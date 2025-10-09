Para las empresas mexicanas, la combinación de inteligencia artificial (IA) e interfaces de programación de aplicaciones, también conocidas como APIs, concentra hoy los mayores riesgos y, al mismo tiempo, las decisiones más urgentes de inversión en materia de ciberseguridad.

“La IA es el tema más caliente y, probablemente, del que menos se entiende el riesgo”, dijo Fernando Serto, director de Tecnología de Seguridad de Campo para América Latina en Akamai.

Serto compara a México con Brasil, los dos mercados más grandes de la región. Años de inversión dispareja en seguridad han dejado a muchas organizaciones “desesperadas” por ponerse al día justo cuando la IA se acelera y el perímetro se diluye.

A ese cóctel se suma un cambio estructural. Los servicios ya no hablan solo con usuarios en la web tradicional, sino máquina con máquina mediante APIs; y “hay muy poco entendimiento de cómo asegurar esas APIs”. De hecho, en los últimos 12 meses, 24 de las 70 mayores brechas globales ocurrieron por APIs sin controles.

IA: entre la alucinación de negocio y el riesgo de exposición

Serto separa dos planos. Primero, el riesgo de negocio (por ejemplo, usar IA para producir piezas en una planta y que un error de cálculo derive en fallas de calidad o en parar la línea). Segundo, el riesgo de ciberseguridad y exposición, es decir, empleados que suben contratos o bases de clientes a herramientas como ChatGPT o Gemini sin sanitizar datos; e, incluso, chatbots corporativos que, mal configurados, pueden ser engañados para revelar información de otros usuarios ya autenticados.

“Puedes trucar a un bot para que te dé datos a los que no deberías acceder”, dijo Serto.

En abril, Akamai lanzó un filtro para revisar entradas y salidas en conversaciones con modelos (propios o vía APIs de proveedores) y bloquear solicitudes o respuestas indebidas. El énfasis, dice Serto, es desplegar barandales de negocio y seguridad allí donde la IA se integra a procesos críticos o atención a clientes.

Del lado ofensivo, la inteligencia artificial generativa ya eliminó la torpeza clásica del phishing: campañas multilingües, sin errores y adaptadas a cada ejecutivo. “No puedes pelear IA sin IA”, dijo Serto, al explicar por qué los tableros requieren justificar nuevas inversiones defensivas.

APIs: el nuevo frente

Una API es una interfaz que permite que distintos sistemas o aplicaciones se comuniquen entre sí automáticamente; es decir, el lenguaje con el que una máquina habla con otra, y que hoy representa uno de los nuevos puntos críticos de ciberseguridad.

La exposición por APIs se multiplica a medida que empresas y despachos conectan sistemas internos con servicios de IA (por ejemplo, para redactar contratos o analizar expedientes) o integran plataformas fiscales y regulatorias en tiempo real.

El problema es que muchas organizaciones blindaron la producción, pero dejaron descubiertos los entornos de desarrollo y prueba, con datos copiados de producción.

El giro hacia la microsegmentación aparece en el radar de juntas directivas, aseguradoras y auditores. El nuevo Segmentation Impact Study 2025, de Akamai, muestra que, aunque más de 90% de las organizaciones afirma usar algún tipo de segmentación, solo 35% ha llegado a microsegmentación, el nivel que restringe el movimiento lateral tras una intrusión.

En adopción regional, América Latina está por debajo del promedio global (31% en microsegmentación), pero 74% de las organizaciones de la región planea aumentar sus presupuestos en los próximos 24 meses; además, los encuestados latinoamericanos lideran en mejoras de cumplimiento autorreportadas.

México y la tecnología operativa

De acuerdo con datos de Kaspersky y Fortinet, la industria mexicana está entre los sectores más atacados en el país. Tanto directivos como ingenieros coinciden en que la vulnerabilidad de la industria mexicana nace de la exposición y de una madurez desigual. En manufactura, la inversión suele privilegiar la automatización y el OT (mantener líneas produciendo con calidad) mientras la ciberseguridad llega tarde;

“Las plantas que operan 24/7 postergan parches y actualizaciones por miedo a detener la producción, lo que mantiene superficies abiertas durante más tiempo del conveniente”, dijo Serto.

El costo no es abstracto. Desde una papelera centenaria en Alemania que quebró tras un ransomware hasta el paro de producción de la empresa automotriz Jaguar Land Rover, con un efecto dominó sobre proveedores de cuero, electrónica y logística.

Cinco básicos

Para las organizaciones mexicanas medianas, sin equipos masivos ni bolsillos infinitos, Serto insiste en cinco básicos que elevan el piso de seguridad:

Doble factor de autenticación (MFA) en todas partes (incluida la vida personal) para naturalizar la fricción; Gobernar el exterior: inventarios de dominios, certificados y cambios DNS para detectar secuestros de marca y fraudes; Detener el movimiento lateral con controles que entiendan lo normal en tecnología de operaciones (ot) y contengan automáticamente anomalías; Blindar el navegador, porque el ataque ya migró desde el correo a SMS/WhatsApp y al browser, donde el sistema operativo ve poco; Asegurar APIs, especialmente dev/test con datos reales, porque ahí nacen muchas brechas.

A corto plazo, la prioridad en México pasa por tres ejes: poner barandales a la IA (filtros de entrada/salida, reglas de negocio, privacidad de datos); gobernar APIs con el mismo rigor de producción en los entornos de desarrollo y pruebas, y microsegmentar para que una intrusión no se convierta en catástrofe.

rodrigo.riquelme@eleconomista.mx