La ciberseguridad corporativa ha dejado de ser una cuestión de perímetros protegidos para convertirse en una carrera contra la velocidad de ejecución. Francis de Souza, COO de Google Cloud, sostiene que la era de la defensa humana ha terminado. Su diagnóstico es preciso: los atacantes ahora reducen el tiempo entre la brecha inicial y la fase de ejecución a apenas 22 segundos. Hace poco, este intervalo se medía en horas. La diferencia no es solo técnica; es existencial.
De Souza aboga por una defensa nativa de IA, donde agentes autónomos gestionen la seguridad bajo supervisión humana. Es un cambio de paradigma necesario. Pero hay un abismo entre el discurso corporativo de los grandes proveedores de nube y la realidad operativa de sus usuarios. Mientras los ejecutivos predican sobre gobernanza y auditoría, los cimientos de sus propias plataformas están mostrando grietas preocupantes.
La ilusión de control en la infraestructura
El argumento de que la seguridad debe ser una capa intrínseca —y no un añadido posterior— suena impecable en una conferencia de prensa. Sin embargo, este consejo choca frontalmente con la gestión de las APIs de Google Cloud. Recientes reportes han documentado casos donde desarrolladores amanecieron con facturas de cinco dígitos tras ataques a sus claves de API. El problema no es solo la vulnerabilidad, sino la opacidad: sistemas automatizados que elevan los niveles de facturación sin consentimiento explícito, priorizando la continuidad del servicio sobre el presupuesto del cliente.
Si me preguntan, aquí reside una contradicción fundamental. Los proveedores exigen a sus clientes una estrategia de datos y seguridad férrea, pero mantienen sistemas de gestión de credenciales con tiempos de revocación inaceptables. Investigaciones independientes han revelado que, tras borrar una clave comprometida, el acceso puede persistir hasta por 23 minutos. Ese es un tiempo infinito en un entorno donde los ataques se ejecutan en segundos.
La persistencia de estas ventanas de vulnerabilidad, incluso cuando existen formatos de credenciales más modernos que revocan en cuestión de segundos, demuestra que no estamos ante una limitación de ingeniería. Estamos ante una elección de prioridades. Para las empresas en América Latina, muchas de las cuales han migrado cargas críticas a la nube de Google buscando escalabilidad y acceso a modelos de lenguaje avanzados, esta desconexión es un riesgo financiero real.
El riesgo de los datos "olvidados"
Más allá de las facturas infladas, existe un peligro silencioso: la capacidad de los agentes de IA para navegar por repositorios de datos obsoletos. Muchas organizaciones operan sobre estructuras de archivos legacy, como antiguos servidores de SharePoint, que carecen de controles de acceso actualizados. Nadie los usaba, así que nadie los protegía. Hoy, cualquier agente desplegado en el entorno corporativo puede descubrir estos activos, exponer datos confidenciales y escalar privilegios en minutos.
Mi lectura es distinta: el problema no es solo que la IA sea una superficie de ataque; es que la IA está obligando a las empresas a hacer inventario de un desorden técnico que habían ignorado durante una década. La seguridad ya no puede residir únicamente en el equipo de IT o ciberseguridad. Es un tema de junta directiva. Si un CEO no entiende dónde residen los datos de su empresa, los agentes autónomos de un atacante lo harán por él.
La advertencia de De Souza sobre la necesidad de un enfoque de plataforma es correcta en teoría. La fragmentación, después de todo, es el enemigo de la seguridad. Pero las empresas deben ser escépticas: integrar todo en un solo ecosistema no garantiza protección si los mecanismos de control de dicho ecosistema son, por diseño, lentos o impredecibles. La era de la confianza ciega en las APIs de los grandes proveedores ha terminado. El futuro pertenece a quienes auditen cada servicio, cada permiso y cada factura, asumiendo que la plataforma, por más sofisticada que sea, no los protegerá de sí misma.