security 2026»
- CIS, «CIS report warns prompt injection attacks pose growing risk to generative AI»
- ESET WeLiveSecurity, «5 principales desafíos que impone la inteligencia artificial generativa»
- A10 Networks, «Top 9 generative AI security risks»