<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>artículo académico &#8211; Doble Llave</title>
	<atom:link href="https://doblellave.com/etiqueta/articulo-academico/feed/" rel="self" type="application/rss+xml" />
	<link>https://doblellave.com</link>
	<description>Para estar más seguros</description>
	<lastBuildDate>Mon, 30 Mar 2026 13:15:22 +0000</lastBuildDate>
	<language>es</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=7.0</generator>

<image>
	<url>https://doblellave.com/wp-content/uploads/2024/12/favicon.png</url>
	<title>artículo académico &#8211; Doble Llave</title>
	<link>https://doblellave.com</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>El impacto de la IA en la sofisticación de los ciberataques y la automatización del malware</title>
		<link>https://doblellave.com/el-impacto-de-la-inteligencia-artificial-en-la-sofisticacion-de-los-ciberataques-y-la-automatizacion-del-malware/</link>
		
		<dc:creator><![CDATA[German Febres]]></dc:creator>
		<pubDate>Sun, 29 Mar 2026 00:00:00 +0000</pubDate>
				<category><![CDATA[Destacadas]]></category>
		<category><![CDATA[Innovación]]></category>
		<category><![CDATA[Opinión experta]]></category>
		<category><![CDATA[Para aprender]]></category>
		<category><![CDATA[Alex Jesús Cabello Leiva]]></category>
		<category><![CDATA[artículo académico]]></category>
		<category><![CDATA[automatización del malware]]></category>
		<category><![CDATA[ciberseguridad]]></category>
		<category><![CDATA[Dark LLMs]]></category>
		<category><![CDATA[Deepfakes]]></category>
		<category><![CDATA[doblellave.com]]></category>
		<category><![CDATA[impacto de la IA]]></category>
		<category><![CDATA[inteligencia artificial]]></category>
		<category><![CDATA[Inyección de prompts]]></category>
		<category><![CDATA[Malware polimórfico]]></category>
		<category><![CDATA[sofisticación de los ciberataques]]></category>
		<guid isPermaLink="false">https://doblellave.com/?p=353165</guid>

					<description><![CDATA[La integración de la Inteligencia Artificial (IA) en el ciberespacio ha generado un cambio de paradigma en la seguridad de la información, actuando como un catalizador tanto para la innovación defensiva como para la ofensiva, analiza y explica Alex Jesús Cabello Leiva]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Por Mgst.&nbsp;<strong>Alex Jesús Cabello Leiva</strong>&nbsp;/ MásQueSeguridad /&nbsp;<a href="mailto:alex@masqueseguridad.info" target="_blank" rel="noreferrer noopener">alex@masqueseguridad.info</a></p>



<p class="wp-block-paragraph">Para&nbsp;<strong>DOBLE LLAVE</strong></p>



<p class="wp-block-paragraph">______________________________________________________________________________________________</p>



<p class="wp-block-paragraph"><strong>Resumen: </strong>La integración de la Inteligencia Artificial (IA) en el ciberespacio ha generado un cambio de paradigma en la seguridad de la información, actuando como un catalizador tanto para la innovación defensiva como para la ofensiva. El presente ensayo analiza cómo los actores maliciosos utilizan modelos de lenguaje a gran escala (LLM) y algoritmos generativos para democratizar el cibercrimen, permitiendo la creación de malware polimórfico y la ejecución de campañas de ingeniería social altamente persuasivas mediante <em>deepfakes</em>. Se examinan fenómenos recientes como los <em>Dark LLMs</em>, la inyección de <em>prompts</em> y el surgimiento de la IA agéntica, concluyendo que la automatización de ataques requiere una evolución urgente hacia defensas proactivas basadas en IA y marcos regulatorios robustos.</p>



<p class="wp-block-paragraph"><strong>Palabras clave:</strong> Ciberseguridad, Inteligencia Artificial, Malware polimórfico, Deepfakes, Inyección de prompts, Dark LLMs.</p>



<p class="wp-block-paragraph"><strong>Abstract:</strong> The integration of Artificial Intelligence (AI) into cyberspace has generated a paradigm shift in information security, acting as a catalyst for both defensive and offensive innovation. This essay analyzes how malicious actors use Large Language Models (LLMs) and generative algorithms to democratize cybercrime, enabling the creation of polymorphic malware and the execution of highly persuasive social engineering campaigns through deepfakes. Recent phenomena such as Dark LLMs, prompt injection, and the emergence of agentic AI are examined, concluding that the automation of attacks requires an urgent evolution towards proactive AI-based defenses and robust regulatory frameworks.</p>



<p class="wp-block-paragraph"><strong>Keywords:</strong> Cybersecurity, Artificial Intelligence, Polymorphic malware, Deepfakes, Prompt injection, Dark LLMs.</p>



<h4 class="wp-block-heading"><strong>Introducción</strong></h4>



<p class="wp-block-paragraph">La convergencia entre la tecnología digital y los procesos industriales ha creado un ecosistema donde la Inteligencia Artificial (IA) ya no es solo una herramienta de optimización, sino un vector crítico de amenaza. En los últimos años, el sector de la ciberseguridad ha presenciado una transformación radical donde la IA ha permitido a ciberdelincuentes, incluso aquellos con escasos conocimientos técnicos, lanzar ataques complejos y difíciles de detectar (Bardají, s.f.). La premisa de que la sofisticación técnica era una barrera de entrada para el cibercrimen ha quedado obsoleta ante la aparición de modelos generativos capaces de escribir código malicioso y diseñar estrategias de evasión avanzadas.</p>



<p class="wp-block-paragraph">Este ensayo explora el impacto multidimensional de la IA en la ciberseguridad, abordando desde la generación automatizada de malware polimórfico hasta la explotación de vulnerabilidades humanas y técnicas mediante ingeniería social avanzada y ataques adversarios.</p>



<h4 class="wp-block-heading"><strong>La democratización del cibercrimen y los </strong><strong><em>Dark LLMs</em></strong></h4>



<p class="wp-block-paragraph">La aparición de modelos de lenguaje modificados para eliminar restricciones de seguridad, conocidos como <em>Dark LLMs</em>, ha marcado un punto de inflexión. Herramientas comercializadas en la <em>dark web</em> bajo nombres como WormGPT o FraudGPT permiten generar contenido sin filtros, facilitando la creación de correos de <em>phishing</em> convincentes y la generación de código malicioso funcional en cuestión de minutos (Business Empresarial, 2026).</p>



<p class="wp-block-paragraph">A diferencia de herramientas comerciales como ChatGPT, que poseen barreras de seguridad, estos modelos «oscuros» y sin restricciones, eliminan la necesidad de conocimientos avanzados de programación, reduciendo costos y tiempos de ejecución para los atacantes. Sin embargo, incluso las herramientas legítimas como ChatGPT-4 han demostrado ser factores de riesgo; estudios recientes indican que esta versión es capaz de explotar vulnerabilidades de tipo <em>zero-day</em> con una precisión del 87%, superando significativamente a sus predecesores (Bardají, s.f.).</p>



<p class="wp-block-paragraph">La accesibilidad a estas tecnologías ha derivado en la automatización extrema de las ofensivas. Se han documentado casos, como el reportado por Anthropic en septiembre de 2025, donde un ciberataque global fue orquestado casi en su totalidad por una «IA agéntica». En este incidente, el sistema ejecutó entre el 80% y el 90% de las operaciones tácticas sin intervención humana sustancial, abarcando desde el reconocimiento hasta la explotación de vulnerabilidades y la creación de puertas traseras (McAfee, 2026).</p>



<h4 class="wp-block-heading"><strong>Evolución del Malware: Polimorfismo y Evasión</strong></h4>



<p class="wp-block-paragraph">Uno de los desafíos técnicos más graves es la capacidad de la IA para generar malware polimórfico. Este tipo de software malicioso modifica su estructura y apariencia cada vez que se ejecuta, reescribiendo su código y cifrado para evadir la detección de los antivirus tradicionales basados en firmas (Nachreiner, 2023).</p>



<p class="wp-block-paragraph">Investigaciones recientes han presentado pruebas de concepto como <em>BlackMamba</em>, un <em>keylogger</em> generado con asistencia de IA que utiliza Python para modificar su programa aleatoriamente, dificultando su manejo por los sistemas de seguridad convencionales. La IA permite a este malware aprender del entorno de red y reconocer patrones de verificación de seguridad para ejecutar acciones maliciosas sin levantar alertas (Nachreiner, 2023). Además, los atacantes emplean técnicas de «inyección de instrucciones» (<em>prompt injection</em>), donde disfrazan entradas maliciosas como instrucciones legítimas para manipular a los LLM y forzarlos a filtrar datos o ejecutar acciones no autorizadas, una vulnerabilidad crítica que carece de soluciones infalibles hasta la fecha (Kosinski &amp; Forrest, s.f.).</p>



<h4 class="wp-block-heading"><strong>Ingeniería Social Avanzada: </strong><strong><em>Deepfakes</em></strong><strong> y </strong><strong><em>Phishing</em></strong></h4>



<p class="wp-block-paragraph">La ingeniería social ha encontrado en la IA generativa un potenciador sin precedentes. La tecnología <em>deepfake</em> permite a los criminales clonar voces e imágenes con alta fidelidad para estafar a individuos y organizaciones. Casos documentados incluyen el uso de <em>deepfakes</em> de voz de altos ejecutivos para autorizar transferencias fraudulentas millonarias y la creación de videos manipulados de figuras públicas para promover estafas (Olney, 2025).</p>



<p class="wp-block-paragraph">El <em>phishing</em>, tradicionalmente identificable por errores gramaticales o de contexto, ha evolucionado hacia el <em>spear-phishing</em> automatizado. Herramientas como ChatGPT permiten generar textos persuasivos y personalizados a gran escala, eliminando las señales de alerta lingüísticas que anteriormente ayudaban a las víctimas a identificar el fraude (Zscaler, 2024). Asimismo, se ha detectado el uso de IA para crear ofertas de empleo falsas en plataformas profesionales como LinkedIn, dirigiendo a las víctimas a portales fraudulentos para la sustracción de credenciales (Bardají, s.f.).</p>



<h4 class="wp-block-heading"><strong>Nuevas Superficies de Ataque y Regulación</strong></h4>



<p class="wp-block-paragraph">La integración de la IA en procesos industriales y corporativos introduce nuevas superficies de ataque. Los modelos de IA pueden ser víctimas de «ataques de envenenamiento» (<em>data poisoning</em>), donde se introducen datos maliciosos durante la fase de entrenamiento para alterar el comportamiento del modelo, o «ataques de evasión» durante la fase de inferencia (Fuentes, 2025).</p>



<p class="wp-block-paragraph">Ante este panorama, la regulación se vuelve imperativa. La <em>AI Act</em> de la Unión Europea establece un marco pionero clasificando los sistemas de IA según su nivel de riesgo, prohibiendo prácticas inaceptables como la puntuación social y regulando estrictamente los sistemas de alto riesgo en infraestructuras críticas (Fuentes, 2025).</p>



<h4 class="wp-block-heading"><strong>Conclusión</strong></h4>



<p class="wp-block-paragraph">El impacto de la inteligencia artificial en la ciberseguridad es profundo y bidireccional. Si bien dota a los ciberdelincuentes de capacidades de automatización, polimorfismo y engaño sofisticado, también es indispensable para la defensa moderna. Las soluciones de seguridad tradicionales son insuficientes ante amenazas que mutan y aprenden; por tanto, la adopción de estrategias de Detección y Respuesta Extendida (XDR) y el uso de IA defensiva para la detección de anomalías se vuelven obligatorios (Vectra AI, 2026). La batalla futura en el ciberespacio será, inevitablemente, una confrontación entre algoritmos de inteligencia artificial ofensivos y defensivos.</p>



<h4 class="wp-block-heading"><strong>Referencias Bibliográficas</strong></h4>



<p class="wp-block-paragraph">Bardají, E. (2025, 3 de abril). <em>ChatGPT 4: una vía para crear malware sin conocimientos previos</em>. ESED. <a href="https://www.esedsl.com/blog/chatgpt-4-una-via-para-crear-malware" target="_blank" rel="noopener">https://www.esedsl.com/blog/chatgpt-4-una-via-para-crear-malware</a></p>



<p class="wp-block-paragraph">Business Empresarial. (2026, 1 de febrero). <em>Cibercriminales ejecutan el primer ataque global orquestado en 90% por IA y casi sin intervención humana</em>. <a href="https://www.businessempresarial.com.pe/cibercriminales-ejecutan-el-primer-ataque-global-orquestado-en-90-por-ia-y-casi-sin-intervencion-humana/" target="_blank" rel="noopener">https://www.businessempresarial.com.pe/cibercriminales-ejecutan-el-primer-ataque-global-orquestado-en-90-por-ia-y-casi-sin-intervencion-humana/</a></p>



<p class="wp-block-paragraph">Fuentes, J. P. (2025, mayo). <em>Informe Técnico: Ciberseguridad en Inteligencia Artificial aplicada al sector industrial</em>. Cátedra de Industria Inteligente, Universidad Pontificia Comillas. <a href="https://files.griddo.comillas.edu/informe-tecnico-ciberseguridad-en-ia-aplicada-al-sector-industrial-1.pdf" target="_blank" rel="noopener">https://files.griddo.comillas.edu/informe-tecnico-ciberseguridad-en-ia-aplicada-al-sector-industrial-1.pdf</a></p>



<p class="wp-block-paragraph">Kosinski, M., &amp; Forrest, A. (s.f.). <em>¿Qué es un ataque de inyección de prompts?</em>. IBM. <a href="https://www.ibm.com/es-es/think/topics/prompt-injection" target="_blank" rel="noopener">https://www.ibm.com/es-es/think/topics/prompt-injection</a></p>



<p class="wp-block-paragraph">McAfee. (2026, 8 de enero). <em>El año pasado en estafas: una retrospectiva de 2025 y un adelanto de 2026</em>. Blog de McAfee. <a href="https://www.mcafee.com/blogs/es-es/security-news/el-ano-pasado-en-estafas-una-retrospectiva-de-2025-y-un-adelanto-de-2026/" target="_blank" rel="noopener">https://www.mcafee.com/blogs/es-es/security-news/el-ano-pasado-en-estafas-una-retrospectiva-de-2025-y-un-adelanto-de-2026/</a></p>



<p class="wp-block-paragraph">Nachreiner, C. (2023, 23 de junio). <em>ChatGPT puede crear malware polimórfico, ¿y ahora qué?</em>. WatchGuard. <a href="https://www.watchguard.com/de/wgrd-news/blog/chatgpt-puede-crear-malware-polimorfico-y-ahora-que" target="_blank" rel="noopener">https://www.watchguard.com/de/wgrd-news/blog/chatgpt-puede-crear-malware-polimorfico-y-ahora-que</a></p>



<p class="wp-block-paragraph">Olney, M. (2025, 24 de marzo). <em>¿Qué es la ingeniería social con deepfakes y cómo pueden defenderse las empresas?</em>. Integrity360. <a href="https://insights.integrity360.com/es/what-is-deepfake-social-engineering-and-how-can-businesses-defend-against-it" target="_blank" rel="noopener">https://insights.integrity360.com/es/what-is-deepfake-social-engineering-and-how-can-businesses-defend-against-it</a></p>



<p class="wp-block-paragraph">Vectra AI. (2026). <em>Detección y respuesta en los puntos finales (EDR): la guía completa de seguridad</em>. <a href="https://es.vectra.ai/topics/endpoint-detection-and-response" target="_blank" rel="noopener">https://es.vectra.ai/topics/endpoint-detection-and-response</a>Zscaler. (2024). <em>Perspectivas del sector público: Informe sobre seguridad de la IA de ThreatLabz 2024</em>. <a href="https://info.zscaler.com/resources-industry-reports-threatlabz-ai-security-2024?trk=public_post_comment-text" target="_blank" rel="noopener">https://info.zscaler.com/resources-industry-reports-threatlabz-ai-security-2024?trk=public_post_comment-text</a></p>



<p class="wp-block-paragraph">Fuente de<strong> imagen referencial</strong>: Suministrada por el autor de este análisis</p>



<figure class="wp-block-image size-large"><img fetchpriority="high" decoding="async" width="1024" height="934" src="https://doblellave.com/wp-content/uploads/2026/03/Ensayo_el_impacto_de_la_inteligencia_artificial_en_la_sofisticacion_de_los_ciberataques_y_la_automatizacion_del_malware_Alex_Jesus_Cabello_Leiva-1024x934.jpg" alt="" class="wp-image-353179"/></figure>



<p class="wp-block-paragraph">Ver en <strong>PDF</strong>:</p>



<div data-wp-interactive="core/file" class="wp-block-file"><object data-wp-bind--hidden="!state.hasPdfPreview" hidden class="wp-block-file__embed" data="https://doblellave.com/wp-content/uploads/2026/03/Ensayo_el_impacto_de_la_inteligencia_artificial_en_la_sofisticacion_de_los_ciberataques_y_la_automatizacion_del_malware_Alex_Jesus_Cabello_Leiva.pdf" type="application/pdf" style="width:100%;height:600px" aria-label="Incrustado de Ensayo_el_impacto_de_la_inteligencia_artificial_en_la_sofisticacion_de_los_ciberataques_y_la_automatizacion_del_malware_Alex_Jesús_Cabello_Leiva."></object><a id="wp-block-file--media-1dc8c1b9-2935-4d29-b3aa-33a0e198fe66" href="https://doblellave.com/wp-content/uploads/2026/03/Ensayo_el_impacto_de_la_inteligencia_artificial_en_la_sofisticacion_de_los_ciberataques_y_la_automatizacion_del_malware_Alex_Jesus_Cabello_Leiva.pdf">Ensayo_el_impacto_de_la_inteligencia_artificial_en_la_sofisticacion_de_los_ciberataques_y_la_automatizacion_del_malware_Alex_Jesús_Cabello_Leiva</a><a href="https://doblellave.com/wp-content/uploads/2026/03/Ensayo_el_impacto_de_la_inteligencia_artificial_en_la_sofisticacion_de_los_ciberataques_y_la_automatizacion_del_malware_Alex_Jesus_Cabello_Leiva.pdf" class="wp-block-file__button wp-element-button" aria-describedby="wp-block-file--media-1dc8c1b9-2935-4d29-b3aa-33a0e198fe66" download>Descarga</a></div>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>La segregación de funciones y gobernanza: Análisis fenomenológico y teórico del conflicto de interés entre TI y Ciberseguridad</title>
		<link>https://doblellave.com/la-segregacion-de-funciones-y-gobernanza-analisis-fenomenologico-y-teorico-del-conflicto-de-interes-entre-ti-y-ciberseguridad/</link>
		
		<dc:creator><![CDATA[German Febres]]></dc:creator>
		<pubDate>Tue, 24 Feb 2026 12:00:00 +0000</pubDate>
				<category><![CDATA[Destacadas]]></category>
		<category><![CDATA[Innovación]]></category>
		<category><![CDATA[Opinión experta]]></category>
		<category><![CDATA[Para aprender]]></category>
		<category><![CDATA[Alex Jesús Cabello Leiva]]></category>
		<category><![CDATA[análisis fenomenológico y teórico]]></category>
		<category><![CDATA[artículo académico]]></category>
		<category><![CDATA[ciberseguridad]]></category>
		<category><![CDATA[CISO]]></category>
		<category><![CDATA[Conflicto de interés]]></category>
		<category><![CDATA[conflicto de interés entre TI y Ciberseguridad]]></category>
		<category><![CDATA[doblellave.com]]></category>
		<category><![CDATA[Gerencia]]></category>
		<category><![CDATA[gerencia de Tecnologías de la Información]]></category>
		<category><![CDATA[Gobernanza de TI]]></category>
		<category><![CDATA[La segregación de funciones y gobernanza: Análisis fenomenológico y teórico del conflicto de interés entre TI y Ciberseguridad]]></category>
		<category><![CDATA[Seguridad de la Información]]></category>
		<category><![CDATA[Tecnologías de la Información]]></category>
		<category><![CDATA[Teoría de la Agencia]]></category>
		<guid isPermaLink="false">https://doblellave.com/?p=351196</guid>

					<description><![CDATA[El presente artículo, escrito por Alex Jesús Cabello Leiva, analiza la estructura organizacional óptima para la gestión de riesgos tecnológicos, abordando la problemática inherente a la subordinación de la ciberseguridad ante la gerencia de Tecnologías de la Información (TI)]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Por Mgst. <strong>Alex Jesús Cabello Leiva</strong> / MásQueSeguridad / <a href="mailto:alex@masqueseguridad.info" target="_blank" rel="noreferrer noopener">alex@masqueseguridad.info</a></p>



<p class="wp-block-paragraph">Para <strong>DOBLE LLAVE</strong></p>



<p class="wp-block-paragraph">______________________________________________________________________________________________</p>



<p class="wp-block-paragraph"></p>



<p class="wp-block-paragraph"><strong>Resumen:</strong> El presente artículo analiza la estructura organizacional óptima para la gestión de riesgos tecnológicos, abordando la problemática inherente a la subordinación de la ciberseguridad ante la gerencia de Tecnologías de la Información (TI). Se examina la naturaleza fenomenológica de ambos roles, contrastando la filosofía de disponibilidad operativa frente a la de control y resiliencia. A través de la revisión de literatura reciente, estándares internacionales&nbsp; y la aplicación de la Teoría de la Agencia, se argumenta que la fusión de estas gerencias genera un conflicto de interés estructural que compromete la transparencia del riesgo hacia la alta dirección. Se concluye que la independencia del Oficial de Seguridad de la Información (CISO) es un requisito indispensable para garantizar una auditoría objetiva y una gobernanza corporativa eficaz.</p>



<p class="wp-block-paragraph"><strong>Palabras clave:</strong> Ciberseguridad, Seguridad de la Información, Tecnologías de la Información, Gerencia, Conflicto de interés, Gobernanza de TI, CISO, Teoría de la Agencia.</p>



<p class="wp-block-paragraph"><strong>Abstract:</strong> This article analyzes the optimal organizational structure for technological risk management, addressing the inherent problems of subordinating cybersecurity to Information Technology (IT) management. It examines the phenomenological nature of both roles, contrasting the philosophy of operational availability against that of control and resilience. Through the review of recent literature, international standards, and the application of Agency Theory, it is argued that the merging of these departments generates a structural conflict of interest that compromises risk transparency toward senior management. It concludes that the independence of the Chief Information Security Officer (CISO) is an indispensable requirement to guarantee objective auditing and effective corporate governance.</p>



<p class="wp-block-paragraph"><strong>Keywords:</strong> Cybersecurity, Information Security, Information Technology (IT), Management, Conflict of interest, IT Governance, CISO, Agency Theory.</p>



<h4 class="wp-block-heading">Introducción</h4>



<p class="wp-block-paragraph">En el ecosistema empresarial contemporáneo, la arquitectura organizacional no es un mero formalismo administrativo, sino un determinante crítico de la capacidad de una entidad para gestionar riesgos. Históricamente, la seguridad de la información ha sido relegada a una función operativa dentro de los departamentos de tecnología. Sin embargo, la sofisticación de las amenazas actuales exige una reevaluación de este modelo.</p>



<p class="wp-block-paragraph">Este ensayo postula que mantener a la gerencia de Ciberseguridad bajo la tutela de la gerencia de Tecnología (TI) constituye un error estratégico grave. Se explorarán las bases teóricas que demuestran por qué esta estructura fomenta un conflicto de interés insalvable, impidiendo la objetividad necesaria para la protección de los activos críticos de la organización.</p>



<h4 class="wp-block-heading">Fundamentos Fenomenológicos del Conflicto</h4>



<p class="wp-block-paragraph">Para comprender la necesidad de la separación de roles, es imperativo disectar la naturaleza intrínseca de las funciones en disputa. La discusión sobre la ubicación jerárquica de la seguridad no debe reducirse a un debate sobre el organigrama; se trata de una «confrontación fundamental entre dos filosofías operativas divergentes: la disponibilidad frente al control, y la velocidad frente a la resiliencia».</p>



<p class="wp-block-paragraph">Mientras que el mandato principal de TI es asegurar la funcionalidad, el rendimiento y la entrega rápida de servicios (uptime), el mandato de la Ciberseguridad es asegurar la disponibilidad, integridad, confidencialidad y auditabilidad, lo que frecuentemente requiere imponer pausas, controles y restricciones a esa misma velocidad operativa. Cuando una sola autoridad debe decidir entre liberar un sistema rápidamente (objetivo de TI) o retrasarlo para corregir vulnerabilidades (objetivo de Seguridad), y dicha autoridad es evaluada por su velocidad de entrega, el conflicto es inevitable y la seguridad suele ser sacrificada.</p>



<h4 class="wp-block-heading">La Teoría de la Agencia y la Transparencia del Riesgo</h4>



<p class="wp-block-paragraph">Desde una perspectiva académica, la problemática se explica a través de la Teoría de la Agencia. En este contexto, Sánchez (2019) argumenta que la claridad en la atribución de responsabilidades es fundamental para evitar ambigüedades en la gestión. Si el CISO reporta al CIO, existe un incentivo perverso para ocultar hallazgos de seguridad que podrían interpretarse como fallas en la gestión de TI.</p>



<p class="wp-block-paragraph">Literatura reciente sugiere que la «transparencia de riesgo» mejora radicalmente solo cuando existe una separación funcional efectiva. Como afirman Codina (2022) al discutir la estructura de la investigación científica, la transparencia impone un estándar de calidad; de manera similar, en la gobernanza corporativa, la independencia del CISO garantiza que la auditoría interna no se debilite y que el departamento de TI no actúe como juez y parte.</p>



<h4 class="wp-block-heading">Marcos Normativos y Estándares de Auditoría</h4>



<p class="wp-block-paragraph">La separación de funciones es una exigencia de estándares internacionales. Al respecto, el Centro Criptológico Nacional (s.f.) establece en sus guías que las responsabilidades de seguridad deben estar claramente diferenciadas de las responsabilidades de explotación de sistemas.</p>



<p class="wp-block-paragraph">Al igual que en la auditoría financiera, donde quien lleva la contabilidad no puede auditarse a sí mismo, en el ámbito tecnológico es inadmisible que quien configura los servidores sea el responsable final de certificar su seguridad (Auditoría General de la Ciudad de Buenos Aires, s.f.).</p>



<h4 class="wp-block-heading">Marcos Normativos y Estándares de Auditoría</h4>



<p class="wp-block-paragraph">La separación de funciones no es solo una recomendación teórica, sino una exigencia de estándares internacionales de auditoría y control. Marcos como COBIT (ISACA, 2019) y las normas ISO 27001 (ISO/IEC, 2022) enfatizan la necesidad de segregar las tareas de ejecución de las de control para prevenir fraudes y errores.</p>



<p class="wp-block-paragraph">La separación de funciones es una exigencia de estándares internacionales. Al respecto, el Centro Criptológico Nacional (s.f.) establece en sus guías que las responsabilidades de seguridad deben estar claramente diferenciadas de las responsabilidades de explotación de sistemas.</p>



<p class="wp-block-paragraph">Al igual que en la auditoría financiera, donde quien lleva la contabilidad no puede auditarse a sí mismo, en el ámbito tecnológico es inadmisible que quien configura los servidores sea el responsable final de certificar su seguridad (Auditoría General de la Ciudad de Buenos Aires, s.f.).</p>



<p class="wp-block-paragraph">La ausencia de esta segregación impide una evaluación objetiva de la postura de seguridad y contraviene los principios básicos de control interno citados por organismos de control y auditoría de sistemas.</p>



<h4 class="wp-block-heading">Conclusión</h4>



<p class="wp-block-paragraph">La ciberseguridad ha trascendido su rol técnico para convertirse en un pilar de la estrategia de negocio. La evidencia teórica y fenomenológica indica que los objetivos de TI y Seguridad, aunque complementarios en su finalidad última de servir al negocio, son operativos divergentes en su ejecución diaria.</p>



<p class="wp-block-paragraph">Mantener estas funciones unidas bajo una misma línea de mando genera un conflicto de interés estructural que opaca la visibilidad real del riesgo para la alta dirección. Por tanto, es imperativo que las organizaciones modernas emancipen la gobernanza de la ciberseguridad, otorgando al CISO una línea de reporte independiente que garantice la imparcialidad, la transparencia y la resiliencia organizacional ante un panorama de amenazas en constante evolución.</p>



<p class="wp-block-paragraph">(<strong>¡Sigue nuestras noticias en Google!</strong> <em>Para obtener información actual, interesante y precisa.</em> Haz <a href="https://www.google.com/search?q=site:doblellave.com&amp;tbm=nws&amp;tbs=sbd:1" target="_blank" rel="noreferrer noopener"><strong>clic aquí</strong></a> y conoce todos los contenidos de <strong>DOBLE LLAVE</strong>. Encuéntranos también en <a href="https://twitter.com/doblellave" target="_blank" rel="noreferrer noopener"><em><strong>X/Twitter</strong></em></a> e <a href="https://www.instagram.com/doblellave/?hl=es" target="_blank" rel="noreferrer noopener"><em><strong>Instagram</strong></em></a>)</p>



<h4 class="wp-block-heading">Referencias</h4>



<p class="wp-block-paragraph">Auditoría General de la Ciudad de Buenos Aires. (s.f.). <em>Normas básicas de auditoría de sistemas</em>. <a href="https://www.agcba.gov.ar" target="_blank" rel="noreferrer noopener">https://www.agcba.gov.ar</a></p>



<p class="wp-block-paragraph">Codina, L. (2022). El modelo IMRyD de artículos científicos: ¿qué es y cómo se puede aplicar en humanidades y ciencias sociales?. <em>Hipertext.net</em>, (24), 1-8. <a href="https://doi.org/10.31009/hipertext.net.2022.i24.01" target="_blank" rel="noreferrer noopener">https://doi.org/10.31009/hipertext.net.2022.i24.01</a></p>



<p class="wp-block-paragraph">Sánchez, C. (08 de febrero de 2019). <em>Normas APA – 7ma (séptima) edición</em>. Normas APA (7ma edición). <a href="https://normas-apa.org/" target="_blank" rel="noreferrer noopener">https://normas-apa.org/</a></p>



<p class="wp-block-paragraph">ISACA. (2019). <em>COBIT 2019 (Control Objectives for Information and Related Technologies)</em>. <a href="http://www.isaca.org" target="_blank" rel="noreferrer noopener">http://www.isaca.org</a></p>



<p class="wp-block-paragraph">Organización Internacional de Normalización. (2022). <em>Tecnología de la información. Técnicas de seguridad &#8211; Sistema de gestión de la seguridad de la información &#8211; Requisitos</em> (Norma ISO/IEC 27001:2022).Universidad Nacional de Educación Enrique Guzmán y Valle. (2026). <em>Guía para aplicar el Manual APA, Sétima Edición</em>. Vicerrectorado de Investigación.</p>



<p class="wp-block-paragraph">Fuente de<strong> imagen referencial</strong>: Suministrada por el autor del artículo</p>



<figure class="wp-block-image size-full"><img decoding="async" width="1023" height="865" src="https://doblellave.com/wp-content/uploads/2026/02/Imagen-referencial-Articulo-de-Alex-Cabello-Leiva-1.jpg" alt="" class="wp-image-351204"/></figure>



<p class="wp-block-paragraph">Ver en <strong>PDF</strong>:</p>



<div data-wp-interactive="core/file" class="wp-block-file"><object data-wp-bind--hidden="!state.hasPdfPreview" hidden class="wp-block-file__embed" data="https://doblellave.com/wp-content/uploads/2026/02/LA_SEGREGACION_DE_FUNCIONES_Y_GOBERNANZA_ANALISIS_FENOMENOLOGICO_Y_TEORICO_DEL_CONFLICTO_DE_INTERES_ENTRE_TI_Y_CIBERSEGURIDAD_Alex_Cabello_Leiva.pdf" type="application/pdf" style="width:100%;height:600px" aria-label="Incrustado de LA_SEGREGACIÓN_DE_FUNCIONES_Y_GOBERNANZA_ANÁLISIS_FENOMENOLÓGICO_Y_TEÓRICO_DEL_CONFLICTO_DE_INTERÉS_ENTRE_TI_Y_CIBERSEGURIDAD_Alex_Cabello_Leiva."></object><a id="wp-block-file--media-f2ae9a1e-b1e2-40dc-9f0b-1f7057075e2c" href="https://doblellave.com/wp-content/uploads/2026/02/LA_SEGREGACION_DE_FUNCIONES_Y_GOBERNANZA_ANALISIS_FENOMENOLOGICO_Y_TEORICO_DEL_CONFLICTO_DE_INTERES_ENTRE_TI_Y_CIBERSEGURIDAD_Alex_Cabello_Leiva.pdf">LA_SEGREGACIÓN_DE_FUNCIONES_Y_GOBERNANZA_ANÁLISIS_FENOMENOLÓGICO_Y_TEÓRICO_DEL_CONFLICTO_DE_INTERÉS_ENTRE_TI_Y_CIBERSEGURIDAD_Alex_Cabello_Leiva</a><a href="https://doblellave.com/wp-content/uploads/2026/02/LA_SEGREGACION_DE_FUNCIONES_Y_GOBERNANZA_ANALISIS_FENOMENOLOGICO_Y_TEORICO_DEL_CONFLICTO_DE_INTERES_ENTRE_TI_Y_CIBERSEGURIDAD_Alex_Cabello_Leiva.pdf" class="wp-block-file__button wp-element-button" aria-describedby="wp-block-file--media-f2ae9a1e-b1e2-40dc-9f0b-1f7057075e2c" download>Descargar</a></div>



<p class="wp-block-paragraph"></p>



<p class="wp-block-paragraph">_</p>



<p class="wp-block-paragraph"></p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
