2026

Estado de la IA en Seguridad y Desarrollo

Nuestro nuevo informe recoge las voces de 450 líderes de seguridad (CISOs o equivalentes), desarrolladores e ingenieros de AppSec en toda Europa y EE. UU. Juntos, revelan cómo la IA en ciberseguridad y desarrollo de software ya está causando problemas, cómo la proliferación de herramientas está empeorando la seguridad y cómo la experiencia del desarrollador está directamente ligada a las tasas de incidentes. Aquí es donde la velocidad y la seguridad chocan en 2026.

Hallazgos clave

Obra de arte digital abstracta en colores rojo, azul y blanco con una superposición de cuadrículas y efectos degradados.

Adopción de IA

1 de cada 5 sufrió un incidente grave vinculado a código de IA

Gráfico semicircular que muestra las respuestas a las vulnerabilidades de seguridad del código generado por IA: 49 % problema menor, 20 % incidente grave, 20 % no se tiene constancia, 11 % no.

“Mientras las organizaciones luchan por aprovechar los beneficios de la IA, a menudo hay una batalla oculta asociada en curso, y es la de mantener su organización a salvo de un aumento del riesgo cibernético que presenta la IA. El papel del CISO es asegurar que la postura de seguridad escale tan rápido como lo hace la tecnología.”

Mujer sonriente con cabello largo castaño, pendientes de perlas y una blusa verde oliva.

Christelle Heikkilä

Ex CIO/CISO, Arsenal FC

El 53% culpa al equipo de seguridad por incidentes relacionados con código de IA

P. Si una vulnerabilidad introducida por código GenAI causara posteriormente un incidente de seguridad, ¿quién sería el responsable final en su organización? Seleccione todas las opciones que correspondan

“Claramente hay una falta de claridad entre los encuestados sobre dónde debería recaer la responsabilidad de una buena gestión de riesgos”

Hombre con cabello largo y ondulado de color gris, gafas rectangulares negras y camisa blanca con cuello, sobre un fondo liso.

Andy Boura

CISO, Rothesay

Ilustración digital abstracta de formas texturizadas en azul oscuro y morado superpuestas con una cuadrícula blanca translúcida.

Experiencia del desarrollador

15%
del tiempo de ingeniería se pierde en triar alertas

Eso son 20 millones de dólares al año para una organización de 1000 desarrolladores

Dinero malgastado en falsos positivos

Resto de $ desperdiciado en triage

Coste anual estimado del tiempo de los desarrolladores dedicado al triaje

Gráfico de barras que compara los costes de 50 desarrolladores (280 000 $), 250 desarrolladores (1,4 millones de dólares) y 1000 desarrolladores (5,6 millones de dólares) con las etiquetas 1 millón, 5 millones y 20 millones de dólares.

$720k

$3.6m

$14.4m

2/3 de los encuestados eluden la seguridad, descartan los hallazgos o retrasan las correcciones

44%

37%

35%

34%

32%

22%

P: ¿Cómo ha afectado el manejo de falsos positivos de las herramientas de seguridad a sus prácticas de desarrollo? Seleccione todas las opciones que correspondan.

“Cuando las herramientas de seguridad abruman a los desarrolladores con ruido, estos recurren a soluciones alternativas arriesgadas. Nuestro objetivo es restaurar el equilibrio eliminando los falsos positivos, reforzando las barreras de seguridad y mejorando la experiencia del desarrollador, para que los equipos puedan centrarse en lo que realmente importa.”

Hombre con pelo corto negro, barba y gafas, vestido con una camisa negra, de pie en un interior con los brazos cruzados.

Darshit Pandya

Ingeniero Principal Senior - Plataforma, Serko

Las herramientas diseñadas tanto para equipos de desarrollo como de seguridad registraron muchos menos incidentes

Los equipos que utilizan herramientas diseñadas tanto para desarrolladores como para equipos de seguridad tienen más del doble de probabilidades de reportar cero incidentes en comparación con aquellos que usan herramientas creadas para un solo grupo.

Gráfico de líneas que muestra los porcentajes que no reportan incidentes: 21 % para herramientas de seguridad, 23 % para herramientas para desarrolladores y 55 % para herramientas para ambos.

“Proporcionar a los desarrolladores la herramienta de seguridad adecuada que funciona con las herramientas y flujos de trabajo existentes, permite a los equipos implementar las mejores prácticas de seguridad y mejorar su postura.”

Joven con barba recortada y pelo corto, vestido con una camisa azul marino en interiores con iluminación ambiental.

Walid Mahmoud

Líder de DevSecOps, Oficina del Gabinete del Reino Unido

Fondo digital abstracto con una cuadrícula superpuesta y patrones texturizados rojos brillantes sobre un degradado morado.

Realidad de la seguridad

Es un tanto irónico que la industria hable tanto de reemplazar a las personas con IA, pero en seguridad, nos preocupa mucho más no disponer de suficiente personal de seguridad.

Igor Andriushchenko,

CISO, Lovable

Gráfico de barras que muestra las repercusiones si un ingeniero de seguridad de alto nivel abandona la empresa: 40 % de retrasos en la respuesta a incidentes, 40 % de ralentización en el desarrollo de productos, 37 % de averías en herramientas clave, 35 % de retrasos en las correcciones, 34 % de riesgo de incumplimiento normativo, 28 % de probabilidad de ataques graves, 12 % de ausencia de repercusiones.

Los equipos que utilizan herramientas de AppSec y CloudSec separadas tienen un 50% más de probabilidades de enfrentar incidentes.

Gráfico de barras que compara los porcentajes de incidentes: el 31 % de los incidentes utilizan herramientas independientes, mientras que el 20 % utilizan herramientas combinadas AppSec CloudSec.

"Está claro que necesitamos combinar nuestros programas de AppSec y seguridad en la nube en un único equipo de seguridad de producto. Para las empresas donde la infraestructura se define como código, la seguridad en la nube es fundamentalmente seguridad del código, y esto impulsa mejores resultados."

James Berthoty

Fundador, Latio Tech

El futuro de la IA

El 96% cree que la IA escribirá código seguro y fiable

En un plazo de 1 a 2 años

20%

3-5 años

44%

24%

6-10 años

+10 años

nunca

Pero solo el 21% cree que será sin supervisión humana

9 de cada 10 organizaciones esperan que la IA asuma las pruebas de penetración, con un plazo medio de 5,5 años.

9/10 organizaciones

Si trabajas en seguridad de software, necesitas leer esto.