Skyhigh Security : 2026 es el año en que la IA impondrá un nuevo modelo de seguridad empresarial

Por Thyaga Vasudevan - Vicepresidenta Ejecutiva de Producto

12 de diciembre de 2025 7 Minutos de lectura

A medida que las empresas entran en 2026, el debate está cambiando rápidamente. La última década se caracterizó por la la transformación digital. La próxima década estará marcada por la transformación de la IA. Pero este cambio no es tan sencillo como adoptar grandes modelos lingüísticos o lanzar copilotos internos de IA. Requiere replantearse cómo funcionan las organizaciones, cómo protegen los datosy cómo equilibran la innovación con la confianza y la seguridad.

En los ámbitos de la arquitectura, los productos y la investigación en materia de seguridad, ya están surgiendo varios temas. Estas son las Skyhigh Security que marcarán el año que viene.

1. Dejando atrás la transformación digital: 2026 se convierte en el año de la transformación de la IA

En 2026, las empresas aprenderán que adoptar la IA no es una carrera tecnológica, sino un cambio operativo. Los empleados están utilizando herramientas de IA a un ritmo más rápido del que puede seguir la gobernanza y, sin una protección de datos sólida, las organizaciones pierden visibilidad sobre qué información confidencial se comparte, adónde va y cómo persiste.

A medida que los modelos de IA, los copilotos y los agentes se integran en los flujos de trabajo, surge una realidad crítica: la IA solo es tan seguro y preciso como los datos con los que interactúaLa seguridad tradicional puede ver el tráfico, pero no el contenido, la sensibilidad, el linaje o los requisitos soberanos que los sistemas de IA consumen y sobre los que actúan.

Las soluciones de seguridad ahora deben comprender lo siguiente:

• Qué datos se introducen en las indicaciones y si deben introducirse.
• Cómo los sistemas de IA agenticos interpretan la intención y toman decisiones autónomas
• ¿Qué contenido pueden tocar, mover o generar los flujos de trabajo basados en MCP o API?
• Si se envían datos confidenciales o soberanos a modelos externos.
• Cómo la IA almacena, conserva o reutiliza la información a lo largo del tiempo.

En 2026, las organizaciones reconocerán que la adopción segura de la IA requiere una seguridad que va mucho más allá de proteger el acceso. Exige:

• Visibilidad y aplicación a nivel de prompt
• Clasificación del contenido en el momento de la interacción
• Controles sensibles a la intención que distinguen las acciones seguras de las arriesgadas.
• Gobernanza para flujos de trabajo de IA agencial que actúan en nombre de los usuarios
• Supervisión continua de las entradas y salidas del modelo, y retención a largo plazo.
• Políticas unificadas en entornos de navegador, SaaS, nube, locales y de inteligencia artificial.

Las organizaciones que prosperen tratarán la transformación de la IA como un esfuerzo disciplinado y centrado en los datos que garantice que la IA solo interactúe con contenido regulado, preciso y conforme. Las que no lo hagan tendrán problemas de confianza, fugas de información y malos resultados de IA.

2. El coste, la complejidad y la repatriación de datos de la seguridad en la nube remodelarán las arquitecturas en 2026.

Las empresas se están dando cuenta de que la inspección basada únicamente en la nube ya no es sostenible desde el punto de vista financiero ni operativo. En 2026, cuatro fuerzas colisionarán:

• Aumento de los costes de inspección de la nube debido al crecimiento de los datos impulsado por la IA
• Normas de soberanía y cumplimiento que bloquean el envío de datos confidenciales fuera de la región.
• Las cargas de trabajo de IA generan mucho más contenido y tráfico del que las herramientas en la nube están diseñadas para inspeccionar.
• Un aumento en la repatriación de datos, ya que las organizaciones recuperan cargas de trabajo confidenciales o de gran volumen en sus instalaciones para controlar, predecir los costes y mejorar el rendimiento.
• Estas presiones crean un punto de inflexión: canalizar todas las inspecciones a través de motores centralizados en la nube resulta demasiado caro, demasiado arriesgado y demasiado restrictivo, especialmente para los sectores regulados.

La seguridad híbrida se convertirá en el modelo dominante en 2026. Las empresas esperarán:

• Aplique controles a nivel local o regional cuando sea necesario
• Utilice la inspección en la nube de forma selectiva, no de forma universal
• Mantener una política unificada en la nube, en las instalaciones, en el navegador, en SaaS y en IA.
• Aplique la ley donde sea más cumplimiento y rentabilidad

Lo híbrido no es algo antiguo, es la nueva arquitectura para la soberanía, la rentabilidad y la seguridad a escala de la IA.

3. El mundo ahora funciona en el navegador: protegerlo es imprescindible.

Para 2026, el navegador se habrá convertido en el espacio de trabajo principal de la empresa moderna. La adopción del SaaS, la migración a la nube y el rápido auge de los asistentes de IA hacen que ahora se realicen más actividades empresariales, colaboración, análisis de datos, generación de código, gestión de documentos e incluso flujos de trabajo regulados dentro del navegador que en cualquier aplicación tradicional.

Este cambio convierte al navegador en la verdadera última milla del riesgo empresarial. El contenido confidencial se visualiza, edita, copia, carga, pega en herramientas de IA y se comparte a través de ecosistemas SaaS integrados, todo ello a través de una sesión de navegador. Como resultado, el navegador ya no es solo un mecanismo de entrega de aplicaciones web, sino que se ha convertido en un punto de control central para la gobernanza de datos, la seguridad de la IA, la información sobre el comportamiento de los usuarios y la aplicación de políticas en tiempo real.

Esta nueva realidad introduce varios riesgos emergentes:

• Los copilotos de IA y SaaS interactúan directamente con contenido confidencial.
• Uso de IA en la sombra que elude los controles existentes de red o de los controles de los puntos finales
• Movimiento de datos sin supervisión a través de cargas, descargas, copiar/pegar, o compartir pantalla.
• Datos regulados o soberanos que fluyen hacia servicios globales de IA en la nube.
• Contratistas y usuarios externos que manejan datos confidenciales a través de dispositivos no gestionados

Las grandes empresas mencionan constantemente retos como la resistencia de los usuarios, la carga operativa que supone la migración obligatoria de navegadores y la cobertura limitada para los flujos de trabajo que no utilizan navegadores o los sistemas heredados.

Para la mayoría de las organizaciones, la prioridad en 2026 no será adoptar un nuevo navegador, sino establecer controles coherentes y escalables en torno al navegador del que ya dependen. Esto implica asegurar:

• ¿Cómo los usuarios interactúan con los datos
• Cómo las herramientas de IA consumen y retienen contenido
• Cómo las aplicaciones SaaS intercambian y almacenan información confidencial
• Cómo acceden los dispositivos no gestionados o híbridos a las cargas de trabajo corporativas

Las empresas buscarán cada vez más modelos de seguridad que refuercen el entorno actual de los navegadores, proporcionen información en tiempo real sobre el comportamiento de los usuarios y las interacciones con los contenidos, y aplique los principios de confianza cero directamente al punto en el que se utilizan los datos. 

4. DSPM evoluciona de la detección a la prevención, convirtiéndose en una capa de seguridad fundamental. 

En 2026, DSPM pasará de ser una herramienta de visibilidad a una capa de cumplimiento y prevención en tiempo real, impulsada por el aumento de la tensión geopolítica, la expansión de las normas de soberanía de datos y una ola de nuevas regulaciones de privacidad en todo el mundo.

Con la entrada en vigor oficial de la DPDPA de la India en 2025, las empresas ya se están adaptando a requisitos más estrictos en materia de residencia de datos, limitación de la finalidad y consentimiento. No serán las únicas. La UE está endureciendo la gobernanza en virtud de las disposiciones del RGPD y la Ley de IA, los países del CCG están implantando marcos nacionales de privacidad actualizados y regiones de Asia-Pacífico como Singapur, Japón, Australia y Corea del Sur están reforzando sus propios mandatos transfronterizos y de notificación de infracciones. En Estados Unidos, más de una docena de estados están promulgando leyes similares a la CCPA con expectativas cada vez más prescriptivas en materia de gobernanza de datos.

En este contexto global, los directores de informática y los directores de seguridad informática se enfrentan a una nueva realidad: El cumplimiento ya no se trata de documentar los controles.  Se trata de demostrando continuamente dónde se encuentran los datos, cómo se utilizan y si se mantienen dentro de los límites definidos por la ley, los contratos y la geopolítica.

El DSPM se vuelve esencial porque permite:

• Visibilidad unificada en almacenes de datos en la nube, SaaS y locales.
• Comprensión en tiempo real del movimiento de datos, la sensibilidad y el linaje
• Aplicación automática basada en la soberanía regional y las restricciones de finalidad
• Cumplimiento continuo pruebas para auditores y reguladores
• Prevención proactiva —no descubrimiento posterior al incidente— de la exposición, el uso indebido o el flujo transfronterizo.

A medida que aumentan las cargas de trabajo de IA y las arquitecturas híbridas vuelven a cobrar protagonismo, las organizaciones ya no aceptarán el DSPM como una herramienta de detección pasiva. Exigirán un DSPM que aplique políticas, bloquee movimientos riesgosos y evite infracciones antes de que se produzcan.

En 2026, DSPM se convierte en un control fundamental de seguridad y cumplimiento, no solo permitiendo la transformación de la IA, sino también garantizando que las empresas puedan sobrevivir a la próxima ola de presión geopolítica, normativa y soberana.

5. El riesgo poscuántico entra en la planificación estratégica de la seguridad, mucho antes de que la criptografía migre.

La criptografía resistente al quantum no será una implementación empresarial generalizada en 2026, pero el riesgo cuántico se convertirá en un tema de planificación estratégica a medida que las organizaciones reconozcan las implicaciones de «recoger ahora, descifrar más tarde». Los actores maliciosos ya están robando archivos cifrados con la intención de descifrarlos una vez que la computación cuántica madure, lo que convierte a los datos de larga duración, sensibles o soberanos en el verdadero punto de exposición, y no la criptografía en sí misma.

Las empresas que comiencen a prepararse en 2026 se centrarán menos en la migración de algoritmos y más en la supervivencia de los datos y la gestión del ciclo de vida, lo que incluye:

• Reducción de la retención innecesaria de datos
• Identificación de archivos ocultos o huérfanos
• Señalar contenido soberano o regulado con sensibilidad a largo plazo.
• Aplicación de políticas de ciclo de vida y minimización del acceso
• Control del movimiento de datos entre SaaS, navegadores, indicaciones de IA y terceros.

La preparación para la criptografía poscuántica (PQC) comienza con una postura de datos continua y la aplicación del ciclo de vida, no solo con los futuros estándares de criptografía. Las organizaciones que adopten una gobernanza centrada en los datos y una aplicación híbrida reducirán considerablemente la exposición cuántica a largo plazo mucho antes de que se completen las actualizaciones de los algoritmos.

En resumen: la PQC no será una prioridad de implementación en 2026, pero la preparación para PQC se convierte en un imperativo de planificación en industrias con retención reglamentaria, obligaciones de datos soberanos o archivos altamente sensibles. Y la vía de mitigación más temprana es clara: gestionar los datos que tiene antes de que la cuántica importe.

Conclusión: la seguridad debe proteger los datos y las aplicaciones, no solo la conectividad de red.

Las fuerzas que están transformando el año 2026 —la adopción de la IA, el aumento del coste y la complejidad de las soluciones de seguridad, la repatriación de datos, el trabajo basado en navegadores, la expansión del cumplimiento normativo global y el riesgo emergente de la PQC— están redefiniendo la forma en que las empresas deben proteger sus entornos. La IA está acelerando la innovación, pero también está poniendo de manifiesto las deficiencias en la gobernanza de los datos. La economía de la nube y las presiones soberanas están empujando a las organizaciones hacia arquitecturas híbridas en las que la aplicación debe coincidir con el lugar donde realmente se encuentran los datos. Con la mayor parte trabajo se realiza ahora dentro del navegador, resulta esencial garantizar la seguridad de las interacciones de los usuarios, los flujos de trabajo de SaaS y las indicaciones de IA. El DSPM pasará de la visibilidad a la aplicación continua del cumplimiento a medida que las regulaciones se vayan imponiendo en todo el mundo. Y aunque la PQC aún está en una fase temprana, las organizaciones deben empezar prepararse para datos de larga duración que necesitan una protección preparada para el futuro.

Las organizaciones que tengan éxito tratarán la seguridad como una disciplina de datos, que rige cómo se utiliza la información, dónde se mueve y cuánto tiempo persiste en la nube, en las instalaciones, en el navegador, en SaaS y en los flujos de trabajo de IA.

Volver a Blogs