encuentros

Los CISO ante el desafío de la IA: Entre la defensa proactiva y los riesgos de los agentes autónomos



Dirección copiada

En el marco del evento Cybersecurity Summer Edition 2026, los líderes de ciberseguridad de Bankinter, Mapfre, BBVA e IAAS365 se han reunido en una mesa redonda para analizar el impacto transformador de la inteligencia artificial

Publicado el 8 jul 2026



CISO
De izq. A drcha.: Ambrosio Rodríguez, Director de Computing; Juan Carlos Muñoz, CISO de Bankinter España; Jacinto Muñoz, CISO de Mapfre Iberia; Juan Manuel Matalobos, Head of Human Risk en BBVA; y Miguel Ángel Arroyo, CISO de IaaS365; en el evento Cibersecurity Summer Edition 2026 celebrado en Madrid.

En el marco del evento Cybersecurity Summer Edition 2026, los líderes de ciberseguridad de Bankinter, Mapfre, BBVA e IAAS365 se han reunido en una mesa redonda moderada por Ambrosio Rodríguez, director de Computing, para analizar el impacto transformador de la inteligencia artificial.

Durante el encuentro, los expertos coincidieron en que, aunque la IA otorga «superpoderes», acortando los tiempos de ejecución de los ciberataques y aumentando su alcance. También supone la herramienta definitiva para que los equipos de ciberseguridad de las organizaciones alcancen un nuevo nivel de protección y resiliencia; siempre apoyándose en “la gobernanza, la supervisión humana y la gestión de riesgos de terceros”.

La carrera por el tiempo y el conocimiento

El debate comenzó analizando quién ostenta la ventaja en el tablero de juego actual: ¿los ciberdelincuentes o los equipos de defensa? Jacinto Muñoz Muñoz, CISO de Mapfre Iberia, señaló que, “aunque el atacante parece tener una ventaja inicial al no tener leyes que cumplir ni miedo a llevarse por delante sistemas enteros, se trata de una cuestión temporal”.

Según el CISO, “el ciberatacante puede ganar batallas, pero el defensor acaba ganando la guerra en el medio y largo plazo porque alcanza un conocimiento más profundo de la tecnología para proteger los sistemas y garantizar su disponibilidad”. Por ello, abogó por ser “early adopters” de la IA: “no hay tiempo que perder. Un responsable de ciberseguridad, hoy en día, no puede tocar de oído, hay que saber leer bien las partituras y conocer las reglas de juego tanto para proteger los activos, como para para sacarle todo el partido al instrumento, en este caso, a las herramientas de IA”.

El ciberatacante puede ganar batallas, pero el defensor acaba ganando la guerra en el medio y largo plazo porque alcanza un conocimiento más profundo de la tecnología

Jacinto Muñoz Muñoz, CISO de Mapfre Iberia

Por su parte, Juan Carlos Muñoz, CISO de Bankinter España, destacó que “la IA es una herramienta que el sector de la seguridad usará de forma positiva para mejorar sus capacidades”, a pesar de que nos llegan noticias de “un uso más que eficiente en el lado oscuro».

Supervisión humana y explicabilidad

Uno de los puntos críticos de la conversación fue la necesidad de tener en cuenta el factor humano en cualquier proceso que involucre la IA. Los ponentes subrayaron el concepto de “Human-in-the-loop», -refiriéndose a la participación de las personas en el ciclo de funcionamiento o toma de decisiones de un proceso automatizado o de IA-, como algo imprescindible.

Para acelerar este proceso de hacer un buen uso de la IA, Juan Carlos Muñoz aludió a la necesidad de designar a responsables del desarrollo y aplicación de esta tecnología en las entidades: “En Bankinter contamos con un Chief Artificial Intelligence Transformation Officer (CAITO), que es el encargado de desplegar el programa de IA First que presentamos a principios de este año, diseñado para maximizar el potencial de esta tecnología en todo el banco”.

En este sentido, Jacinto Muñoz de Mapfre visualiza la IA como un complemento que otorga «superpoderes» a los humanos, aunque advirtió que será necesario “crear nuevos puestos, -como el ya mencionado CAITO-, para supervisar que los agentes autónomos actúen según lo previsto”.

Existe un peligro en que los agentes actúen como usuarios privilegiados que operan con permisos excesivos y sin una auditoría clara

Miguel Ángel Arroyo, CISO de IaaS365

Por su parte, Miguel Ángel Arroyo, CISO de IaaS365, alertó sobre el riesgo de la “falta de explicabilidad”, o el problema de no saber por qué un agente de IA ha tomado una decisión específica. Arroyo también advirtió sobre el peligro de los agentes que actúan como «usuarios privilegiados» que operan con permisos excesivos y sin una auditoría clara. Para mitigar esto, Juan Carlos Muñoz de Bankinter explicó que en su entidad miden el «porcentaje de alucinación» de los agentes antes de decidir si pasan a producción.

Talento y resiliencia crítica

La gestión del talento y la cultura interna fue abordada por Juan Manuel Matalobos, Head of Human Risk en BBVA, quien explicó que su entidad apuesta por “capacitar a las personas en el uso de soluciones corporativas para evitar el Shadow IA«. Matalobos subrayó que, al igual que ocurrió con el cloud computing en su momento de explosión. Es vital “adaptarse y ver lo mejor y lo peor de cada tecnología, fomentando la concienciación para que los empleados no suban información sensible o código interno a redes externas”.

En cuanto a los riesgos más temidos, Juan Carlos Muñoz de Bankinter puso el foco en la cadena de suministro: «aunque tengas tu casa perfectamente barrida, no sabes cómo está la casa del vecino, y eso puede salpicarte de forma indirecta». Además, introdujo el concepto de «banca mínima viable», basada en trabajar con modelos degradados o preautorizados que permitan “mantener la resiliencia de los procesos críticos de negocio, sin sacrificar la operativa ante un evento disruptivo”.

Finalmente, Miguel Ángel Arroyo de IAAS365 cerró la charla con una advertencia sobre el desarrollo de software, instando a “recuperar la validación humana del código generado por IA para evitar que se pongan en producción aplicaciones con privilegios excesivos o conexiones inseguras”.

IA y gestión para neutralizar los robos de datos

Durante el encuentro intervino Sara Dakir, Technical Consultant de ManageEngine Iberia, quien destacó que el 82% de los robos de datos actuales se producen por una elevación de privilegios innecesaria, advirtiendo sobre el riesgo crítico que suponen los «privilegios permanentes» y el abuso de accesos que quedan activos tras la salida de empleados o por exceso de carga de trabajo.

Para mitigar esta vulnerabilidad, presentó la solución PAM 360, que implementa un modelo de acceso Just-in-Time donde las credenciales se inyectan sin ser visibles para el usuario y los permisos se revocan automáticamente tras auditar y grabar la sesión. Dakir subrayó que «las VPN ya no son una barrera suficiente frente a las amenazas modernas» y propuso el uso de un application gateway para garantizar visibilidad y control total en entornos híbridos y multicloud, apoyándose en su IA propia (Zia) para detectar riesgos y optimizar privilegios no utilizados.

Finalmente, hizo especial hincapié en la necesidad de automatizar el ciclo de vida de los certificados digitales ante la reducción de su validez (prevista en solo 47 días para 2029) y en la importancia de contar con informes automatizados para auditorías de cumplimiento como las normativas ISO.

Artículos relacionados