En el bullicio de la celebración del Zenith Live 2026, que tuvo lugar la semana pasada en una calurosa Viena, nos encontramos con Sam Curry, CISO de Zscaler. En una conversación profunda, Curry nos explica cómo la alianza con Anthropic y el modelo Mythos están redefiniendo el descubrimiento de vulnerabilidades; y por qué la inercia cultural y la falta de procesos son hoy los mayores riesgos para las empresas frente a una IA que ya no solo informa, sino que actúa de forma autónoma.
¿Cuál considera que es el mayor riesgo de seguridad asociado a esta nueva era de la IA agéntica?
Como socios de la iniciativa Glasswing de Anthropic, estamos viendo que modelos como Mythos suponen un cambio de juego. Mythos es excepcional encontrando vulnerabilidades, mientras que un escaneo tradicional tiene un 20% de aciertos reales, con esta tecnología hemos alcanzado un 82%. Esto permite encontrar combinaciones de fallos que suman un riesgo crítico y escribir exploits en tiempo real. El gran impacto a corto plazo será la necesidad masiva de parches y actualizaciones que obligará a redefinir la relación entre los equipos de ingeniería y seguridad.
¿Sigue siendo el Zero Trust la base de la comunicación incluso entre agentes de IA?
Absolutamente. Nuestra arquitectura de «centralita» (Zero Trust Exchange) actúa como un motor de autorización que permite que la red sea solo un medio conectado, moviendo las aplicaciones de IA a una capa superior de software.
La clave es reducir la superficie de exposición: si una IA ofensiva no puede encontrarte, no puede atacarte. Queremos entrar en una «guerra de recursos» con la IA agéntica, usando el engaño (deception) para que los atacantes malgasten sus tokens explorando redes falsas mientras nosotros obtenemos señales de su actividad.
Queremos entrar en una «guerra de recursos» con la IA agéntica, usando el engaño (deception) para que los atacantes malgasten sus tokens explorando redes falsas mientras nosotros obtenemos señales de su actividad
Muchas empresas temen perder el control de sus datos al adoptar la IA. ¿Cómo pueden las organizaciones equilibrar innovación y gobernanza?
En Zscaler hemos implementado nueve flujos de trabajo de gobernanza humana. No es solo poner controles técnicos, se trata de gestionar el ciclo de vida de las aplicaciones para combatir el vibe coding y evitar que se conviertan en «huérfanas» digitales cuando el creador deja la empresa.
El error más común es irse a los extremos: o no poner controles, lo que genera costes descontrolados y riesgos; o poner demasiados, lo que empuja a los empleados a usar sus propios dispositivos fuera de la red corporativa, creando riesgos de propiedad intelectual.
¿Está Europa sobrerregulada en comparación con Estados Unidos o Asia?
Operamos en un entorno regulatorio internacional complejo. Más que una traba, lo vemos como una señal para diseñar desde el principio con principios de privacidad por diseño y nubes soberanas. De hecho, lugares como Singapur o India tienen leyes de divulgación de incidentes mucho más estrictas que se miden en horas, no en días.
Este verano habrá una avalancha de parches críticos de múltiples proveedores, las empresas deben ser capaces de absorberlos sin tiempo de inactividad
Hablando de riesgos culturales, ¿estamos concienciados y formados para detectar el phishing masivo y los deepfakes?
Culturalmente, no estamos listos. Los ataques son más rápidos, sofisticados y adaptables. La mejor defensa es el proceso: los directivos deben establecer que solo hay una vía para mover dinero o datos, sin excepciones.
En Zscaler, incluso hemos realizado entrenamientos internos usando deepfakes de nuestro propio CEO y de mí mismo para que los empleados vean lo realistas que pueden llegar a ser.
Para terminar, ¿qué advertencia le daría a los consejos de administración de las compañías europeas para este 2026?
Que se vuelvan expertos en Zero Trust y resiliencia. Este verano habrá una avalancha de parches críticos de múltiples proveedores, las empresas deben ser capaces de absorberlos sin tiempo de inactividad.
Los directivos deben preguntar a sus ejecutivos: «¿Cómo vamos a evitar las caídas de sistema? ¿Cuál es nuestra estrategia de continuidad de negocio?» La humildad y estar cerca del problema son las mejores herramientas para diferenciar el ruido del riesgo estratégico real.
