El 99,9% de las vulnerabilidades de IA con solución disponible sigue sin parchearse
- Seguridad
La adopción de agentes y servicios de IA en producción avanza más rápido que la capacidad de las empresas para asegurar estos entornos. El 81% de las organizaciones ejecuta paquetes de IA vulnerables y hasta el 98% de las cargas carece de cifrado gestionado por el cliente.
Orca Security ha publicado su 2026 State of AI Security Report, un análisis basado en más de 1.200 entornos cloud en producción que muestra cómo la inteligencia artificial ha pasado de ser un experimento aislado a convertirse en infraestructura crítica para las organizaciones. Según el informe, el 56% de las empresas ya ha desplegado agentes de IA en producción y el 51% utiliza IA para construir aplicaciones personalizadas. Sin embargo, el 81% de las organizaciones ejecuta paquetes de IA con vulnerabilidades conocidas y el 99,9% de las vulnerabilidades de IA que tienen solución disponible permanece sin parchear.
La IA entra en producción sin controles
El estudio revela que los entornos de IA son cada vez más interconectados y críticos para el negocio. Entre las organizaciones que han adoptado IA, el 64% ejecuta bases de datos vectoriales y el 55% opera cuatro o más servicios de IA simultáneamente, mientras que entre el 87% y el 98% de las cargas de IA en los tres grandes proveedores cloud carecen de cifrado gestionado por el cliente. Esto significa que las empresas ya no están asegurando herramientas aisladas, sino ecosistemas completos conectados a datos corporativos, identidades, servicios cloud y flujos de trabajo en producción.
El informe también muestra que la superficie de ataque se ha ampliado de forma drástica. El 50% de las vulnerabilidades en paquetes de IA ya cuenta con exploits públicos, un aumento de 250 veces respecto a 2024. Nir Mashal, CISO de Orca, advierte que la IA ha introducido “una nueva capa operativa” en los entornos cloud, con agentes que toman decisiones, bases vectoriales conectadas a datos corporativos y servicios distribuidos entre múltiples proveedores.
A pesar de las brechas, el informe identifica progresos cuando las organizaciones tratan la IA como infraestructura de producción. En Amazon SageMaker, los entornos con acceso root han bajado del 98% al 76%, y las configuraciones inseguras de IMDSv2 han descendido del 77% al 48%.
Orca señala que aplicar disciplina operativa —gestión de vulnerabilidades, protección de credenciales, acceso de mínimo privilegio, cifrado y monitorización específica de IA— produce mejoras medibles. La urgencia aumenta con la entrada en vigor de nuevas normativas, como las obligaciones de alto riesgo del EU AI Act el 2 de agosto de 2026.