Elena Zapatero

El dilema del huevo y la gallina en la era digital La Inteligencia Artificial y la Ciberseguridad son hoy inseparables. Cuando se combinan, se refuerzan mutuamente. Sin embargo, también se desafían. Esta relación plantea una pregunta interesante: ¿Qué fue y que debe ir primero hoy: la Inteligencia Artificial o la Ciberseguridad? Responderla no es solo un ejercicio histórico. Nos ayuda a entender por qué ambas disciplinas evolucionan hoy de forma conjunta y por qué, en el contexto actual, ninguna puede avanzar sin la otra. La pregunta hoy es por qué una no puede avanzar sin la otra. ¿Qué fue primero? Antes de analizar qué debe ir primero en la actualidad conviene echar la vista atrás y revisar los orígenes de cada disciplina, para comprender cuál apareció antes y en qué contexto. Si observamos su evolución histórica, vemos que sus orígenes fueron cercanos en el tiempo, pero muy distintos en su motivación: La Inteligencia Artificial nació como una idea académica, sin una aplicación inmediata. , El término se acuñó formalmente en 1956, durante el Dartmouth Summer Research Project on Artificial Intelligence. E incluso antes, en 1950, Alan Turing ya había planteado las bases conceptuales de esta disciplina. La ciberseguridad, por otro lado, surgió como una necesidad práctica, vinculada a la protección de sistemas y datos. Los orígenes de la ciberseguridad —o seguridad informática— están estrechamente ligados a los sistemas multiusuario y a la protección de información sensible. Existen ejemplos bien documentados, como los primeros sistemas de contraseñas o los estudios financiados por DARPA en la década de los sesenta. Por ello, en sus orígenes resulta difícil determinar con claridad qué fue primero, ya que la respuesta depende de si se analiza desde una perspectiva académica o desde una perspectiva operativa. Durante años, ambas disciplinas evolucionaron en paralelo: la inteligencia artificial buscaba aprender, la ciberseguridad buscaba proteger. El punto de encuentro entre ambas llegaría mucho después. El punto de encuentro: más datos, más volumen, más riesgos Todo cambió con la digitalización masiva: más dispositivos conectados, más datos en circulación, más usuarios, más alertas… Este nuevo escenario generó dos efectos simultáneos: Más oportunidades para aplicar inteligencia artificial, gracias al crecimiento del volumen de datos. Mayor superficie de ataque, y por tanto, un incremento de los riesgos de seguridad. La ciberseguridad tuvo que reaccionar con rapidez porque los métodos manuales dejaron de ser suficientes. Las alertas de los SIEM empezaron a dispararse, las vulnerabilidades se volvieron difíciles de gestionar y el volumen de incidentes, aunque sean de criticidad baja, precisan un análisis y actuación por parte de los analistas de los centros de operaciones de ciberseguridad (SOC). Es en este contexto donde la Inteligencia Artificial empezó a desempeñar un papel clave en la protección de los entornos digitales. La digitalización masiva multiplicó el valor de la inteligencia artificial, pero también amplió de forma exponencial la superficie de ataque. Cuando la Inteligencia Artificial se convierte en aliada de la ciberseguridad Hoy, la inteligencia artificial es una herramienta esencial para proteger sistemas digitales. Algunos ejemplos claros son: Detección de anomalías Identificación de comportamientos anómalos en redes y sistemas en tiempo real. En este campo no solo hablamos de automatizacion, si no ya empezamos a ver avances significativos y tangible en agentes autónomos que facilitan las labores de triaje y análisis de los analistas del SOC Respuesta más rápida ante incidentes Automatización de tareas repetitivas y reducción de los tiempos de reacción, ayuda en el análisis, en la escritura de playbook, en la búsqueda de indicadores de compromiso IOC. Análisis de grandes volúmenes de datos Algo inviable de forma manual a gran escala, esto venimos viéndolo ya desde hace años, pero la potencia ahora para dar el contexto de forma más sencilla, no dejan de asombrarnos. Organismos como la Agencia de la Unión Europea para la Ciberseguridad (ENISA) destacan el valor de la inteligencia artificial para anticipar amenazas y reforzar la defensa digital. Pero la relación no es solo de apoyo Cuando la inteligencia artificial introduce nuevos riesgos Aquí aparece el verdadero dilema del huevo y la gallina. La misma tecnología que ayuda a proteger también puede convertirse en una superficie de riesgo adicional. Por un lado, la IA puede utilizarse para atacar; por ejemplo, generando contenido malicioso o perfeccionando técnicas de ingeniería social. Por otro, su rápida adopción en todos los sectores —afectando a datos, aplicaciones, infraestructuras y modelos— amplifica su impacto y su exposición. En este punto es necesario establecer un principio claro: la ciberseguridad necesita la inteligencia artificial para seguir evolucionando, y no es viable implantar inteligencia artificial generativa sin ciberseguridad. Ante cualquier caso de uso de inteligencia artificial generativa en una organización, es imprescindible contemplar: Gobierno de seguridad de inteligencia artificial Es necesario identificar que normativa nos aplica (AI Act, GDPR, normativa sectorial…), definir políticas, establecer roles implicados en la empresa y sus responsabilidades claras. Identificación de riesgos Es fundamental analizar con qué datos se alimenta el modelo, quién tiene acceso, que aplicaciones y modelos se utilizan, así como las infraestructuras que los soportan y asegurar que no estamos introducciones nuevos riesgos en la organización. Detección temprana de vulnerabilidades En datos, identidades, infraestructuras y modelos. Protección frente a amenazas Implementar medidas robustas para disponer de infraestructuras resilientes, aplicaciones seguras y un control eficaz de accesos y datos. Respuesta integral Monitorización continua, integración con un centro de operaciones de seguridad (SOC) especializado y un marco de mejora continua ante incidentes. ■ Cada avance en IA genera nuevos riesgos, y cada nuevo riesgo impulsa el desarrollo de nuevas defensas. Es un ciclo continuo que exige integrar la seguridad durante todo el ciclo de vida del modelo, especialmente cuando se utilizan en entornos empresariales. No es viable implantar Inteligencia Artificial Generativa sin ciberseguridad. Controles mínimos para LLM corporativos La adopción de modelos de lenguaje en entornos empresariales exige establecer una serie de controles básicos que permitan reducir riesgos, reforzar la gobernanza y generar confianza en su uso. Estos constituyen el punto de partida para una IA segura y responsable, alineada con nuestro marco estructurado Secure Journey to AI. Control de acceso y aislamiento de datos Definir quién puede interactuar con el modelo, desde qué aplicaciones y con qué información, aplicando el principio de mínimo privilegio y evitando la exposición innecesaria de datos sensibles. Registro y auditoría de prompts y salidas Asegurar la trazabilidad de las interacciones con el modelo para facilitar la detección de comportamientos anómalos, la investigación de incidentes y el cumplimiento normativo. Filtros y validación de respuestas Incorporar mecanismos que reduzcan el riesgo de fugas de información, generación de contenido inapropiado o respuestas que puedan afectar a la reputación o a la toma de decisiones. Seguridad ofensiva periódica Someter los modelos a pruebas recurrentes frente a técnicas como prompt injection, jailbreaks o extracción de información, validando su resiliencia ante ataques y usos indebidos. Revisión de proveedores y cadena de suministro Evaluar de forma continua los modelos, librerías, datasets y servicios de terceros utilizados, identificando riesgos asociados a dependencias externas y ataques a la cadena de suministro. Política de retención y uso responsable Establecer reglas claras sobre cuánto tiempo se almacenan prompts, respuestas y registros, y cómo pueden utilizarse, en línea con los requisitos regulatorios y de privacidad. Supervisión humana en decisiones sensibles Incorporar esquemas de human-in-the-loop en casos de alto impacto, asegurando que las decisiones automatizadas estén sujetas a control, revisión y responsabilidad humana. Estos controles mínimos no limitan la innovación: la hacen viable. Permiten escalar el uso de la inteligencia artificial con seguridad, transparencia y confianza, integrando la protección como parte natural del ciclo de vida del modelo. Cada avance en IA genera nuevos riesgos, y cada nuevo riesgo impulsa el desarrollo de nuevas defensas. La seguridad no es un estado final, sino un ciclo continuo. Una carrera que se retroalimenta Volviendo a la pregunta inicial, más que preguntarnos qué fue primero, la cuestión clave es otra: ¿puede haber IA sin ciberseguridad o ciberseguridad sin IA? La realidad es clara: La ciberseguridad necesita inteligencia artificial para ser eficaz ante la complejidad actual. La inteligencia artificial necesita ciberseguridad para ser fiable, resiliente y sostenible en el tiempo. Sin una protección adecuada, los datos pueden ser manipulados, los modelos pueden ser atacados y las decisiones automatizadas pueden volverse peligrosas. Por ello, organismos internacionales y los principales marcos de referencia insisten en integrar la seguridad desde las fases iniciales de diseño. ¿Qué nos dice esto sobre el futuro? Todo apunta a una conclusión clara: No habrá inteligencia artificial confiable sin ciberseguridad. No habrá ciberseguridad eficaz sin inteligencia artificial. ■ El reto no consiste en elegir una u otra, sino en diseñarlas y evolucionarlas juntas, de forma responsable y transparente. Esto implica: Diseñar sistemas seguros desde el inicio. Formar a las personas, no solo a las tecnologías. Establecer normas claras y principios éticos. La IA solo será confiable si la seguridad, la gobernanza y la responsabilidad se integran desde el diseño. Conclusión: una pregunta que ya no importa tanto Volviendo a la pregunta inicial, ¿va primero la inteligencia artificial o la ciberseguridad? En la práctica actual, ya no tiene sentido separarlas. Como sucede en el dilema clásico del huevo y la gallina, la respuesta no está tanto en el origen como en su evolución conjunta. Por tanto, la pregunta ahora es cómo integrar ambas desde el diseño, asegurando que cada caso de uso incorpore la seguridad como un elemento estructural y no como una capa posterior. En Telefónica Tech trabajamos precisamente con ese enfoque: un Secure Journey to AI que integra la seguridad, la gobernanza y la resiliencia a lo largo de todo el ciclo de vida de la inteligencia artificial. Telefónica Tech Ciberseguridad «La Ciberseguridad es clave para aprovechar el verdadero valor de la IA Generativa» 17 de julio de 2025 Foto: Freepik.