IA EstratégicaAINadie diseñó la personalidad de su IA. Ese es el problema
Sus usuarios ya perciben una personalidad en su agente de IA, aunque nadie la haya diseñado. Eso no es un detalle técnico: es un problema de gobernanza con costo real.
El software que mueve la operación de su empresa probablemente no lleva el nombre de ningún proveedor. Está en el sistema operativo de sus servidores, en el motor de su base de datos, en el framework detrás de su aplicación web. Es código abierto. Y según la Linux Foundation, ese código está bajo un tipo de ataque que no existía hace tres años.
En julio de 2026, la Linux Foundation anunció Akrites: una iniciativa sectorial diseñada para defender el software libre crítico frente a amenazas potenciadas por inteligencia artificial. El nombre puede sonar técnico. Las implicaciones para cualquier empresa que dependa de infraestructura digital —es decir, prácticamente todas— son directas.
Durante décadas, el software de código abierto fue la columna vertebral silenciosa de la economía digital. Linux corre en más del 90% de los servidores del mundo. PostgreSQL, MySQL, Redis, Kubernetes: estas herramientas no aparecen en los presupuestos de TI de la mayoría de las empresas medianas, pero están presentes en casi todos sus sistemas críticos.
El modelo de seguridad de ese ecosistema siempre dependió, en parte, del escrutinio humano: miles de desarrolladores revisando código, reportando vulnerabilidades, aplicando parches. Era lento, pero funcionaba contra una amenaza también humana.
La IA cambió ese equilibrio.
Hoy, actores maliciosos —desde grupos organizados hasta operaciones de Estado— utilizan modelos de lenguaje y análisis automatizado para escanear repositorios abiertos, identificar vulnerabilidades con una velocidad y escala imposibles para un equipo humano, y generar exploits funcionales antes de que los mantenedores del proyecto siquiera detecten el problema.
Akrites responde exactamente a eso: es una infraestructura de defensa colectiva, respaldada por organizaciones que entienden que el software crítico compartido requiere protección que ninguna empresa puede proveer en solitario.
Existe una brecha de percepción frecuente entre directivos de empresas medianas en Colombia, México o Argentina: asumir que la seguridad del software es responsabilidad exclusiva del proveedor. Si usan un ERP en la nube, suponen que ese proveedor cuida todo. Si corren una aplicación web, asumen que el equipo de TI tiene el control.
Lo que pocos mapean es la cadena de dependencias debajo de ese software.
Un ERP moderno puede contener cientos de bibliotecas de código abierto. El servidor que lo hospeda corre sobre Linux. La base de datos detrás es casi con certeza un proyecto libre. Cada uno de esos componentes es una superficie de ataque potencial.
El escenario que Akrites intenta prevenir no es teórico: en 2024, un actor desconocido insertó código malicioso en XZ Utils, una herramienta de compresión presente en casi todas las distribuciones Linux del mundo. Fue detectado por accidente, a días de convertirse en una brecha de alcance masivo. Con IA acelerando ese tipo de operación, la ventana de detección se acorta considerablemente.
Antes, un ataque sofisticado a infraestructura de código abierto requería meses de trabajo manual, conocimiento profundo de un proyecto específico y acceso privilegiado a sus canales de contribución. Era costoso. Por eso era infrecuente.
Con modelos de IA entrenados en grandes volúmenes de código, ese costo se desploma.
Un sistema automatizado puede analizar en horas lo que un equipo de seguridad tardaría semanas en revisar. Puede generar variantes de malware que evaden firmas conocidas. Puede identificar qué proyectos de código abierto tienen menos mantenedores activos —y por tanto menor capacidad de respuesta— y priorizar esos vectores.
Esto no significa que su empresa será atacada mañana. Significa que el nivel de exposición sistémica aumentó, y que la velocidad con la que una vulnerabilidad desconocida puede convertirse en un incidente real es considerablemente mayor que hace dos años.
Tres preguntas que vale la pena hacerse dentro de su organización:
¿Sabe qué software de código abierto corre en su infraestructura? La mayoría de las empresas medianas no tiene un inventario completo. No porque sean descuidadas, sino porque la proliferación de herramientas de desarrollo modernas hace que las dependencias se acumulen de forma invisible. Una auditoría básica del SBOM (Software Bill of Materials) de sus sistemas críticos es el primer paso concreto.
¿Con qué frecuencia actualiza esas dependencias? El tiempo entre la publicación de una vulnerabilidad y su explotación activa se ha reducido de semanas a días en los últimos años. Las empresas que parchean en ciclos trimestrales están operando con ventanas de exposición que antes eran tolerables y hoy no lo son.
¿Quién en su equipo monitorea alertas de seguridad del stack tecnológico que usa? No es necesario tener un equipo de ciberseguridad dedicado para tener visibilidad básica. Herramientas como Dependabot o Renovate, y los feeds de CVE de los proyectos que su empresa usa, pueden automatizar parte de ese monitoreo sin grandes inversiones.
Akrites no es una herramienta que usted instale. Es una capa de protección que opera en el ecosistema: financiamiento para proyectos de código abierto críticos que actualmente no tienen recursos para mantener sus propias auditorías de seguridad, infraestructura para la detección temprana de contribuciones maliciosas, y coordinación de respuesta entre organizaciones cuando se identifican amenazas activas.
El beneficio para empresas como la suya es indirecto pero real: los proyectos que usa estarán mejor mantenidos, auditados con mayor frecuencia, y con mecanismos más robustos para detectar exactamente el tipo de ataque que la IA facilita.
Entender ese ecosistema —y exigir que los proveedores con quienes trabaja también lo hagan— no es filantropía técnica. Es gestión de riesgo operacional.
La mayoría de los líderes empresariales en LATAM no necesita entender cómo funciona técnicamente un ataque de cadena de suministro para tomar decisiones relevantes al respecto. Sí necesitan entender que su dependencia de software que alguien más mantiene —y que la IA está convirtiendo en un vector de ataque más accesible y barato— requiere políticas de actualización claras, un inventario de dependencias y monitoreo básico.
Akrites señala que incluso las organizaciones más sofisticadas del mundo reconocieron que este problema excede la capacidad individual. Para una empresa mediana, esa señal debería traducirse en una conversación con su equipo de tecnología esta semana: ¿qué corremos, quién lo actualiza, y con qué frecuencia?
Si en Xenturia podemos ayudarle a estructurar ese diagnóstico o a identificar los sistemas más expuestos dentro de su operación, es exactamente el tipo de análisis que hacemos antes de proponer cualquier otra cosa.
Agenda una consulta gratuita con nuestro equipo y descubre cómo la IA puede transformar tus operaciones.
Agenda una consulta
IA EstratégicaAISus usuarios ya perciben una personalidad en su agente de IA, aunque nadie la haya diseñado. Eso no es un detalle técnico: es un problema de gobernanza con costo real.
IA EstratégicaAIClaude alcanzó GA en Microsoft Foundry, pero las empresas europeas no pueden desplegarlo. La señal regulatoria que su organización en LATAM no debe ignorar.
IA EstratégicaAIDe LLM a guardrails: los términos de IA que su equipo ya usa (o debería). Una guía práctica para CEOs y directores que toman decisiones con IA sin hablar en código.