Cada enero, el Foro Económico Mundial publica el barómetro más amplio de la industria, se trata del Global Cybersecurity Outlook, elaborado junto a Accenture con datos de más de 100 CEOs, CISOs y líderes gubernamentales de todo el mundo. La edición 2026 llega con un diagnóstico que no admite interpretaciones optimistas, la velocidad de las amenazas supera la capacidad de respuesta de la mayoría de las organizaciones, la IA está acelerando simultáneamente las capacidades ofensivas y defensivas, la brecha entre quienes pueden defenderse y quienes no entre regiones, entre sectores, entre grandes y pequeñas empresas sigue abriéndose.

El 94% de los encuestados identifica la IA como el factor de cambio más significativo en ciberseguridad para el año que viene. No es una proyección, es el consenso de los ejecutivos que hoy toman decisiones de inversión y estrategia en las organizaciones más grandes del planeta. Lo que el informe revela a continuación es más perturbador aún, el 87% señala las vulnerabilidades relacionadas con IA como el riesgo de más rápido crecimiento durante 2025. El ecosistema adoptó la IA antes de asegurarla.

La IA como arma de doble filo: quién la usa mejor gana

El informe del WEF estructura el impacto de la IA en tres dimensiones que operan simultáneamente.

1. Los sistemas de IA amplían la superficie de ataque con vulnerabilidades que los controles tradicionales no estaban diseñados para detectar.
2. Los defensores usan IA para acelerar detección, automatizar respuesta y procesar volúmenes de datos que ningún analista humano podría absorber.
3. Los atacantes usan IA para escalar, precisar y automatizar sus campañas, generando phishing indistinguible del legítimo, deepfakes de voz para BEC, y código malicioso que muta para evadir detección.

La carrera ya está en curso. El 77% de las organizaciones ha implementado herramientas de IA para ciberseguridad, principalmente para detección de phishing (52%), respuesta a intrusiones y anomalías (46%) y análisis de comportamiento de usuarios (40%). Pero el ritmo de adopción tiene un lado oscuro: el 29% de las organizaciones todavía no tiene ningún proceso para validar la seguridad de sus herramientas de IA antes de desplegarlas. Eso significa que casi una de cada tres organizaciones está incorporando superficie de ataque nueva sin haberla evaluado.

Pequeños avances

La buena noticia es que hay progreso. El porcentaje de organizaciones con procesos formales para evaluar la seguridad de sus herramientas de IA casi se duplicó de 37% en 2025 a 64% en 2026. Pero "casi el doble de un número pequeño sigue siendo un número pequeño": un tercio de las organizaciones encuestadas sigue operando sin ese control básico.

Los AI agents, en particular introducen una complejidad nueva, gestionan identidades no humanas, acumulan privilegios de forma dinámica y operan con velocidad y persistencia que amplifica cualquier error de configuración o vulnerabilidad de diseño. El informe del WEF es explícito: aplicar principios de Zero Trust a cada interacción de un agente de IA no es opcional, es el único modelo de gobierno que escala con la amenaza.

Geopolítica: el factor que reconfiguró la estrategia de seguridad

El segundo gran eje del informe es la geopolítica como determinante del riesgo cibernético. El 64% de las organizaciones ya incorpora ataques motivados geopolíticamente, disrupción de infraestructura crítica, espionaje en su estrategia de mitigación de riesgo. El 91% de las organizaciones más grandes del mundo (más de 100.000 empleados) ha modificado su estrategia de ciberseguridad como consecuencia directa de la volatilidad geopolítica. Entre las organizaciones pequeñas, ese número cae al 41%.

La asimetría es reveladora: las grandes organizaciones tienen los recursos para adaptarse a un entorno más hostil, las pequeñas tienden a aceptar el riesgo en lugar de mitigarlo activamente. Y el entorno es efectivamente más hostil.

El WEF documenta ataques híbridos contra aeropuertos europeos, campañas de desinformación coordinadas y el caso más concreto del informe: en abril de 2025, una presa hidroeléctrica noruega fue comprometida, abriendo una compuerta y liberando 500 litros de agua por segundo durante cuatro horas en lo que las autoridades describieron como sabotaje deliberado. La infraestructura crítica no es un target abstracto — es un objetivo activo en campañas con motivación geopolítica.

La tensión geopolítica también está reconfigurando cadenas de suministro a velocidad que supera la debida diligencia de seguridad. Cuando las organizaciones cambian proveedores, redirigen logística o reconfiguran data hosting por razones políticas o arancelarias, el proceso de vetting de seguridad de los nuevos socios raramente lleva el mismo ritmo. El resultado es una superficie de ataque expandida en redes menos maduras. La reconfiguración de la cadena de suministro tecnológica global no es solo un problema económico, es un vector de riesgo que el CISO tiene que poner en la mesa del board.

El dato que más debería importar en LATAM

El informe desglosa la confianza en la preparación nacional por regiones, y el resultado para América Latina es el peor de todas: solo el 13% de los encuestados de la región confía en la capacidad de su país para responder a incidentes mayores contra infraestructura crítica. Para comparar: Oriente Medio y Norte de África registra 84%, Europa y Asia Central 47%, Norteamérica 40%. América Latina no está en la parte baja del ranking, está en el último lugar y a distancia.

Ese número no es solo un reflejo de inversión insuficiente. Es el resultado de años de gobernanza fragmentada, marcos regulatorios desactualizados y ausencia de entidades nacionales con mandato real de coordinación. La Estrategia Nacional de Seguridad Digital 2025-2027 de Colombia y esfuerzos equivalentes en México y Brasil son pasos en la dirección correcta, pero el 13% de confianza regional indica que el ecosistema institucional todavía no ha convencido a quienes lo necesitan. Y el 69% de los CEOs latinoamericanos admite que su organización carece de las personas y habilidades necesarias para sus objetivos actuales de ciberseguridad, la segunda brecha de talento más severa del mundo, después de Sub-Saharan Africa (70%).

La desconexión entre CEOs y CISOs añade otra capa de complejidad. Para 2026, los CEOs identifican el fraude habilitado por IA y el phishing como su mayor preocupación, desplazando al ransomware que lideraba en 2025. Los CISOs, en cambio, mantienen el ransomware como amenaza número uno, seguido de disrupciones en la cadena de suministro.

No es que unos tengan razón y otros no, es que operan con distintos horizontes temporales y distintas métricas de impacto. Los CEOs piensan en pérdida financiera inmediata y riesgo reputacional; los CISOs piensan en continuidad operativa y resiliencia técnica. La brecha entre esas dos perspectivas, si no se gestiona, genera estrategias de seguridad desalineadas con los riesgos reales.

Lo que separa a las organizaciones resilientes del resto

El informe identifica con precisión qué diferencia a las organizaciones con alta resiliencia de las que no la tienen. La distinción más importante no es el presupuesto, es el enfoque. Las organizaciones altamente resilientes ya superaron sus problemas internos de recursos y habilidades y ahora se concentran en el ecosistema externo, el 78% identifica vulnerabilidades en la cadena de suministro y dependencias de terceros como su mayor desafío. Las organizaciones con baja resiliencia siguen luchando con problemas básicos: falta de fondos (63%) y escasez de habilidades (56%).

La otra diferencia crítica es la colaboración. El 52% de los CEOs de organizaciones altamente resilientes prioriza inteligencia de amenazas sobre actores estatales, solo el 13% de los CEOs de organizaciones con baja resiliencia hace lo mismo. El 48% de los resilientes ha profundizado su colaboración con agencias gubernamentales y grupos de intercambio de información; solo el 6% de los menos resilientes lo hace. La resiliencia ya no se construye en aislamiento, se construye a través de inteligencia compartida y asociaciones que multiplican la visibilidad sobre amenazas que ninguna organización puede monitorear sola.

Las perspectivas mundiales sobre ciberseguridad para 2026 no son alarmistas. Son, en todo caso pragmáticas: la amenaza escala, la IA democratiza las capacidades ofensivas, la geopolítica convierte infraestructuras civiles en campos de batalla, y la brecha entre los preparados y los que no lo están sigue creciendo. La pregunta que el WEF deja implícita en cada capítulo del informe es la misma que debería estar en la agenda de cualquier CISO o CEO esta semana: ¿en qué lado de esa brecha está tu organización?