Las viejas métricas de éxito ya no sobreviven al contacto con la realidad.
Hay un tipo particular de claridad que surge al salir de tres días de sesiones de analistas y darse cuenta de que la conferencia no le hizo cambiar de opinión: confirmó algo que se había mostrado reacio a decir en voz alta.
Estuve en la Cumbre de Gestión de Riesgos y Seguridad de Gartner en National Harbor esta semana. Al final, lo que me llamó la atención no fue una sola sesión o punto de datos. Fue el peso acumulativo de una profesión que considera honestamente la brecha entre cómo ha definido el éxito durante una década y cómo debe definirse el éxito ahora.
La brecha es real. Y se está ampliando.
La prevención es el objetivo equivocado
El discurso de apertura de Leigh McMullen marcó un tono que se mantuvo durante el resto de la conferencia.
El marco no fue sutil: las organizaciones que miden el éxito de la seguridad mediante la prevención de violaciones ya han perdido el argumento, porque la prevención a escala ya no es posible. La superficie del objetivo es demasiado grande, las herramientas del adversario demasiado capaces y la cadencia de ataque demasiado continua.
El replanteamiento honesto –y McMullen lo expresó claramente– es que la resiliencia es la métrica que sobrevive al contacto con la realidad. Si puede limitar el impacto, mantener las operaciones críticas y recuperarse rápidamente, habrá logrado funcionalmente lo que prometió la prevención. La diferencia es que la resiliencia es mensurable y puede mejorarse. La prevención pura es una apuesta a que tus defensas son mejores que cualquier cosa que un atacante no haya probado todavía.
He escuchado versiones de este argumento durante años. Lo que hizo que aterrizara de manera diferente en Gartner SRM 2026 fue quién lo decía y dónde: un miembro de Gartner, en el discurso de apertura, en la conferencia de seguridad más grande de América del Norte. La profesión finalmente está lista para organizar la estrategia en torno a algo que puede controlar.
El panorama de amenazas tiene una nueva característica
John Watts presentó el análisis de ThreatScape para 2026-2027, y el marco que vale la pena mantener es la distinción entre amenazas que son difíciles y amenazas que son a la vez difíciles y estructuralmente ventajosas para el atacante.
Cuatro cayeron en esa segunda categoría: suplantación de identidad falsa, compromiso de la cadena de suministro de software, inyección inmediata contra sistemas de IA y aceleración de ataques habilitada por IA en todo lo anterior.
Lo que comparten es una propiedad común: el costo de ejecución del atacante ha disminuido más rápidamente que el costo de detección del defensor. Los deepfakes que antes requerían equipos de estudio y habilidades técnicas ahora requieren minutos en hardware básico. Los ataques a la cadena de suministro logran un alcance que anteriormente habría requerido comprometer docenas de objetivos individuales. La inyección rápida convierte las implementaciones de IA empresarial en amenazas internas sin ninguna participación interna.
La ventaja del atacante aquí no es función de la incompetencia del defensor. Es estructural. Ésa es exactamente la razón por la que el replanteamiento de la resiliencia es importante, y por qué “prevendremos esto” es una premisa equivocada.
Los agentes de IA son el problema arquitectónico que nadie ha resuelto
La sesión de Dennis Xu sobre seguridad de IA agente fue la que más tiempo me quedó grabada.
No porque el contenido fuera nuevo (las vulnerabilidades están documentadas, los riesgos son visibles para cualquiera que preste atención) sino porque la respuesta de la sala dejó algo claro: a los CISO se les pide cada vez más que protejan sistemas que no diseñaron, no aprobaron y, en muchos casos, no sabían que existían.
Cada organización representada en esa conferencia ha Agentes de IA en su hoja de ruta. Un número importante ya los tiene en producción. Estos no son chatbots que procesan consultas en una interfaz protegida. Son sistemas autónomos que inician acciones, acceden a repositorios de datos, llaman a API externas y ejecutan la lógica empresarial, de forma continua, sin que un humano esté presente en la mayoría de los pasos.
El desafío de seguridad no es que los agentes sean maliciosos. Es que heredan el riesgo en cada punto de integración, y la mayoría de las organizaciones no tienen visibilidad de cuáles son esos puntos de integración. La inyección rápida aprovecha esto. También lo hace la suplantación de identidad. Lo mismo ocurre con cualquier atacante que descubra que el camino más rápido hacia datos empresariales confidenciales no es a través de una credencial humana, sino a través de un agente que ya tiene una.
La guía de Gartner sobre Protocolo de contexto modelo La seguridad reflejó el nivel de madurez del problema: estamos en las primeras entradas, los patrones de ataque son claros y las defensas aún no son acordes. Esa brecha es donde se originará la próxima ola de incidentes.
La identidad ya no es infraestructura… es estrategia.
Las tres prioridades de McMullen para los CISO incluían modernizar la identidad como infraestructura fundamental, pero el marco subestima el cambio. La identidad no se está volviendo fundamental. Ya lo es, y la mayoría de las organizaciones están ejecutando su estrategia de IA en un modelo de identidad diseñado para usuarios humanos que se autentican en aplicaciones estáticas.
Los agentes de IA crean problemas de identidad que los proveedores de IAM no han resuelto por completo: actores de máquinas que necesitan acceso a escala, en tiempo real, a través de sistemas que abarcan los límites organizacionales, con requisitos de privilegios variables según el contexto de la tarea. El modelo tradicional de provisión, autenticación y autorización se desmorona cuando el actor es una flota de agentes que cualquier desarrollador con acceso a API y un caso de uso razonable puede poner en marcha.
Obtener la identidad adecuada para la IA agente no es un proyecto de 12 meses. Las organizaciones que comiencen ahora tendrán una ventaja estructural sobre aquellas que lo traten como un problema posterior. La conferencia hizo explícita esa secuencia.
Cobertura de seguridad de lectura obligada
La capa de datos es el único punto de cumplimiento que no se mueve
Esto es a lo que seguí volviendo cuando la conferencia terminó: cada sesión que tocó la IA agente finalmente llegó a la misma conclusión insatisfactoria. El modelo se puede manipular. El perímetro se cruza por diseño: eso es lo que hacen los agentes. La capa de identidad se está poniendo al día, pero aún no ha llegado a ese punto.
Lo que persiste, independientemente del modelo en el que se ejecute un agente o de la API que llame, son los datos mismos. y el capa de datos (el punto de aplicación de la ley que se encuentra entre un agente y el contenido que intenta alcanzar) es el único control que no depende del comportamiento del agente.
No le pide al modelo que se controle a sí mismo. No depende de un aviso del sistema que el agente pueda recibir instrucciones de ignorar. Aplica decisiones de acceso, limitaciones de propósito y registros de auditoría en el momento del contacto, de forma independiente.
Esta no es una idea novedosa en materia de seguridad. El principio de aplicar controles cerca del activo que se está protegiendo es fundamental. Lo novedoso es cuántas organizaciones han construido toda su postura de seguridad de IA en capas que se encuentran por encima de los datos (barandillas de seguridad de modelos, controles perimetrales, segmentación de red) mientras dejan la capa de datos en sí relativamente sin abordar.
Las sesiones de Gartner no utilizaron ese marco exacto, pero la lógica de cada recomendación de seguridad de la IA apuntaba en la misma dirección: lograr una gobernanza lo más cercana posible a los datos, porque todo lo demás es negociable.
Para los líderes de seguridad, esa es una conclusión arquitectónica, no solo una decisión de producto. La cuestión no es si se debe gobernar en la capa de datos. La pregunta es cuántos incidentes se necesitan para llegar allí.
El marco competitivo es el correcto
La conclusión más duradera de Gartner SRM no fue una clase de vulnerabilidad ni una recomendación de marco. Fue un cambio en la forma en que los líderes de seguridad comenzaron a hablar sobre su función.
El lenguaje de la obligación –debemos conseguirlo, estamos obligados a cumplirlo– todavía estaba presente. Pero en el fondo había algo diferente: los líderes de seguridad enmarcan cada vez más la gobernanza y la resiliencia como aportes competitivos en lugar de cargas de cumplimiento.
Las organizaciones con posturas maduras de resiliencia pueden absorber las interrupciones y continuar operando mientras los competidores responden a los incidentes. Las organizaciones con una visibilidad genuina de la gobernanza de la IA pueden escalar las implementaciones de agentes sin la sobrecarga de revisión manual de riesgos que ralentiza a todos los demás.
McMullen mencionó explícitamente el ciclo de decisión comprimido. Los próximos 18 meses son la ventana en la que se toman las decisiones estructurales: sobre identidad, sobre la gobernanza de la IA, sobre lo que realmente significa la resiliencia desde el punto de vista operativo. Las organizaciones que tomen esas decisiones ahora no sólo serán más seguras. Serán más rápidos.
Ese replanteamiento es el que durará más que la conferencia de este año. La seguridad como infraestructura competitiva. La gobernanza como ventaja de la velocidad. La resiliencia es la métrica que te dice si estás ganando.
Salí de National Harbor más convencido de ese argumento que cuando llegué.
Eso, como mínimo, son tres días productivos.
Lea también: DBIR 2026 de Verizon encontró explotación de vulnerabilidad superó al abuso de credenciales como principal vector de acceso inicial.
