2026 se perfila como un punto de inflexión incómodo para la ciberseguridad. No por la aparición de amenazas radicalmente nuevas, sino por la evidencia de que muchas de las brechas más graves siguen teniendo un origen elemental. “La mayorÃa de los ataques más dañinos no entran por fallas sofisticadas, sino por brechas básicas que nunca se cerraron”, advierte Sergio Muniz, director de Ventas de Gestión de Acceso e Identidades para Latinoamérica.
En un contexto donde la inteligencia artificial domina la conversación tecnológica, Muniz plantea una advertencia clara: la velocidad de adopción no siempre viene acompañada de madurez en seguridad. “Mientras hablamos de IA, muchas veces sin haber concientizado a los empleados sobre conceptos esenciales de seguridad y privacidad, los atacantes ya están usando esas mismas capacidades”, explica.
La paradoja es evidente. Aun con herramientas defensivas cada vez más avanzadas, los fundamentos siguen siendo el eslabón más débil. Y en América Latina, esa debilidad estructural y cultural tiene un costo alto.
Identidades, accesos y la ilusión de control
Las brechas relacionadas con identidad concentran hoy la mayor parte de los incidentes crÃticos. No por un salto cualitativo en la capacidad de los atacantes, sino por errores persistentes en la gestión cotidiana. “Los atacantes siguen encontrando puertas abiertas: identidades mal gestionadas, accesos excesivos, configuraciones incorrectas y parches que nunca llegaron”, resume Muniz.
En esa lÃnea, cita una preocupación compartida dentro de la industria. Según Haider Iqbal, director de Marketing de Producto en gestión de identidades y accesos de Thales, el riesgo principal no es la IA en sÃ, sino la distracción que genera. La carrera por sumar capas tecnológicas sin asegurar lo esencial termina ampliando la superficie de ataque y reduciendo el control efectivo.
Marco Venuti, director de Aceleración del Negocio de Gestión de Identidades y Accesos de Thales, aporta otro ángulo crÃtico: los equipos de seguridad dedican más tiempo a integrar herramientas que a gestionar riesgos. Para Muniz, ese enfoque deja de ser viable en 2026. “No más herramientas, sino mejores decisiones. La eficiencia se convierte en la verdadera métrica de la resiliencia cibernética”, sostiene.
Supply chain, cultura organizacional y el costo de no actuar
El riesgo asociado a la cadena de suministro aparece de forma recurrente en reportes y foros globales, y 2025 marcó una escalada significativa. Muniz señala que no se trata de una amenaza nueva, sino de controles básicos mal resueltos: visibilidad limitada, dependencias no mapeadas, accesos heredados y una confianza implÃcita en terceros que no siempre se justifica.
A esto se suma un cambio necesario en la cultura corporativa. “La seguridad debe dejar de ser vista como un costo técnico y pasar a ser una responsabilidad empresarial mensurable”, afirma. En ese sentido, anticipa que los directorios ya no se conformarán con saber si la organización está protegida, sino que exigirán entender el impacto real de no estarlo. La cuantificación del riesgo cibernético empieza a ocupar un lugar comparable al de cualquier indicador financiero.
Daniel Toh, vicepresidente del área de ingenierÃa de Thales, refuerza esta mirada con una premisa clave: diseñar asumiendo el error. Proveedores que fallan, configuraciones incorrectas, accesos mal definidos. Para Muniz, aceptar esa realidad es parte del camino hacia una resiliencia real.
El factor humano completa el escenario. La democratización de capacidades ofensivas basadas en IA elimina patrones previsibles y genera una presión constante. “Validar identidades, monitorear comportamientos y reducir privilegios internos será tan importante como defenderse de amenazas externas”, subraya.
La pregunta final ya no es técnica, sino de negocio: ¿cuál es el riesgo real si un ataque tiene éxito por no haber tomado acciones básicas y prioritarias? Para Muniz, el futuro inmediato de la ciberseguridad se define por una consigna simple y exigente: hacer bien lo esencial, de manera disciplinada y continua. Cerrar las brechas básicas no es una opción defensiva, sino una condición para no bloquear el desarrollo.