El informe “Del riesgo agéntico al acierto humano” de KnowBe4 pone números duros a una realidad que muchas empresas colombianas prefieren no ver.
TL;DR: El 53% de empresas colombianas ya opera con agentes de IA autónomos, pero solo el 8% alcanza el nivel de madurez de seguridad para gestionarlos bien. El 55% de los responsables de ciberseguridad reconoce que el uso de IA no autorizada comprometió su postura en los últimos 12 meses, según KnowBe4 (junio 2026).
Las organizaciones colombianas cruzaron hace tiempo la línea del experimento con inteligencia artificial. Ya no se trata de pilotos o pruebas controladas: el 53% de las empresas encuestadas por KnowBe4 en Colombia opera actualmente con agentes autónomos de IA capaces de tomar decisiones y ejecutar acciones sin intervención humana. El problema es que la infraestructura de seguridad no creció al mismo ritmo.
¿Qué es el “riesgo agéntico” y por qué importa en Colombia ahora?
El riesgo agéntico es la exposición que genera delegar decisiones a sistemas de IA que actúan de forma autónoma. En Colombia, el 53% de las empresas ya opera con estos agentes mientras el 40% de sus líderes admite que ese uso no tiene gobernanza corporativa adecuada.
Los agentes de IA no son simples chatbots: pueden enviar correos, ejecutar procesos, modificar datos y tomar decisiones en nombre de la organización. Cuando ese poder corre sin supervisión formal, cualquier error o manipulación externa tiene consecuencias directas. Según el informe de KnowBe4 (junio 2026), el 40% de los líderes colombianos reconoce abiertamente que el uso de IA dentro de su empresa está aprobado pero sin una estructura de gobernanza real.
¿Qué es la Shadow AI y por qué el 55% de empresas en Colombia ya lo resintió?
La Shadow AI es el uso de herramientas de IA no aprobadas por la organización, que opera fuera del radar de los equipos de seguridad. En Colombia, el 55% de los responsables de ciberseguridad confirma que este uso no autorizado ya comprometió su postura de seguridad en los últimos 12 meses (KnowBe4, junio 2026).
Lo más revelador del dato no es el 55%, sino lo que lo alimenta: el 40% de los trabajadores colombianos admite que si las herramientas corporativas oficiales son demasiado lentas o restrictivas, usaría activamente IA no autorizada para saltarse esos controles. No es malicia, es fricción operativa convertida en brecha de seguridad.
Los actores maliciosos saben exactamente esto: los equipos de seguridad no pueden proteger lo que no ven.
¿Cómo han evolucionado los ataques con deepfakes contra empleados colombianos?
Los deepfakes de voz y video generados por IA ya son suficientemente realistas como para engañar al 46% de la fuerza laboral colombiana, que reconoce poder caer en una estafa que suplante a un ejecutivo o directivo de su empresa (KnowBe4, junio 2026).
El vector de amenaza cambió de categoría. Ya no se trata solo de correos de phishing con errores ortográficos: el 84% de los empleados colombianos afirma que los contenidos de voz y video generados por deepfakes son tan realistas que se vuelve cada vez más difícil saber en qué confiar.
El problema adicional es la velocidad. Los ataques automatizados y multietapa ahora pueden dirigirse simultáneamente a empleados por correo, SMS y plataformas de colaboración como Teams o Slack, sin que ningún humano del lado atacante esté operando en tiempo real.
¿Cuántas empresas colombianas están realmente preparadas para amenazas de IA?
Solo el 8% de las organizaciones en Colombia ha alcanzado el modelo de madurez de seguridad considerado “estándar de oro”: una cultura completamente sincronizada para gestionar simultáneamente riesgos humanos y riesgos asociados a la IA (KnowBe4, junio 2026).
La brecha es significativa porque la autopercepción no coincide con la realidad. El 53% de los empleados colombianos dice sentirse muy confiado en su capacidad para reconocer amenazas impulsadas por IA. Pero ese mismo conjunto de organizaciones solo alcanza 8% de madurez real. La confianza subjetiva no es preparación objetiva.
Del lado de los líderes, la lectura es igualmente matizada: el 55% afirma sentirse totalmente preparado para amenazas emergentes de IA en los próximos 12 meses, y un 45% adicional dice estar suficientemente preparado. En papel, el 100% se siente cubierto. En práctica, el 92% no alcanza el estándar real.
¿Qué comportamientos humanos están generando más incidentes de seguridad en Colombia?
Los errores involuntarios cometidos durante actividades laborales cotidianas son el principal factor de riesgo conductual. El 50% de los líderes de ciberseguridad en Colombia los señala como el comportamiento que más ha impactado la seguridad de sus organizaciones en el último año (KnowBe4, junio 2026).
No son hackers sofisticados el mayor problema: es el empleado abrumado que hace clic en el enlace equivocado, el que comparte un documento por el canal incorrecto o el que usa una herramienta de IA no aprobada porque la oficial tardó tres días en ser habilitada. La sobrecarga cognitiva y la fricción operativa producen atajos, y los atajos producen incidentes.
ENTÉRATE: Si trabajas en el sector tech en Colombia, estos datos son especialmente relevantes en contexto del crecimiento de automatización post-IAB Day 2026, donde la adopción de IA en equipos de marketing y comunicaciones fue el tema dominante.
Preguntas frecuentes sobre ciberseguridad e IA en Colombia 2026
¿Qué es un agente autónomo de IA y por qué representa un riesgo de seguridad?
Un agente autónomo de IA es un sistema capaz de tomar decisiones y ejecutar acciones sin intervención humana directa. Representa un riesgo de seguridad porque amplía la superficie de ataque de la organización y puede ser manipulado o comprometido sin que ningún empleado lo note de inmediato.
¿Qué es la Shadow AI y cómo afecta a las empresas colombianas?
La Shadow AI es el uso de herramientas de inteligencia artificial no aprobadas por el área de tecnología o seguridad de una empresa. En Colombia, el 55% de los responsables de ciberseguridad confirma que este uso ya deterioró su postura de seguridad en los últimos 12 meses, según KnowBe4 (junio 2026).
¿Cómo pueden las empresas colombianas detectar si tienen Shadow AI?
El primer paso es realizar un inventario de las herramientas que los empleados usan realmente versus las aprobadas formalmente. Plataformas de gestión de accesos e identidad (IAM) pueden detectar conexiones a servicios externos no autorizados. La capacitación también ayuda: si los empleados entienden el riesgo, son menos propensos a evadir los controles.
¿Qué significa el “estándar de oro” de madurez en ciberseguridad según KnowBe4?
El estándar de oro es el nivel más alto de madurez en seguridad: una cultura organizacional completamente sincronizada que gestiona simultáneamente riesgos humanos y riesgos de IA. Solo el 8% de las organizaciones en Colombia lo ha alcanzado, según el informe de KnowBe4 de junio 2026.
¿Los deepfakes son ya una amenaza real para empresas colombianas?
Sí. El 84% de los empleados colombianos reconoce que los deepfakes de voz y video ya son tan realistas que es difícil distinguirlos de contenido auténtico. El 46% admite que podría ser engañado por una estafa que suplante a un ejecutivo de su empresa.
¿Vale la pena leer el informe completo de KnowBe4 para Colombia?
Si tienes algún rol en ciberseguridad, comunicaciones o gestión de tecnología en una empresa colombiana, sí. El informe presenta datos específicos para el país y contextualiza bien la brecha entre autopercepción y preparación real, que es el punto más accionable del documento.
Los datos de KnowBe4 no describen un riesgo futuro: describen lo que ya está pasando en las organizaciones colombianas mientras sus equipos de seguridad siguen midiendo amenazas con herramientas diseñadas para otro momento. ¿Tu empresa ya sabe qué herramientas de IA están usando realmente sus empleados?
