Informe de Orca Security: el 99,9 % de las amenazas de seguridad en la IA que se pueden solucionar siguen sin corregirse a medida que la IA se va implementando en entornos de producción
Informe de Orca Security: el 99,9 % de las amenazas de seguridad en la IA que se pueden solucionar siguen sin corregirse a medida que la IA se va implementando en entornos de producción
El análisis de más de 1200 entornos de nube de producción ofrece una visión de primera mano sobre cómo las organizaciones están integrando la IA en los flujos de trabajo fundamentales para las empresas, lo que conlleva nuevos riesgos de seguridad que los controles tradicionales no estaban preparados para abordar.
PORTLAND, Oregón--(BUSINESS WIRE)--Orca Security, empresa líder en seguridad en la nube y de IA, ha publicado hoy su 2026 State of AI Security Report, que ofrece una visión de primera mano sobre cómo se está implementando la IA en más de 1200 entornos de producción en la nube. Los resultados muestran que la IA ya no se limita a proyectos piloto aislados ni a experimentos de desarrolladores. Las organizaciones están integrando la IA en aplicaciones de producción, servicios en la nube y flujos de trabajo autónomos a un ritmo más rápido del que pueden adaptarse los programas de seguridad.
Más de la mitad (56 %) de las organizaciones ya han implementado agentes de IA en entorno de producción, mientras que el 51 % utiliza la IA para desarrollar aplicaciones a medida. Al mismo tiempo, Orca ha constatado que el 81 % de las organizaciones utiliza paquetes de IA poco seguros, y que el 99,9 % de las amenazas de seguridad en la IA que pueden solucionarse siguen sin corregirse, lo que refleja la rapidez con la que la IA se ha convertido en infraestructura operativa sin haber alcanzado la madurez de seguridad necesaria.
El informe también revela que los entornos de IA están cada vez más interconectados y son cada vez más importantes para las empresas. Entre las organizaciones que adoptan la IA, el 64 % utiliza actualmente bases de datos vectoriales, el 55 % opera cuatro o más servicios de IA simultáneamente, y entre el 87 % y el 98 % de las cargas de trabajo de IA en los tres principales proveedores de nube carecen de cifrado gestionado por el cliente. En conjunto, estos hallazgos muestran que las organizaciones ya no se limitan a proteger herramientas de IA independientes. Ahora protegen ecosistemas complejos de IA conectados a datos empresariales, servicios en la nube, identidades y flujos de trabajo de producción.
«Lo que nos sorprendió no fue simplemente la rapidez con la que ha crecido la adopción de la IA, sino hasta qué punto está ahora integrada en los entornos de nube de producción», afirmó Gil Geron, director ejecutivo y cofundador de Orca Security. «No se trata solo de modelos aislados. Estamos viendo agentes de IA conectados a los datos de las empresas, que interactúan con identidades, acceden a servicios en la nube y pasan a formar parte de flujos de trabajo fundamentales para las empresas. La IA ya no es un experimento. Es infraestructura de producción. El número de desarrolladores ha aumentado exponencialmente y las organizaciones necesitan una seguridad que ofrezca una visibilidad completa y la confianza necesaria para innovar al ritmo de la IA sin introducir riesgos innecesarios».
La IA se ha convertido en parte de la infraestructura de producción antes de que la seguridad estuviera preparada
El informe señala que la IA ha evolucionado más allá de los modelos independientes hasta convertirse en un ecosistema de producción interconectado que abarca servicios en la nube, agentes de IA, bases de datos vectoriales, herramientas de desarrollo y flujos de trabajo autónomos. Si bien esta transformación permite a las organizaciones innovar más rápidamente, también amplía la superficie de ataque de maneras para las que los programas de seguridad tradicionales nunca fueron diseñados.
Entre las principales conclusiones del informe figuran las siguientes:
- El 81 % de las organizaciones que utilizan paquetes de IA presentan al menos una brecha de seguridad conocida, lo que supone un aumento con respecto al 62 % registrado en el informe de Orca de 2024.
- El 50 % de las amenazas a la seguridad de los paquetes de IA cuentan ahora con un mecanismo de explotación disponible públicamente, lo que supone un aumento de 250 veces con respecto a 2024.
- El 99,9 % de las amenazas a la seguridad de la IA para las que existe una solución siguen sin estar protegidas.
«La IA ha introducido una capa operativa totalmente nueva en los entornos en la nube», afirmó Nir Mashal, director de seguridad de la información de Orca Security. «Las organizaciones cuentan ahora con agentes que toman decisiones, bases de datos de vectores conectadas a los datos de la empresa y servicios de IA repartidos entre múltiples proveedores de servicios en la nube. Los equipos de seguridad necesitan una visibilidad unificada de todo ese entorno, junto con medidas de prevención automatizadas, para comprender dónde se encuentra realmente el riesgo y detener a los atacantes antes de que se produzcan daños».
El progreso es cuantificable cuando las organizaciones tratan la IA como si fuera infraestructura de producción
A pesar de las deficiencias persistentes, el estudio también destaca avances significativos en aquellos ámbitos en los que las organizaciones han centrado sus inversiones en seguridad. Desde el anterior informe de Orca sobre IA, el porcentaje de entornos de Amazon SageMaker que funcionan con acceso de root ha descendido del 98 % al 76 %, mientras que las configuraciones inseguras de IMDSv2 se han reducido del 77 % al 48 %. Estas mejoras demuestran que aplicar una disciplina operativa propia de entornos de producción a los entornos de IA genera mejoras cuantificables en materia de seguridad.
El informe recomienda a las organizaciones que traten la IA como infraestructura de producción y amplíen las prácticas de seguridad existentes a todo el ciclo de vida de la IA, incluyendo la gestión de amenazas, la protección de credenciales, el acceso con privilegios mínimos, el cifrado, la supervisión específica de la IA y la gobernanza. La urgencia va en aumento a medida que entran en vigor nuevas normativas, entre ellas las obligaciones relativas a los sistemas de alto riesgo de la Ley de IA de la UE, que entrarán en vigor el 2 de agosto de 2026, y la ley de IA modificada de Colorado, que entrará en vigor el 1 de enero de 2027.
«Las organizaciones que más avances están logrando tratan la IA como cualquier otro sistema de producción esencial», añadió Geron. «Eso significa aplicar una visibilidad coherente, una gobernanza adecuada, un acceso con privilegios mínimos y medidas correctivas a lo largo de todo el ciclo de vida de la IA. La seguridad no puede añadirse después de la implementación. Debe integrarse en la forma en que los equipos desarrollan y amplían la IA».
El 2026 State of AI Security Report analiza datos de telemetría agregados y anonimizados de más de 1200 organizaciones en entorno de producción, recopilados durante el segundo trimestre de 2026. El estudio examina los servicios de IA en la nube, las amenazas a los paquetes de IA, las identidades y los secretos, los agentes de IA, las bases de datos vectoriales, el cifrado y la gobernanza en AWS, Microsoft Azure y Google Cloud. El informe completo está disponible en: https://orca.security/lp/2026-state-of-ai-security-report/.
Acerca de Orca Security
Acerca de Orca Security: Orca Security ofrece seguridad a las empresas que crecen. A medida que la nube, las aplicaciones, la IA y la generación de aplicaciones amplían la superficie de ataque, Orca transforma el riesgo de seguridad en el contexto que los equipos necesitan para actuar. La plataforma Orca proporciona una visibilidad completa de los entornos de nube, IA y aplicaciones, correlaciona los riesgos en todas las capas y prioriza las amenazas más importantes para que las organizaciones puedan corregirlas más rápidamente e innovar con tranquilidad. Con la confianza de cientos de organizaciones, entre las que se incluyen SAP, Autodesk, Gannett, Lemonade y Digital Turbine, Orca cuenta con el respaldo de inversores líderes como Temasek, CapitalG, ICONIQ Capital y Redpoint Ventures. Más información en orca.security. Conecte su primera cuenta en cuestión de minutos: https://orca.security o reservr una demostración personalizada.
El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.
