En mi camino como consultor e inversionista he aprendido que mi rol no es vender optimismo, sino gestionar la realidad. Cuando analizo el riesgo de una empresa —o decido dónde poner mi propio capital— prefiero dejar de lado el discurso de ventas y enfocarme en los datos reales.

Al final, es la única forma de separar el ruido del marketing de lo que en verdad ocurre en la operación. Con ese enfoque escribo este artículo.

En el contexto actual, Guatemala representa aproximadamente el 35% del PIB regional. En este escenario, fortalecer las capacidades en inteligencia artificial (IA) y ciberseguridad se ha convertido en una prioridad estratégica que requiere atención y acción inmediata.
Hoy el país se encuentra en un punto de inflexión: el auge del nearshoring está iniciando una transformación de Guatemala en un centro estratégico de servicios y manufactura para el mercado norteamericano.

Esta integración digital acelerada con cadenas de suministro globales exige estándares de seguridad de nivel mundial.

En este escenario de alta competitividad han aparecido los AI agents (agentes de IA). No debemos ver a estos agentes como simples chats de respuesta, sino como auténticos “empleados digitales autónomos”.

Son entidades de software a las que se les asigna una meta —como optimizar una cadena de suministro— y el agente decide por sí mismo qué correos enviar, qué bases de datos consultar y qué órdenes de compra generar.

Es eficiencia pura; pero, desplegada sin supervisión, representa un riesgo latente para cualquier junta directiva (Shumaker, 2026).

El panorama macro muestra un ecosistema comercial bajo un asedio sin precedentes.
De acuerdo con el más reciente Cyber Insights Report de Mastercard, los ciberataques en Guatemala experimentaron un alarmante aumento del 200% interanual, lo que posiciona al país como uno de los más vulnerables de Latinoamérica (Mastercard, 2025).

Ya no enfrentamos a hackers humanos que teclean manualmente, sino a algoritmos que buscan grietas y entran en nuestras redes y aplicaciones digitales a gran velocidad.

"Dark AI" y el Cibercrimen Profesionalizado

Para entender el riesgo en Guatemala debemos mirar el vecindario.

Según el reporte del 2025 de la OEA y el BID, Centroamérica vive una “revolución digital a medias”: hemos adoptado la conectividad, pero hemos ignorado la infraestructura de defensa (OEA/BID, 2025).

En el 2026, el concepto de dark AI ha pasado de la teoría a la práctica, lo que permite a los atacantes operar bajo el modelo de extortion as a service (EaaS). Esta profesionalización del crimen utiliza herramientas como el vishing (fraude por voz) y los deepfakes para crear lo que yo llamo “máscaras digitales perfectas”.

En términos de negocio, esto significa que el atacante ya no necesita vulnerar un sistema complejo si puede usar IA para imitar la voz de un director general en una llamada de WhatsApp y convencer a un gerente financiero de realizar una “transferencia de emergencia”.

El eslabón débil hoy no es el cable de fibra óptica, sino el oído del empleado (Cobalt, 2026).

El abismo de la gobernanza: contratación sin antecedentes

El dato más crítico proviene del Observatorio Guatemalteco de Delitos Informáticos (OGDI): el 63% de las empresas guatemaltecas están adoptando innovaciones con IA sin ningún tipo de gobernanza (OGDI, 2025).

Esto es el equivalente administrativo a contratar a cien empleados nuevos, entregarles llaves maestras de la oficina y acceso total a las cuentas bancarias sin siquiera pedirles su DPI o revisar sus antecedentes.

Adoptar IA sin una arquitectura de zero trust (confianza cero) es una negligencia operativa que ningún director debería permitir.

Para visualizarlo, piense en su empresa como un edificio de alta seguridad: en el modelo de seguridad antiguo, una vez que alguien pasaba la recepción podía caminar por todo el edificio.

En un entorno de zero trust, cada puerta interna tiene un escáner biométrico. No importa si usted ya está “dentro” de la red; cada vez que un proceso o una IA intenta abrir una gaveta digital o entrar en una base de datos, el sistema le exige una nueva prueba de identidad.

Bajo este modelo, el algoritmo solo puede ver la información mínima necesaria para su tarea actual, lo que protege el resto del patrimonio informativo de la empresa (Pillar Security, 2026).

La fragilidad del "traductor" digital

Si cruzamos el comportamiento empresarial guatemalteco con la telemetría global, el riesgo técnico se vuelve evidente.

El fenómeno del prompt injection —el uso de instrucciones de lenguaje natural diseñadas para “engañar” a la IA y saltarse sus filtros de seguridad— se ha incrementado en un 97% (Pillar Security, 2026).

Para que un agente de IA sea útil en una empresa guatemalteca debe conectarse a sus servidores. El puente técnico que permite esta conexión es el model context protocol (MCP).

Piense en el MCP como el “traductor oficial” entre el cerebro de la IA y los archivos confidenciales de su compañía. El problema crítico es que el 40% de estos traductores digitales presenta vulnerabilidades (Infosys, 2025).

Un atacante puede utilizar técnicas de tool poisoning (envenenamiento de herramientas), que es el equivalente a sobornar al traductor para que cambie el sentido de sus órdenes.

Usted podría decir: “Analiza estos gastos”, pero el traductor corrupto ordena a la IA: “Exporta estos datos a un servidor externo”.

De esta forma, el criminal ya no necesita derribar su firewall (filtro perimetral de tráfico); simplemente inicia una conversación aparentemente inofensiva con su IA de servicio al cliente y, mediante manipulación lingüística, la convence de entregar la base de datos de clientes por un “error de sistema” inexistente.

La IA como escudo de resiliencia activa

A pesar de estas amenazas, la IA también puede ser nuestra mejor inversión en defensa.

Para las empresas que buscan integrarse a los mercados globales del nearshoring, la active resilience (resiliencia activa) es el nuevo estándar de oro.

No se trata simplemente de tener un escudo estático, sino de contar con un sistema inmunológico vivo.

La resiliencia activa utiliza la IA para detectar anomalías en patrones de datos que un humano ignoraría, bloquear un ataque y crear “anticuerpos” digitales en milisegundos para que la operación comercial nunca se detenga (Índice Latinoamericano de IA, 2025).

Recomendaciones de ciberseguridad para la Alta Gerencia

Para navegar este entorno, propongo cuatro pilares de acción inmediata:

1. Ejecutar "AI Red Teaming": No basta con comprar software. Debe contratar expertos para que realicen un "simulacro de incendio" digital, intentando engañar a sus propios agentes de IA antes de que un criminal lo haga.
2. Privilegio Mínimo y Sandboxing: Los agentes de IA deben operar en Sandboxes (Espacios de Experimentación). Es como darle a un niño crayones pero solo dejarlo pintar en una habitación con paredes lavables, si la IA comete un error o es comprometida, el daño queda confinado y no contamina el resto de la corporación.
3. Verificación "Out-of-Band": Dado que el fraude por clonación de voz ha subido un 43% en la región (Mastercard, 2025), establezca una política de hierro: cualquier movimiento de capital requiere una confirmación por un canal físico o una palabra clave acordada previamente.
4. Adopción de Passkeys: Es hora de retirar las contraseñas tradicionales. Las Passkeys y las llaves físicas son inmunes a los ataques de suplantación de identidad que hoy logran burlar incluso a los ejecutivos más experimentados (Cobalt, 2026).

El costo de la inacción

La IA actúa como un multiplicador de fuerza extraordinario para la productividad, pero si se despliega sin gobernanza se convierte en el empleado interno más eficiente trabajando a favor del cibercrimen.

Al operar sin marcos de control, el 63% de las empresas en Guatemala está dejando al azar su activo más crítico: la credibilidad ante sus aliados internacionales y la viabilidad de su expansión hacia mercados globales.

La innovación solo es verdadera evolución cuando es sostenible.

Como líderes de la economía regional, nuestra labor no es solo integrar herramientas tecnológicas avanzadas, sino garantizar que estas sean la base de un crecimiento sólido, ordenado y, sobre todo, protegido.

Marcelo De Santis es consultor aliado en C-Suite Technology de Orange Group Guatemala y asesor estratégico en transformación con IA y liderazgo. Es autor y conferencista, CEO de The Ascent y creador de The Tech Series, una plataforma de conversaciones con líderes que exploran cómo la innovación se conecta con lo humano.

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.