La conversación sobre seguridad corporativa cobra una urgencia renovada tras la reciente alerta internacional sobre campañas que comprometen routers WiFi para recolectar credenciales en más de 100 países. Este escenario no es aislado: según el informe Previsión de ciberseguridad para el 2026 de Google Cloud, se espera que, a partir del próximo año, el uso de la IA por parte de los cibercriminales deje de ser una excepción para co
En el caso peruano, la exposición es crítica. Durante la primera mitad de 2025 se detectaron 748,2 millones de intentos de ciberataques. Este volumen de actividad coincide con una tendencia global alarmante; durante el primer trimestre de 2025 se registró la cifra más alta de víctimas en sitios de filtración de datos desde 2020, consolidando la madurez del ecosistema de extorsión cibernética que se convierte en la norma, aumentando la velocidad y eficacia de los ataques.
Este escenario confirma que el riesgo ya no puede evaluarse solo desde lo administrativo. Para Vicente Cruz, CEO de Sheriff, buena parte del peligro se mueve en capas donde hay una «falsa sensación de control».
A este desorden se suma un nuevo desafío identificado por Google: el «uso no autorizado de agentes» o Shadow AI.Los empleados están implementando de forma independiente potentes agentes de IA para sus tareas sin aprobación de la empresa, lo que crea canalizaciones invisibles para datos sensibles que pueden derivar en filtraciones masivas y robo de propiedad intelectual
“Lo más delicado es la normalización del desorden. Cuando ciertas malas prácticas se vuelven parte del día a día, dejan de percibirse como riesgo. Ahí es donde una empresa queda expuesta ante ataques de ingeniería social basada en IA, que ya utiliza técnicas como el vishing o clonación de voz para suplantar identidades de ejecutivos de forma hiperrealista”, advierte Cruz, en línea con las previsiones de Google sobre el aumento de estas tácticas para 2026
El propio Estado peruano, a través del Centro Nacional de Seguridad Digital (CNSD), ha reforzado simulacros para enfrentar vulnerabilidades en la cadena de suministros y accesos remotos. Sin embargo, el informe de Google advierte que los atacantes están sofisticando su enfoque hacia la infraestructura de virtualización, un punto ciego que permite a los adversarios tomar el control de todo el patrimonio digital de una empresa en cuestión de horas
“Cuando una organización solo reacciona después de un incidente, normalmente llega tarde. La prevención no depende únicamente de grandes inversiones, sino de identificar las zonas más frágiles y corregir hábitos”, afirma Cruz.
Finalmente, el especialista destaca que el mayor error es el exceso de confianza. De cara al 2026, las organizaciones deben adoptar una defensa proactiva y de varias capas, invirtiendo en la administración de la IA y adaptando sus posturas de seguridad para protegerse contra amenazas que ya no solo atacan el software, sino la infraestructura central de los negocios
“Si una operación se acostumbra a convivir con puntos ciegos, cualquier incidente puede escalar más rápido de lo previsto. El objetivo de Sheriff es que las empresas dejen de cabalgar a ciegas en este ‘Lejano Oeste’ digital y tomen decisiones basadas en datos íntegros y seguros”, finaliza Cruz.