Por qué los reguladores y los inversores esperan que las empresas aborden un triple riesgo

Por Danny Bradbury • 5 de Febrero de 2026

Las organizaciones se preocupan por los riesgos de seguridad y privacidad. Y, más recientemente, han prestado atención al riesgo de la IA. Pero ¿con qué frecuencia piensan en los tres en la misma conversación?

Cada vez es más evidente que deberían hacerlo. Las leyes que cubren la protección de datos, la ciberseguridad y la IA han... cuadriplicado desde 2016 en Estados Unidos, la UE, el Reino Unido y China.

La SEC ya ha demostrado su compromiso con la ciberseguridad. Sus normas de ciberseguridad, vigentes a partir de diciembre de 2023, ya están redefiniendo la forma en que las empresas que cotizan en bolsa gestionan la divulgación de infracciones. Formulario 8-K, artículo 1.05, ahora disponible. requiere Las empresas deben divulgar los incidentes de ciberseguridad relevantes dentro de los cuatro días hábiles siguientes a la determinación de su importancia, no desde su descubrimiento. El Formulario 10-K, Artículo 106, exige la divulgación anual de los procesos de gestión de riesgos y las estructuras de supervisión del consejo.

La Comisión no teme sancionar a las empresas que, en su opinión, han minimizado los incidentes de seguridad. Hace poco más de un año, en octubre de 2024, la SEC resolvió acciones legales contra cuatro empresas cotizadas (Unisys, Avaya, Check Point y Mimecast) por engañar a los inversores sobre el impacto del ciberataque a SolarWinds en 2020. Las sanciones totales ascendieron a cerca de 7 millones de dólares. Unisys pagó 4 millones de dólares por describir los riesgos cibernéticos como "hipotéticos" en sus documentos, a pesar de que sus equipos internos conocían las intrusiones reales.

Entre diciembre de 2023 y enero de 2025, se reportaron 55 incidentes de ciberseguridad mediante la presentación del Formulario 8-K. Además de las acciones relacionadas con SolarWinds, Flagstar pagó 3.55 millones de dólares en diciembre de 2024 por describir una filtración que afectó a 1.5 millones de personas como un simple "acceso", cuando en realidad se habían exfiltrado datos.

Estas sanciones demuestran la necesidad de conectar la divulgación de información sobre ciberseguridad con una gestión más amplia de riesgos empresariales. La creación por parte de la SEC de una nueva Unidad de Ciberseguridad y Tecnologías Emergentes en febrero de 2025 indica que este escrutinio continuará. Esta reemplazó a la Unidad de Criptoactivos y Ciberseguridad. La CETU también destaca la importancia de considerar la IA en estos riesgos, ya que incluye específicamente prácticas de IA y ciberseguridad en su mandato.

La gobernanza fragmentada crea una exposición creciente

Las empresas estadounidenses con operaciones en Europa también se enfrentan a presiones adicionales por la Ley de IA de la UE, que entró en vigor en agosto de 2024. La ley, con plazos de cumplimiento escalonados hasta 2027, se aplica extraterritorialmente. Las empresas estadounidenses que introduzcan sistemas de IA en el mercado de la UE o implementen IA cuyos resultados afecten a los usuarios de la UE deben cumplirla.

Hay mucho en juego. Las sanciones por prácticas prohibidas de IA alcanzan los 35 millones de euros o el 7 % de los ingresos anuales globales, lo que sea mayor. Las categorías de alto riesgo, que abarcan la IA utilizada para decisiones laborales, calificación crediticia y diagnósticos sanitarios, requieren evaluaciones de conformidad, documentación técnica y mecanismos de supervisión humana. Las prohibiciones sobre los sistemas de IA de riesgo inaceptable entraron en vigor en febrero de 2025.

La IA aparece en los documentos de divulgación

Las expectativas de los inversores están cambiando a medida que evolucionan estos riesgos. Los reguladores y los accionistas están dejando claro que el antiguo modelo de equipos separados que gestionan la ciberseguridad, la privacidad y la IA como dominios distintos ya no funciona.

La IA ha migrado de las discusiones sobre oportunidades en las salas de juntas a la sección de factores de riesgo de los informes anuales con una velocidad notable. El 72 % de las empresas del S&P 500... Ahora revelan riesgos materiales de la IA, frente a solo el 12 por ciento en 2023. Las preocupaciones que citan con mayor frecuencia son el daño a la reputación (38 por ciento de las empresas que revelan información), las implicaciones de ciberseguridad y la incertidumbre regulatoria.

La supervisión de la junta directiva ha seguido. Según ISS-CorporativoEl 31.6 % de las empresas del S&P 500 revelaron la supervisión de la IA por parte de su junta directiva en sus declaraciones de representación de 2024. Esto representa un aumento interanual del 84 %.

Quienes no imponen dicha supervisión se arriesgan a sufrir daños importantes para los accionistas, lo que podría derivar en recomendaciones de voto negativas. El año pasado, Glass Lewis, una firma de asesoría de voto que asesora a accionistas institucionales sobre cómo votar, emitió nuevas directrices de referencia que abordan directamente la gobernanza de la IA.

El problema de gestionar la ciberseguridad, la privacidad y la IA por separado es que los incidentes relacionados con cada una de ellas se confunden con las demás. Una sola infracción puede desencadenar simultáneamente las obligaciones de divulgación de la SEC, los requisitos de notificación del RGPD, las leyes estatales de privacidad y (si se entrenó un sistema de IA con datos personales) las regulaciones emergentes sobre IA.

Ha llegado el momento de fusionar la consideración de estas áreas de riesgo, pero nada de esto es fácil. Según Según las perspectivas de gobernanza de julio de 2025 de la Asociación Nacional de Directores Corporativos, la IA es ahora un tema rutinario para el 61 por ciento de las juntas directivas, pero pocas la han integrado adecuadamente en las estructuras de gobernanza.

¿Por qué? La fricción cultural es una de las razones. Históricamente, los equipos de seguridad, privacidad e IA han operado con diferentes vocabularios, marcos de riesgo y estructuras de informes.

La integración de tecnología añade otra capa de dificultad; las herramientas de GRC aisladas generan enfoques fragmentados para la evaluación de riesgos, la documentación de auditoría y la recopilación de evidencias. Las limitaciones presupuestarias obligan a encontrar un equilibrio entre la creación de una infraestructura integrada y el cumplimiento inmediato de los plazos de cumplimiento.

Los marcos normativos ofrecen un camino a seguir

La buena noticia: los principales organismos de normalización anticiparon esta convergencia. La Estructura de Alto Nivel de ISO implica que las normas ISO 27001 (seguridad de la información), ISO 27701 (privacidad) y la más reciente ISO 42001 (sistemas de gestión de IA) comparten arquitecturas compatibles, lo que permite a las organizaciones construir sistemas de gestión unificados en lugar de burocracias paralelas.

La integración práctica suele comenzar con comités directivos interdisciplinarios que incluyen representantes de privacidad, ciberseguridad, asuntos legales e inteligencia artificial. A partir de ahí, las organizaciones desarrollan taxonomías de riesgos compartidas y (cuando el presupuesto lo permite) plataformas unificadas de GRC que eliminan las evaluaciones redundantes. Las fronteras entre roles ya se están difuminando: según una encuesta de IAPP y EY, el 69 % de los directores de privacidad han asumido responsabilidades de gobernanza de la IA.

Las organizaciones que no evolucionen sus prácticas en este sentido se arriesgan a la exposición regulatoria. A quienes sí lo hagan, les aguardan una menor fricción regulatoria, una menor carga de auditoría y una mayor confianza de los inversores.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 15 de enero de 2026

De la seguridad perimetral a la identidad como bandera de seguridad

De la seguridad perimetral a la identidad como seguridad

Hoy en día, es imposible ver un evento de seguridad sin ver la frase "confianza cero". Es una palabra de moda, sí, pero...

danny bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury