Existe hoy en el entorno empresarial una percepción ampliamente compartida: adoptar inteligencia artificial es, en sí mismo, un salto de madurez digital. Esta percepción es comprensible —las herramientas de IA generativa son visibles, accesibles y producen resultados inmediatos—, pero esconde una distinción conceptual que vale la pena hacer explícita, especialmente en este momento.

Cuando un ejecutivo o un colaborador utiliza un asistente de IA para redactar un correo, resumir un informe o preparar una presentación, aprovecha una herramienta de productividad personal de alto valor, tal como ocurre con este artículo, para el cual se utilizó IA con el fin de mejorar la redacción, investigar asuntos relevantes y debatir cómo enfocar correctamente la materia. Esa experiencia —fluida, intuitiva y útil— aplicada en el entorno laboral tiende a generar la impresión de que la empresa ha dado un paso significativo en su evolución hacia la IA. Y es un paso, sin duda, pero no es el único que importa ni el de mayor capacidad de transformación.

Dos velocidades, un mismo entorno de riesgo

Para entender mejor el panorama actual, resulta útil distinguir entre dos categorías de adopción de inteligencia artificial en el entorno corporativo, las cuales avanzan a ritmos muy distintos.

La primera es la IA de productividad personal: herramientas como Copilot, ChatGPT o Gemini, que el individuo adopta con relativa facilidad y generan beneficios visibles en el corto plazo. Según un estudio del Centro de Investigaciones Humanismo y Empresa de la Universidad del Istmo (2025), el 41% de las empresas guatemaltecas ya está en esta fase de exploración activa.

La segunda es la IA de robustez empresarial: sistemas integrados a procesos críticos del negocio, con controles de acceso, auditoría continua, gestión de identidades —incluidas las identidades no humanas, como los propios agentes de IA—, gobernanza de datos y cumplimiento regulatorio. Este nivel exige arquitecturas diseñadas deliberadamente y marcos de gobierno explícitos. En Guatemala y en la región, esta madurez todavía es incipiente.

La brecha entre ambas velocidades no es una debilidad exclusiva de Guatemala; es un fenómeno global, y la mayoría de las organizaciones en mercados emergentes se encuentra en una situación similar. Lo relevante es tomar conciencia de ello, porque el entorno de amenazas sí ha cambiado de manera significativa.

Cuando la IA también trabaja para el adversario

El contexto que hace urgente esta distinción es que la inteligencia artificial no solo está siendo adoptada por empresas legítimas. Sus capacidades ofensivas también evolucionan, y la evidencia más reciente y concreta de ello proviene de una fuente inesperada: el propio sector de investigación en IA.

El 7 de abril del 2026, Anthropic anunció su modelo Claude Mythos Preview junto con una decisión inusual: no ponerlo a disposición del público. La razón fue que, durante las pruebas internas, el modelo demostró una capacidad sin precedentes para identificar y explotar vulnerabilidades de seguridad en sistemas críticos de forma completamente autónoma, sin intervención humana después de la instrucción inicial.

En pruebas sobre el kernel de Linux, Mythos fue capaz de seleccionar las vulnerabilidades más explotables de una lista de 100 y construir exploits funcionales en más de la mitad de los intentos. Identificó vulnerabilidades de décadas de antigüedad en sistemas operativos de uso masivo, navegadores web y librerías criptográficas. Lo hizo de la misma manera en que lo haría un investigador de seguridad experto, pero a la velocidad y escala de una máquina.

Lo que hace relevante este caso para cualquier ejecutivo es lo que la propia Anthropic señala en su reporte técnico: estas capacidades no fueron programadas de forma explícita. Emergieron como consecuencia indirecta de mejoras generales en razonamiento y programación. En otras palabras, el mismo avance que hace que un modelo sea mejor para redactar, analizar o programar también lo vuelve más eficaz para encontrar y explotar vulnerabilidades. La distinción entre IA productiva e IA ofensiva es, en el fondo, una distinción de intención, no de capacidad.

En respuesta, Anthropic lanzó Project Glasswing: un consorcio inicial integrado por Microsoft, Google, Apple, Amazon Web Services, JPMorgan Chase y Nvidia, orientado a utilizar Mythos de forma defensiva para encontrar y corregir vulnerabilidades antes de que actores maliciosos lo hagan. El propósito es precisamente ese: dar ventaja al defensor en una carrera que, de otro modo, el atacante podría ganar primero.

Guatemala: digitalización real, gobernanza en construcción

El estudio del CIHE revela que el 44% de las empresas guatemaltecas aún no utiliza inteligencia artificial en ninguna área clave y que, entre quienes sí la están adoptando, las preocupaciones de ciberseguridad y confidencialidad de datos encabezan la lista de temores: 63% de los encuestados.

Existe, por tanto, conciencia del riesgo. Lo que todavía está en construcción son los marcos para gestionarlo.

El desafío específico que surge de combinar estos dos elementos —mayor exposición digital y adopción de IA aún sin marcos de gobierno consolidados— es que los agentes de IA corporativos pueden convertirse en una superficie de ataque no gestionada. Un agente de IA con acceso a sistemas críticos, sin control adecuado de privilegios y sin monitoreo de comportamiento, introduce un vector de riesgo que los modelos tradicionales de seguridad no contemplan.

Actuar con información, no con urgencia

La buena noticia es que las organizaciones que entienden esta distinción están mejor posicionadas para actuar con claridad. No se trata de frenar la adopción de IA —eso sería contraproducente—, sino de asegurarse de que la velocidad de adopción no supere la capacidad de gobierno.

Esto implica, en términos prácticos, tres conversaciones que toda organización debería tener en este momento:

¿Sabemos qué herramientas de IA operan en nuestra empresa, con qué accesos y bajo qué controles?

¿Nuestros marcos de gestión de identidad y acceso contemplan identidades no humanas —bots, agentes e integraciones automatizadas—?

¿Tenemos visibilidad sobre el comportamiento de esos sistemas en tiempo real?

Estas no son preguntas exclusivamente técnicas; son preguntas de gobierno corporativo. Y, en la medida en que la inteligencia artificial se integra a más procesos del negocio, la responsabilidad de responderlas recae cada vez más en los líderes ejecutivos, no solo en los equipos de tecnología.

Miguel Caldentey es socio de Consultoría Tecnológica y cuenta con más de 30 años de experiencia en consultoría de gestión y tecnología para la industria de servicios financieros en América Latina y el Caribe. Es reconocido por liderar programas de transformación a gran escala, gestionar operaciones multipaís y generar resultados comerciales medibles para bancos e instituciones financieras de primer nivel. Actualmente lidera la iniciativa de Transformación Agéntica en Centroamérica, Panamá y República Dominicana.

Miguel Caldentey es Socio y Líder de Tecnología y Transformación de Deloitte para Centroamérica, Panamá y el Caribe.Es epecialista en tecnología, gobernanza de IA, transformación digital y ciberseguridad empresarial con más de 30 años de experiencia.

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.