domingo, 1 de marzo de 2026

Art 8 /26. Ciberseguridad en tiempos de IA. El castillo de las mil puertas y algunas de ellas sin cerradura.

En el artículo anterior tratábamos la salud mental como algo que hacía inteligentes a las empresas. En este vamos a hacer un cambio de tercio (si me permitís el símil taurino) pero sin abandonar la criticidad y siempre con el ser humano como factor clave.

Hoy os hablaré de algo que sabemos que pasa, pero que solo llena titulares cuando sucede un incidente y no bueno precisamente. Si amigos y amigas de este espacio compartido; hoy os hablare de la ciberseguridad. Porque esto es así; en las compañías pasa como con el ABS o los airbags en los coches: nadie los aplaude cuando funcionan, pero cuando fallan piensas en esa revisión o reparación que te saltaste o en ese piloto encendido al que no le diste importancia.

Porque en estos tiempos, el “enemigo” ya no entra con pasamontañas (bueno, no tan frecuentemente) : entra con tu contraseña reciclada, una API mal protegida, un proveedor despistado, o un agente de IA con demasiados permisos. Y de todo eso trataremos hoy. Espero que os sea útil o, al menos, despierte conciencias.

1) La gran empresa: ese castillo enorme con miles de puertas (y algunas sin cerradura)

En las compañías, sean grandes o medianas, el problema no es “tener un muro muy alto”. En todas ellas el punto de acceso lo encontramos en que hay:

Miles de identidades repartidas (empleados, terceros, partners, bots, etc... y todos con accesos con más o menos privilegios).
Nubes, SaaS, APIs, móviles, teletrabajo y IPs con accesos de dudosa seguridad.
Proveedores conectados a la empresa y cada uno con sus “cosas”.
Cosas viejas, pero “críticas” -según para quien- que nadie se atreve a tocar y ahí siguen.
Y departamentos que trabajan a ritmos distintos. Porque sí, aquí también encontramos silos.

Porque voy a comenzar por algo evidente pero que igual a algunos/as les parece un descubrimiento: el atacante no “hackea” tu empresa; hackea tu acceso. De hecho, en ataques a aplicaciones web, una de las empresas de referencia; Verizon, reporta que una parte enorme de las brechas dentro de ese patrón incluye el uso de credenciales robadas.
Y si hablamos de ransomware, también hay señales claras de que las credenciales expuestas/robadas están muy presentes en la cadena de ataque que no es que lo diga yo, sino que lo podéis leer en SpyCloud.

Algunos casos donde los “malos” encontraron una puerta son bien conocidos; Telefónica, Hospital Clinic de Barcelona, Santander, Iberia, SEPE… y paro aquí que tengo limitación de espacio.

En un primer resumen; el cibercrimen es cada vez menos “Misión Imposible” y más “si me dejas las llaves siempre debajo de la maceta me estás invitando a ver lo que hay en tu casa”.

2) Acceder desde fuera: tu “puerta principal” no puede ser solo una contraseña

Si se puede acceder a la empresa desde fuera (sea con VPN, apps internas, correo, RRHH, LMS… o lo que sea), tener solo la contraseña sin más es como cerrar con una cuerda y nudo facilón. Lo mínimo hoy es:

MFA sí o sí (doble factor) para cualquier acceso externo y para cuentas con privilegios.
Porque si te roban la contraseña, el segundo factor es el “no tan rápido, campeón”.
Mejor aún si el MFA es anti-phishing de verdad, tipo llave física o sistemas FIDO2/WebAuthn.
Porque el phishing ya no es un mail cutre: ahora parece escrito por tu jefe o el colega de toda confianza… y encima existe el “MFA fatigue”: te bombardean de avisos hasta que, por cansancio, alguien le da a “Aceptar”.

Y esto no es una opinión: NIST (los que saben y son referencia en seguridad) lo recomienda en sus guías de identidad digital: autenticación más robusta y resistente a engaños tipo “hombre en el medio” (MitM).
La referencia exacta os la dejo en la bibliografía al final del artículo.

Tambien os quiero hablar de la cero confianza práctica (Zero Trust, pero de verdad)

La cero confianza no es ningún producto. Es una idea simple:

No confíes por defecto en redes “internas”.
Verifica identidad, dispositivo y contexto (ubicación, riesgo, postura del endpoint).
Da mínimos permisos y revisalos continuamente.

3) “Que no entren por las cabeceras, IPs o cualquier sitio” dicen los técnicos. Vamos a ponerlo en castellano entendible

Aquí hablamos de perímetro moderno y sobre todo de aplicaciones y APIs, porque la guerra ya no va solo de que pongo un firewall y todos felices.

A) Cabeceras / tráfico web / reverse proxies

Medidas clave:

WAF (Web Application Firewall) bien afinado y testeado.
Protecciones anti-bots y rate limiting.
Validación estricta de inputs (y salida), y políticas de seguridad web (CSP, HSTS, etc.).
TLS fuerte en todo (cifrado en tránsito).

B) Bloquear acceso solo por IPs: útil, pero no es una solución definitiva. Imagina que solo hay un camino para llegar al castillo, pero otro coge tu coche. Problema al canto.

Filtrar por IP ayuda claro, pero, ojo, como lo que os comentaba del coche, no te resuelve todos los problemas:

Hay VPNs, proxies, móviles, redes dinámicas.
Un atacante puede entrar desde una IP “buena” si entra en una sesión o te roba las credenciales (ese es el coche, por si hay algún/a despistado/a).

Lo recomendable es usar la IP como señal, no como candado.

C) APIs: la puerta trasera que se ha convertido en una de las vulnerabilidades favoritas.

Hoy casi todo se conecta con APIs (que son como “pasillos” por donde las aplicaciones se hablan entre sí). El problema es que muchas empresas los tienen mal vigilados… y por ahí se cuela medio mundo.

OWASP (gente muy seria en seguridad) dice que lo que suele ocurrir para que ese agujero acabe en drama es:

Permisos mal puestos (te dejan ver cosas que no son tuyas),
Autenticación floja (o lo que es lo mismo; fácil de suplantar),
Demasiados datos devueltos (te enseñan más de la cuenta).

Os pongo un ejemplo típico (y peligroso) pero sencillo:
Imagina que existe una ruta tipo: /api/users/12345 y el sistema te devuelve datos de ese usuario sin comprobar que tú eres ese usuario (o que tienes permiso), un atacante solo tiene que cambiar el número:

/api/users/12346
/api/users/12347

Y empieza a cotillear (o robar) datos como quien va pasando páginas.

Es decir, si tu API “confía” en lo que le piden sin comprobar nada más, tu API es como si un camarero te entrega una cartera que se ha encontrado simplemente porque le has guiñado un ojo y ya da por hecho que eres su dueño.

4) Lo que más tumba empresas no es el “virus” o el “malware”: es el “mañana lo arreglamos”

Muchas brechas de seguridad no pasan porque el malware lo haya hecho un genio… pasan porque en la empresa pasan cosas de este estilo:

“Esto está mal configurado, pero funciona… no lo toques”
“Ese servidor lleva años sin actualizar, ya si eso lo miramos”
“Ese acceso era temporal… bueno, lo dejamos así”

ENISA (la agencia europea de ciberseguridad) lleva tiempo avisando de lo mismo: lo que más está pegando hoy es el ransomware, los ataques a través de proveedores, y que cada vez tenemos más sistemas conectados (más puertas, más ventanas y más rendijas). Lo podéis revisar en enisa.europa.eu.

Y aquí viene el golpe bajo: la cadena de suministro (proveedores) es el ninja silencioso. Si un proveedor pequeño tiene menos defensas y le entran… pueden usarlo como pasarela para llegar a ti. Por eso este tema está cada vez más en el foco de informes y prensa económica como un reciente artículo en el Financial Times.

Así que vamos a definir una regla dura pero realista. Tu seguridad es tan fuerte como:

tu proveedor más flojo, y
tu configuración más olvidada.

Así que sí, puedes tener un castillo precioso… pero si te dejas una puerta del garaje medio abierta, te la van a encontrar. Dalo por hecho.

5) Departamentos a los que les afecta todo esto. Que ya lo saben, pero repasémoslos.

IT / Infra / Cloud: configuración, parches, redes, identidades, logging.
Ciberseguridad (obvio): prevención, detección, respuesta, gobierno.
RRHH: altas/bajas, accesos, phishing (y el “usuario nuevo” es un target muy jugoso).
Legal & Compliance: NIS2, protección de datos, evidencias, contratos con proveedores.
Compras / Vendor Management: due diligence de terceros, SLAs de seguridad, auditorías.
Finanzas: fraude (BEC), pagos, suplantaciones.
Formación / L&D: cultura, simulaciones, hábitos, onboarding seguro (sí, ese usuario nuevo que hemos dicho antes).
Dirección: priorización y presupuesto (sin el apoyo de arriba, todo se vuelve imposible).

6) IA y agentes: el nuevo becario que trabaja a la velocidad de la luz… y puede liarla igual de rápido.

Este es uno de mis temas favoritos. Y aquí, la IA viene con, al menos, dos cambios de nivel:

- Amenazas potenciadas por IA

Phishing más creíble y personalizado. Su perfección es nuestra ruina.
Automatización de reconocimiento y ataques.
Deepfakes de voz/video para fraude. Esto ya lo veis en otros ámbitos.

- Riesgos nuevos por “agentes” (IA con herramientas)

Un agente conectado a sistemas (correo, drive, tickets, ERP, LMS) puede:

Ejecutar acciones no deseadas por prompt injection (“haz esto aunque no debas”).
Filtrar datos si no hay control de permisos/registro.
Convertirse en un “superusuario accidental” si le das llaves maestras.

Así que visto lo anterior os comparto una regla de oro: un agente de IA es un software con esteroides. Dale permisos como si fuera un humano… pero con auditoría extra y correa corta.

7) Checklist para que esto no sea solo un artículo bonito sino práctico

Os paso una lista de cosas a tener en cuenta que resume lo anterior y lo pone en orden:

A) Identidad y acceso (la madre del cordero)

MFA obligatorio en todo acceso externo y privilegiado.
Preferir MFA resistente a phishing (p. ej., FIDO2/WebAuthn) cuando sea posible.
SSO centralizado + políticas condicionales (riesgo, dispositivo, geolocalización).
“Least privilege”: permisos mínimos y temporales (PAM para admins o sea dar permisos solo cuando hace falta y con control).
Proceso rápido y auditable de altas/bajas (joiner/mover/leaver).

B) Endpoint y dispositivo

Equipos gestionados (MDM/EDR), cifrado de disco, parcheo automatizado.
Bloqueo de acceso a datos críticos desde dispositivos no gestionados.
Navegador y correo endurecidos (protección contra phishing y adjuntos maliciosos).

C) Red, perímetro y aplicaciones

WAF + rate limiting + anti-bots en frontales.
Segmentación (no todo en la misma “red feliz”).
DLP donde toque (datos sensibles).
SDLC seguro: revisión de código, SAST/DAST, gestión de dependencias.

D) APIs (donde se escurre medio mundo)

Autorización por objeto (BOLA acrónimo inglés de Broken Object Level Authorization ) revisada sistemáticamente.
API Gateway con autenticación fuerte, quotas y logging.
Inventario real de APIs (las “shadow APIs” existen).
Minimización de datos: devolver solo lo necesario.

E) Proveedores y cadena de suministro

Due diligence de seguridad y cláusulas contractuales (incidentes, auditorías, subprocesadores).
Evaluación periódica y SLA’s exigentes (no solo al firmar sino durante toda la vida del contrato).
Accesos de terceros: mínimos, caducables, monitorizados.

F) Detección y respuesta (porque nada es 100% impenetrable)

Logs centralizados (SIEM), alertas útiles (no 5.000 al día).
Playbooks de incidentes (ransomware, robo de credenciales, fuga de datos).
Copias 3-2-1, pruebas de restauración (la copia que no se prueba es sencillamente tener fe).
Simulacros: tabletop con negocio + técnico.

G) IA y agentes

Catálogo de usos permitidos (y prohibidos) de IA.
Datos sensibles: reglas claras (qué no se debería subir jamás).
Agentes con permisos mínimos, acciones “peligrosas” con aprobación humana.
Registro/auditoría de acciones del agente (quién, qué, cuándo, con qué prompt).
Evaluación de riesgos de prompt injection y exfiltración.

8) Apartado especial: Ciberseguridad en un LMS conectado al PC corporativo

Y termino con un tema más que interesante porque ocurre en muchas organizaciones; cuando hay un LMS “pegado” al entorno corporativo. Esto puede ser una bendición (control) y a la vez una tentación para algunos/as (si cae, escala a más).

Lo imprescindible en un LMS corporativo moderno

Identidad y acceso

SSO con el directorio corporativo (SAML/OIDC) y MFA heredado de la empresa.
SCIM (o automatización equivalente) para altas/bajas de usuarios y grupos: si alguien se va, se va también del LMS.
RBAC (roles) fino: alumno, manager, formador, admin… y nada de “admin por si acaso”.

Seguridad del endpoint

Si el LMS se usa desde equipos corporativos:

Integrar con políticas de dispositivo (MDM/EDR).
Evitar descargas locales de contenidos sensibles si no hace falta.
Proteger sesiones (timeout, refresh tokens bien gestionados).

Aplicación y datos

Cifrado en tránsito (TLS) y en reposo.
Separación de entornos (dev/test/prod) y datos anonimizados en no-prod.
Logs de actividad: accesos, cambios de rol, exportaciones de datos, integraciones.
Protección ante OWASP Top 10 (web) y OWASP API Top 10 si hay APIs.

Integraciones

LMS suele integrarse con HR, correo, Teams/Slack, BI, LXP, etc.
Cada integración es como poner una nueva puerta:

Tokens con alcance mínimo.
Rotación de credenciales.
Monitorización de llamadas API.
Principio de “si se rompe, que se rompa de forma segura”.

IA dentro del LMS

Si hay tutor/coach/chatbot IA:

No entrenar ni “reutilizar” conversaciones con datos sensibles sin control.
Filtros de contenido y prevención de fuga.
Reglas claras de qué puede hacer el agente (¿crear cursos? ¿matricular? ¿exportar?).

Os pongo un ejemplo para entenderlo mejor; Si un “agente” del LMS puede matricular gente y exportar listados, eso ya es dato personal + capacidad operativa. Mínimos permisos, aprobación humana para exportaciones masivas, y registro de cada acción.

Conclusión:

La ciberseguridad “top” en grandes compañías no es comprar la herramienta de moda. Es diseñar el acceso, blindar identidades, separar sistemas, vigilar lo importante, ensayar incidentes, y ahora además… ponerle correa y bozal a los agentes de IA.

Porque el futuro no va a tener menos puertas. Va a tener más, y como digo en el encabezado, algunas no tienen cerradura o han dejado la llave debajo de una maceta.

Fuentes y bibliografia

Verizon, Data Breach Investigations Report (DBIR) 2025 (hallazgos sobre patrones de ataque y credenciales). (Verizon)
NIST, SP 800-63B-4 Digital Identity Guidelines (2025) (autenticación, canales protegidos y prácticas recomendadas). (NIST Publications)
ENISA, Threat Landscape 2025 (panorama de amenazas en Europa, supply chain, OT, etc.). (enisa.europa.eu)
OWASP, API Security Top 10 (2023) y OWASP Top 10 (riesgos clave en APIs y apps web). (owasp.org)
Financial Times (cobertura sobre aumento de ataques vía terceros / supply chain). (Financial Times)

Comunicado oficial Banco Santander sobre acceso no autorizado (14 mayo 2024). (Santander)
Reuters: Telefónica investiga posible ciberataque por datos filtrados (3 jun 2025). (Reuters)
INCIBE-CERT: ciberataque ransomware al Hospital Clínic + evolución del incidente. (INCIBE)
Associated Press: impacto operativo del ataque al Hospital Clínic (marzo 2023). (AP News)
El País: conclusiones sobre medidas mínimas y contexto del ataque al Clínic (noviembre 2024). (El País)
INCIBE-CERT: SEPE comienza recuperación tras ciberataque (marzo 2021). (INCIBE)
SecurityWeek: Iberia notifica brecha por compromiso de proveedor (noviembre 2025). (SecurityWeek)
CISA: lecciones aprendidas del ataque a Colonial Pipeline. (cisa.gov)
SEC (8-K): estimación de impacto económico de MGM por incidente (octubre 2023). (SEC)
FTC: caso Equifax y acuerdo global (hasta 700M$). (Federal Trade Commission)
Forbes / LA Times: pérdidas estimadas Maersk por NotPetya (200–300M$). (Forbes)
Bloomberg: pérdidas reclamadas por Merck (~1.3B$) por NotPetya. (Bloomberg.com)
OWASP: riesgos principales en seguridad de APIs. (cisa.gov)

Audio podcast en spotify

martes, 24 de febrero de 2026

Art 7/26. Tener cabezas sanas hace empresas inteligentes

La salud mental en las empresas : del “vamos a quedar bien” a ventaja competitiva (y cómo la IA puede ayudar… o no)

Este es una de los temas que en muchas empresas se tratan como si fueran parte de la decoración de la oficina: se ponen, quedan bien, nadie quiere mirar si funcionan y mucho menos miden su impacto.

Cuando se sacaba este tema del “bienestar” de la plantilla, lo que se terminaba haciendo era poner fruta fresca, alguna charla de mindfulness y de algún que otro PowerPoint amable… mientras por detrás seguían intactos los clásicos: sobrecarga, agendas imposibles, urgencias crónicas, reuniones infinitas, ambigüedad de rol y gestiones más que discutibles por parte de responsables sin formación (ni empatía) para gestionar personas mientras sus equipos no paran de hacer malabares emocionales con sonrisa simulada.

Luego nos vemos sorprendidos con noticias sobre absentismo, agotamiento, rotación cada vez más acelerada en las plantillas o personas directamente fundidas o quemadas. Y entonces viene esa justificación de que hemos hecho todo lo posible; con un curso, una charla o la fruta de temporada.

Pues no, amigos y amigas; la realidad no es tan poética ni se resuelve con campañas de marketing: la salud mental ya no es un tema de imagen; es un tema de productividad, sostenibilidad y calidad de gestión.

Y aquí entra la IA, que se va integrando en todas partes. Y que no viene con capa de superheroína ni con cuernos. Viene con su potencial y su riesgo real. Puede liberar carga, mejorar foco y acelerar aprendizaje. Pero también puede convertirse en una turbina de estrés si se implanta como excusa para apretar más.

En otros posts ya hemos tocado esto por distintas puertas:

cuando hablábamos del “cerebro prestado” con adolescentes,
cuando cruzábamos IA, talento senior y edadismo en F1,
o ese mantra que siempre os digo sobre que la tecnología no puede sustituir el criterio.

Aquí el principio es el mismo: si diseñas mal el uso de la IA, no están modernizando la empresa: la estás desordenando más rápido.

La gran verdad que incómoda: la salud mental no se arregla con parches

La Organización Mundial de la Salud lleva tiempo diciendo algo que muchas empresas todavía esquivan: los problemas de salud mental en el trabajo no se resuelven solo con apoyo individual, sino actuando sobre cómo está organizado el trabajo.

Traducido a castellano corporativo:

No basta con ofrecer ayuda psicológica si luego la carga es imposible de llevar.
No sirve hablar de bienestar si todo es “para ayer”.
Y no funciona pedir compromiso si el sistema premia el desgaste.

El trabajo puede ser una fuente de sentido, aprendizaje y salud. Pero también puede ser una trituradora fina si está mal diseñado. Esa es la diferencia entre una empresa exigente y una empresa agotadora: la primera tiene criterio; la segunda tiene prisa.

Donde se nota de verdad: absentismo, presentismo y productividad

Cuando este tema llega a los comités de dirección suele aparecer la misma pregunta: “Sí, sí, pero esto cómo impacta en negocio”.

Pues impacta muchísimo.

1) Absentismo (la parte visible)

Los problemas relacionados con estrés, ansiedad y depresión suelen generar bajas más largas que otros problemas leves. No es solo “falta gente”: falta durante más tiempo, y eso rompe equipos, retrasa proyectos y sobrecarga al resto.

En estadísticas oficiales de salud laboral (como las del Reino Unido) los trastornos de estrés, depresión y ansiedad aparecen de forma recurrente entre las principales causas de días de trabajo perdidos. Y cuando miras duración media de la baja, el dato es especialmente relevante para empresa grande: no son incidencias cortas.

2) Presentismo (la parte invisible… y carísima)

Aquí está el monstruo de verdad.

El presentismo es cuando la persona está en su puesto, pero rinde muy por debajo de su capacidad porque está saturada, ansiosa, agotada o mentalmente desconectada. No sale en una foto. No siempre sale en los reports de RRHH. Pero se nota en:

Errores,
Bloqueos,
Mala atención a cliente,
Reuniones improductivas,
Decisiones lentas,
Conflictos internos,
Y una sensación general de “vamos a tope y no avanzamos”.

Muchas veces el coste del presentismo es mayor que el del absentismo. Y además contamina más: porque normaliza trabajar mal como si fuera normal.

3) Productividad (la palabra que todos usan, pero pocos miden bien)

La productividad real no es hacer más cosas por hora. Eso es actividad; no confundamos los términos.
La productividad buena es:

Hacer trabajo útil,
Con calidad,
Sin rehacerlo tres veces,
Sin quemar a la gente,
Y pudiendo sostenerlo en el tiempo.

Cuando falla la salud mental, cae el foco. Y sin foco, la productividad se convierte en puro teatro: mucho movimiento, poco avance. Como decía un anuncio que muchos recordareis; la potencia sin control no sirve de nada.

Cómo creo que debería tratarse en una empresa seria

La salud mental en empresa no debería quedarse encerrada en RRHH como si fuera una subcategoría de “beneficios”. Tiene que estar en cuatro sitios a la vez:

Dirección (porque afecta a resultados),
RRHH (porque afecta a personas y cultura),
Operaciones (porque el diseño del trabajo importa),
Liderazgo intermedio (porque ahí se juega el partido cada día).

Y ahora os hago un resumen de que creo que funciona y lo que no:

Lo que no funciona

Campañas bonitas sin tocar cargas ni prioridades.
Cursos sueltos para “gestionar el estrés” mientras el sistema genera estrés estructural.
Pedir resiliencia como sustituto de una mala organización.
Implantar IA y subir objetivos “porque ahora vais más rápido”.

Lo que sí funciona en 4 puntos:

1) Prevención organizativa

Toca revisar cómo se trabaja:

cargas reales,
claridad de prioridades,
solapamientos,
tiempos de respuesta razonables,
autonomía,
calidad del liderazgo,
y fricción digital (sí, demasiadas herramientas también agotan).

2) Managers formados

El mando intermedio puede ser:

un amplificador del estrés, o
un estabilizador del sistema.

No se puede pedir que gestionen bienestar si nadie les ha enseñado a:

detectar saturación,
dar feedback sin hundir,
ordenar prioridades,
o hablar de rendimiento sin convertir todo en amenaza.

3) Apoyo individual accesible y sin estigma

Sí, hace falta apoyo profesional, canales confidenciales y protocolos de reincorporación. Pero como complemento, no como maquillaje.

4) Medición combinada (personas + negocio)

Si solo mides productividad, te engañas.
Si solo mides clima, te quedas corto.

Hay que mirar conjuntamente con lo anterior:

absentismo,
duración media de bajas,
rotación voluntaria,
errores / retrabajos (repetición una y otra vez de lo mismo)
horas extra,
engagement o compromiso
e indicadores de carga percibida.

Porque el objetivo no es “que la gente diga que está bien”.
El objetivo es trabajar mejor y vivir mejor mientras se trabaja.

IA y salud mental: motivador o multiplicador del caos

Aquí está la parte más interesante (y más mal gestionada en muchas organizaciones).

La IA puede mejorar mucho la experiencia de trabajo. De hecho, en varios estudios y encuestas internacionales, muchos trabajadores que usan IA reportan mejoras en rendimiento, reducción de tareas repetitivas y una percepción más positiva del trabajo cuando la herramienta está bien integrada.

Tiene toda la lógica:

quita trabajo mecánico,
acelera búsquedas,
ayuda a redactar,
resume,
ordena información,
y reduce fricción cognitiva.

Bien usada. Repito; bien usada. la IA hace algo valioso: devuelve energía mental.
Y eso vale oro.

Pero también puede ser una fábrica de ansiedad

El lado oscuro aparece cuando la empresa implanta IA con mentalidad de cronómetro:

“Ahora tardas menos, así que te meto más”,
“Como hay IA, ya no hace falta pensar tanto”,
“Si la herramienta lo sugiere, hazlo así”,
“Vamos a medirlo todo”.

Resultado:

más vigilancia,
menos autonomía,
más intensidad,
más miedo a equivocarse,
y más sensación de reemplazo.

Y entonces la IA deja de ser apoyo y se convierte en amenaza.
No porque la tecnología sea mala, sino porque el diseño de gestión ha sido perezoso. De nuevo volvemos a que el ser humano está perdiendo la partida del criterio frente a la tecnología.

El punto crítico: la IA no puede sustituir criterio, liderazgo ni contexto

Esto conecta muchísimo con otros temas que ya hemos comentado.

No se trata de elegir entre junior o senior, sino de diseñar una combinación inteligente. Con la IA pasa igual.

No es:

IA vs personas,
IA vs experiencia,
IA vs criterio.

Es:

IA + criterio humano,
IA + conocimiento del negocio,
IA + liderazgo decente.

La IA puede ayudar más precisamente a quien más lo necesita:

perfiles nuevos,
personas con picos de carga,
equipos con tareas repetitivas,
managers que tienen que sintetizar mucha información.

Pero el criterio sigue siendo humano:

qué se prioriza,
qué se frena,
qué riesgo se asume,
qué se comunica,
y cómo se cuida al equipo sin infantilizarlo.

Qué debería hacer una empresa desde ya

Nada de discursos épicos. Cinco cosas concretas:

1) Hacer un diagnóstico real de carga y fricción

Antes de lanzar “programas”, mirar:

dónde se acumula el estrés,
qué procesos están rotos,
qué equipos viven en urgencia crónica,
y qué herramientas digitales generan más ruido que valor.

2) Redefinir el uso de IA con una regla simple

La IA debe quitar trabajo inútil, no exprimir más a la gente.

Parte del tiempo recuperado debe ir a:

foco,
calidad,
aprendizaje,
coordinación,
y también descanso cognitivo.

Si todo el ahorro de tiempo se convierte en más tareas, has creado una cinta de correr y con ello volvemos a los vicios que he indicado más arriba.

3) Formar a los mandos intermedios en “gestión del trabajo”

No solo en liderazgo inspiracional (que queda muy bien en cartel), sino en:

priorización,
conversación difícil,
detección de saturación,
feedback útil,
y uso responsable de IA.

4) Poner límites claros (sí, límites)

La salud mental también se protege con reglas:

horarios,
tiempos de respuesta,
uso de canales,
normas sobre disponibilidad,
y límites de monitorización digital.

Una empresa sin límites no es ágil. Es caótica.

5) Medir retorno con honestidad

No hace falta prometer milagros. Pero sí medir si las cosas mejoran:

menos bajas,
menos rotación,
menos errores,
mejor clima,
mejor tiempo de ciclo,
mejor percepción de utilidad de la IA.

Entonces ya estaremos hablando de transformación real. Lo demás es humo.

La empresa que viene no será la que más IA tenga, sino la que mejor cuide la cabeza de su gente

Esta es la conclusión; estamos entrando en una etapa curiosa: la tecnología más potente que hemos tenido coincide con una fatiga acumulada enorme en muchas organizaciones.

Mala combinación, si se gestiona regular.
Gran oportunidad, si se hace con cabeza.

La salud mental en empresa no es “ser blandos”.
Es ser inteligentes (nosotros, no las máquinas).

Y la IA tampoco va de reemplazar personas.
Va de liberar capacidad humana para lo que sí importa: pensar mejor, decidir mejor, aprender más rápido y trabajar sin ir dejando trozos del sistema nervioso por el pasillo.

En resumen, versión de esta serie de IA sin anestesia:

Si cuidas solo la herramienta, fracasarás por cultura.
Si cuidas solo el discurso, fracasarás por operación.
Si cuidas el diseño del trabajo, el liderazgo y el uso de IA con criterio, ahí sí: tendrás una empresa más productiva y más humana.

Y eso, curiosamente, acaba saliendo mejor también los resultados de las compañías.

Bibliografía (fuentes y referencias por si queréis comprobar lo anterior)

Organización Mundial de la Salud (OMS / WHO) – Mental health at work (ficha y recursos sobre salud mental en el trabajo).
OMS – Guidelines on mental health at work (recomendaciones sobre intervenciones organizativas, formación de managers y apoyo).
Organización Internacional del Trabajo (OIT / ILO) y OMS – Informes conjuntos sobre salud mental en el trabajo y riesgos psicosociales.
Health and Safety Executive (HSE, Reino Unido) – Estadísticas oficiales sobre días de trabajo perdidos, incluyendo estrés, ansiedad y depresión.
Deloitte (UK) – Estudios sobre coste empresarial de la mala salud mental y retorno de inversión en programas de salud mental.
OCDE (OECD) – Using AI in the Workplace (uso de IA en el trabajo, percepción de trabajadores, productividad y riesgos).
OCDE (OECD) – Informes sobre herramientas digitales e IA para salud y productividad en el trabajo.
Brynjolfsson, Li, Raymond (NBER / QJE) – Evidencia empírica sobre impacto de IA generativa en productividad (atención al cliente y aprendizaje en el puesto).
EU-OSHA (Agencia Europea para la Seguridad y la Salud en el Trabajo) – Recursos sobre riesgos psicosociales, estrés laboral y prevención en entornos de trabajo.
McKinsey Health Institute / estudios de workplace wellbeing (como referencia complementaria para impacto en desempeño, clima y sostenibilidad).

Y por si quieres escucharlo en versión podcast: Clica aquí

domingo, 15 de febrero de 2026

Artículo 6/26. Tus hijos, la IA y el cerebro prestado: manual de supervivencia para padres actuales

Hoy vamos a ponernos en modo doméstico. En algo que me preguntáis de tanto en tanto y que NO tiene que ver con la IA en el ámbito corporativo; que hacer con los modelos de Inteligencia Artificial que ya han entrado en casa y mis hijos/as no me dicen nada.

Pues bien. Ahora pasa algo curioso; ya no temes tanto que tus hijos/as suspendan mates… temes que aprueben todo sin aprender nada. Y vas bien encaminado/a.

Porque ahora existe el “modo turbo”: una IA que te hace un trabajo brillante, te lo redacta como si fueras un pequeño Cervantes con TDAH controlado y, encima, te lo entrega con tono “alumno aplicado”. Este nuevo rincón del vago que todo estudiante busca como sueño húmedo del mínimo esfuerzo.

Y claro, el miedo real no es “la IA”. El miedo es qué cerebro y qué carácter deja si los alumnos/as la usan como chuleta permanente. El miedo es el desierto neuronal, una metáfora que me viene al pelo. Como dice la UNESCO: o pilotamos nosotros con competencias humanas, o la educación se queda en piloto automático. Y ya sabemos lo que ocurre cuando no hay nadie al volante.

Vamos por partes: cómo usar IA en educación sin atrofiar neuronas, qué límites poner en casa, cómo detectar dependencia y cómo no caer en el circo de deepfakes y desinformación.

1) IA en clase: ¿Tutor o Fantasma?

La IA no te roba la creatividad. Te roba la práctica. Y sin práctica, la creatividad se vuelve decoración.

La OCDE lo ha descrito con una expresión que debería imprimirse en la puerta del instituto: “falsa maestría”. Rindes más “en apariencia”, pero puedes estar aprendiendo menos por dentro. Para que me entendáis los que venís de los 90; el cerebro se pone en modo “salvapantallas”; detrás no hay nada.

La diferencia, bastante evidente, es separar “aprender” de “copiar”. Y os pongo algunos ejemplos. Eso sí, yo recomiendo la supervisión porque si no se nos va de las manos.

Modo Tutor (el que sirve, el que nos ayuda):

“Explícamelo como si tuviera 12 años.” Esto lo hacemos cualquiera para entender cosas complejas
“Hazme 5 preguntas y corrígeme.” Modo ejercicios y tutor personalizado.
“Dame 3 ejemplos y 3 errores típicos.” Preparando bien cualquier ejercicio.

Esto entrena la cabeza y así sacamos el jugo y potencial de esta herramienta.

Modo Copiloto; con reglas y sin procrastinar, que todos hemos pasado por ahí:

Ideas, esquemas, alternativas, mejora de redacción después de entender, no antes.
Debate: “Dame el argumento contrario y refútalo con evidencias.” Esto es lo que deberíamos haber hecho en las aulas desde hace años y sin IA. Pero bueno nunca es tarde.

Esto acelera el aprendizaje, pero tú conduces. Que de eso se trata.

Modo Fantasma. Red flag. Atentos que esto es lo que vemos que está pasando:

“Hazme el trabajo entero y que parezca mío.” Aunque parezca evidente lo indico por si acaso: eso no es estudiar. Eso es subcontratar el cerebro.

Regla básica, simple y eficaz que deberíamos empezar a aplicar de manera inmediata en casa, colegios y universidades:

Si no lo pueden explicar en voz alta en 2 minutos, no lo han aprendido.
El texto puede ser precioso; la comprensión, o está, o no está.

2) Límites en casa: no se trata de prohibir, se trata de rediseñar un nuevo ecosistema

Intentar prohibir la IA es como intentar que no llueva. No va a parar. Es como los padres/madres que siguen pensando que sus hijos/as nunca han entrado en páginas poco recomendables. Así que, amigos y amigas, toca diseñar el búnker:

Zonas Sagradas: Comidas, charlas y la hora antes de dormir son territorio libre de máquinas con silicio.
El móvil no duerme en su cuarto: Sí, se que esto va a doler y traer polémica. Pero una cosa hemos de tener clara: el sueño es el reset del cerebro. Si dejas que el algoritmo le susurre antes de dormir, el resto del día será un zombi. Como resumen, la cama debería ser un santuario sin móvil.
Higiene de Apps: Si una app te da la respuesta masticada y sin esfuerzo, sospecha. La perfección es, hoy más que nunca, otra señal de aviso. Y que os quede claro; no todo lo que “ayuda” es educativo:

1- Bien: herramientas que enseñan, preguntan, explican, te ayudan a planificar.
2- Vigiladas: generadores de trabajos “perfectos” (como ya os he dicho, la perfección suele ser sospechosa).
3- Prohibidas por defecto: apps con recomendación agresiva y comunidad/DMs sin control real. Esto no haría falta que os lo dijera.

Porque sí; estamos hablando de controlar el contenido y poner filtros y límites. Yo lo definiría con una frase: ponerse el cinturón de seguridad no es censura.

Con lo que estamos viendo de deepfakes, estafas y manipulación a todas las escalas, los filtros ya no son “para niños”: son higiene básica.

3) Señales de dependencia, aislamiento y “algoritmo tóxico” (cuando la pantalla ya es la que está tomando el control)

Aquí ya tenemos ciencia y datos de la vida real. La APA y el Surgeon General en EE. UU. han señalado que el problema no es “usar redes/tecnología”, sino su uso problemático: cuando afecta a sueño, humor, relaciones y funcionamiento diario.

Señales prácticas que indican “mono digital” (y no es psicología de salón):

Irritabilidad fuerte cuando se corta el acceso (desregulación, no simple enfado).
Sueño peor + cansancio constante.
Aislamiento: menos planes offline, menos deporte, menos esfuerzo y menos conversación.
Baja tolerancia al esfuerzo: “me aburre” todo lo que no sea instantáneo o se resuelva con un click (como leer esto).
Realidad filtrada: el feed como brújula moral (“si no sale, no existe”).

Y ojo con un detalle moderno: la IA puede amplificar la desinformación y la radicalización por recomendación, porque el algoritmo no optimiza “verdades”; optimiza retenciónes. Que ya sé que lo sabíais pero por recordarlo.

4) Deepfakes, voz falsa, CSI en casa y la era en el que pensamos -y con razón- “ya no sé qué es real”

Bienvenidos al mundo donde tu cuñado puede mandar un vídeo “del ministro diciendo X” y tú tienes que hacer de CSI, pero sin presupuesto.

La UE se está moviendo: bajo el AI Act hay obligaciones de transparencia y etiquetado para cierto contenido sintético como los deepfakes. La Comisión, de hecho, trabaja en códigos de práctica para marcar/etiquetar contenido generado.
Y España ha empujado fuerte con propuestas y medidas sobre etiquetado y consentimiento, con multas y foco explícito en estos deepfakes.

Señales rápidas (no son infalibles, pero os serán útiles)

Audio raro: entonación plana, respiración extraña, cortes.
Vídeo con cortes frecuentes, sin planos largos, labios “perfectos” o microgestos extraños. Aunque algunos políticos/as reales puedan dar lugar a confusión.
Mensaje con urgencia emocional: “¡compártelo antes de que lo borren!” (un clásico de la manipulación).

Algunas herramientas sencillas para humanos que quieran hacer comprobaciones:

Google “About this image”: os dará contexto y apariciones en la web.
InVID/WeVerify: plugin clásico para ver fotogramas clave y rastrear contexto.
Content Credentials (C2PA): estándar de procedencia/autenticidad (cuando está presente, claro).

Y una mala noticia pero que es bueno que lo sepáis; aunque existan estándares, las plataformas a veces no los muestran o no los preservan. Un experimento periodístico lo dejó bastante en evidencia.

5) IA y bienestar, algunos consejillos:

La IA bien usada puede ser un buen momento para coger hábitos saludables:

Planificar semana, dividir tareas grandes, ordenar prioridades.
Rutinas saludables realistas (comida, ejercicio, sueño).
Diario guiado: “¿qué me preocupa?, ¿qué puedo controlar?, ¿qué acción mínima hago hoy?”

La línea roja:

Cuando se convierte en “mi única compañía”, “mi anestesia”, “mi juez” o “mi oráculo”.
Ahí ya no es herramienta: es dependencia con una interfaz chula.

6) Periodismo y debate público: la verdad se está encareciendo.

Y aquí viene otra cosa muy lamentable: la IA no va a matar el periodismo… pero sí puede matar el modelo económico y complicar la confianza.

El Reuters Institute midió algo que creo es importante resaltar: la gente se siente mucho menos cómoda con noticias “hechas totalmente por IA” (en torno al 12%) y la aceptación sube si hay humanos en el circuito.
Este febrero de 2026, editores europeos han escalado el conflicto contra Google por resúmenes con IA y uso de contenido, precisamente por el impacto en la sostenibilidad del periodismo.

Lo que viene (con bastante probabilidad):

Mucho contenido barato “creíble” en apariencia.
Más valor para medios con verificación real y reputación.
Más ruido, más polarización y más burbujas si nadie enseña a contrastar.

Traducción para padres y sociedad en general: el pensamiento crítico va a ser una skill premium. Aunque no será porque esto no os lo vengo repitiendo desde hace tiempo.

Pacto familiar en 7 líneas (para poner en la nevera con un imán de esos que os han traído de un viaje)

IA sí, pero Tutor/Copiloto, no Fantasma.
Dormir y comer sin pantallas.
Móvil fuera de la cama.
Antes de compartir: pausa + verifica (utiliza alguna herramienta como las comentadas; About this image / InVID).
Si te enfada mucho, sospecha: emoción fuerte = manipulable.
Cada día algo offline obligatorio (deporte, paseo, aburrimiento fértil).
Si hay señales de uso problemático, se habla y se ajusta (no se castiga a ciegas).

No quiero terminar con la idea de criar hijos “sin IA”. Se trata de criar hijos que manden sobre la IA. Porque al final del día, amigos y amigas, la diferencia entre un líder y un esclavo del algoritmo no está en el software que usan, sino en los hábitos, las reglas claras y esas conversaciones incómodas... pero cortas. No dejes que el cerebro de tu hijo se quede en alquiler. Asegúrate de que él siempre tenga las llaves.

Para saber más:

· UNESCO: Guidance for generative AI in education and research.

· OCDE: Digital Education Outlook - "False Mastery" concept.

· APA (American Psychological Association) & US Surgeon General: Advisory on Social Media and Youth Mental Health (Update 2024-2025).

· Unión Europea: EU AI Act (Transparency and Deepfake labeling regulations).

· Reuters Institute: Digital News Report (Consumer trust in AI-generated news).

· C2PA (Coalition for Content Provenance and Authenticity): Standards for digital content provenance.

· Actualidad Feb 2026: Conflicto editores europeos vs. Google sobre AI overviews y sostenibilidad.

sábado, 7 de febrero de 2026

Art 5/26. IA, edadismo y talento senior. La Fórmula 1 ya está haciendo el trabajo que muchas empresas no se atreven.

Arranca la temporada de Fórmula 1 y, como cada año, el paddock vuelve a ser el mejor espejo de lo que funciona de verdad cuando el error cuesta muy caro.

Mientras fuera se sigue hablando de rejuvenecer plantillas, dentro de la F1 ocurre lo contrario: la experiencia no solo no molesta, decide. Y ahora, con IA, decide mucho mejor.
Este artículo no va de nostalgia. Va de productividad, criterio y supervivencia competitiva. Comencemos!

Adrian Newey: 67 años y el cerebro aerodinámico más cotizado del planeta

Empecemos con un nombre propio: el ingeniero británico Adrian Newey. Más de seis décadas de vida. Cuatro de ellas diseñando coches. Mundiales con Williams, McLaren, Red Bull… y ahora liderando el salto técnico de Aston Martin F1 Team.

Newey ha sido cristalino: la IA no diseña coches sola. Lo que hace es:

Reducir el espacio de búsqueda,
Acelerar simulaciones CFD,
Eliminar ruido.

La decisión final sigue siendo plenamente humana. Y no por romanticismo, sino por eficiencia. Porque la intuición informada, la que se ha equivocado mil veces, no se entrena con datasets por mucho que los modelos no dejen de hacer promesas.

Y con este primer ejmplo, doy el primer mensaje incómodo para muchas empresas: Si crees que la IA sustituye la experiencia, hay algo no terminas de entender.

Fernando Alonso: el DNI no frena, la falta de criterio sí

Segundo nombre: Fernando Alonso. Con 44 años cumplidos, en una parrilla obsesionada con la juventud. ¿Resultado? Sigue siendo diferencial y la referencia para la mayoría.

¿Por qué? Porque hoy el pilotaje es:

Gestión de datos,
Lectura estratégica,
Adaptación constante.

Alonso trabaja, entre otras muchas cosas, con:

Predicción de degradación de neumáticos,
Análisis de telemetría avanzada,
Simulación de stints.

Pero su ventaja real es otra: sabe qué datos ignorar. Y eso no lo enseña ningún onboarding acelerado.

Y aquí viene la segunda lección incomoda: la IA premia al que sabe decidir, no al que corre más rápido sin contexto.

LLegados a este punto y visto que veis que me va la Formula 1, hagamos un repaso a algunas escuderías:

Red Bull y Mercedes: IA sí, pero con colmillo en el pit wall

En Red Bull Racing y Mercedes-AMG Petronas F1 Team, la IA ejecuta miles de simulaciones en tiempo real:

Escenarios de Safety Car,
Ventanas de pit stop,
Tráfico y ritmo esperado.

Pero la decisión final no la toma un algoritmo. La toma gente como Christian Horner o Toto Wolff (ambos con décadas de experiencia).

Porque cuando el margen es una décima:

la IA calcula,
La experiencia decide,
Y el error se paga.

Williams y McLaren: cuando el presupuesto obliga a pensar mejor

Williams Racing y McLaren F1 Team han apostado por IA para:

Aprender de históricos,
Correlacionar simulador y pista,
Optimizar sin derrochar.

¿Quién interpreta esos datos? Ingenieros senior. Porque la eficiencia nace del criterio, no del volumen de dashboards.

Ferrari: corazón histórico con cerebro digital

La Scuderia también ha estado integrando modelos de aprendizaje automático para optimizar análisis aerodinámicos y configuración de setups, sin que eso signifique despedir talento senior. Convertir datos en decisiones rápidas no es nada si no los validas con intuición competitiva humana. Y de esto los italianos saben un rato.

Alpine y AlphaTauri: apuesta por integración holística

Equipos como Alpine y AlphaTauri combinan IA de sensores y telemetría con análisis humano experto. La clave no es “automatizar todo”, sino automatizar lo repetitivo y mantener a la experiencia definiendo matices estratégicos

Cadillac F1: IA-native… pero fichando experiencia

A esta escudería le tengo especial cariño; acaba de llegar pero el proyecto de Cadillac Formula 1 Team llega con discurso de futuro:

Gemelos digitales,
Simulación masiva,
IA desde el diseño.

¿Y a quién están fichando? Pues si, Talento senior de F1 y automoción. Checo Pérez ya tiene sus buenos 36 años. Y sigue con la ilusión de un chaval recién llegado.

Porque incluso los proyectos más jóvenes saben algo básico: sin experiencia, la IA solo acelera errores.

Ahora salgamos del paddock: nombres y apellidos del edadismo corporativo

Aquí es donde a algunas y algunos les va e empezar a doler.

IBM

En 2019 y años posteriores, IBM impulsó salidas de perfiles senior mientras hablaba de “rejuvenecer capacidades digitales”. ¿Resultado? Demandas por edadismo en EE. UU. y una pérdida masiva de conocimiento crítico justo cuando apostaban por IA y cloud.

Telecos, bancas y grandes energéticas europeas

Durante la última década:

Prejubilaciones masivas a partir de 52–55 años,
Ruptura de la transmisión de criterio,
Sustitución por talento más barato.

Luego llegó:

La complejidad regulatoria,
La IA,
El riesgo sistémico.

Y sorpresa!: faltaba gente que supiera decidir en entornos grises.

Consultoras tecnológicas

Muchas venden IA mientras:

Expulsan perfiles senior “porque no escalan”,
Llenan equipos de perfiles muy rápidos… y muy verdes.

Resultado: mucho delivery, poco criterio. Mucho output, poco impacto.

La gran incoherencia: vivimos más, trabajamos más… y expulsamos antes

Algunos datos básicos:

La esperanza de vida supera los 83 años en España,
La vida laboral se alarga,
Los trabajos son cada vez más cognitivos.

Y aun así:

Se penaliza a partir de los 50
Se confunde experiencia con resistencia al cambio
Se usa la IA como excusa para no gestionar bien el talento

Eso no es innovación. Mas parece miedo generacional.

La F1 ya ha resuelto el dilema que muchas empresas esquivan

En la F1:

La IA automatiza lo repetitivo,
La experiencia decide lo crítico,
Los equipos son multigeneracionales,
El respeto se gana por criterio, no por edad.

Y sin embargo , en muchas empresas:

Se jubila el criterio,
Se acelera el error,
Y luego se habla de “aprendizaje organizativo”.

Conclusión (sin anestesia)

La IA no viene a jubilar a Adrian Newey. No viene a retirar a Fernando Alonso. No viene a eliminar el talento senior.

Viene a dejar en evidencia a las organizaciones que llevan años confundiendo coste con valor.

Porque en este año 2026:

No gana el más joven,
No gana el que más datos tiene,
Gana quien decide mejor.

Y eso, guste o no, no depende del año de nacimiento.

La Fórmula 1 ya lo ha entendido.

Y mientras ellos lo hacen, muchas empresas todavía están discutiendo el DNI… mientras el semáforo de la carrera ya está en verde.

#InteligenciaArtificial#Formula1#Edadismo#TalentoSenior#Liderazgo#Productividad#TransformaciónDigital#GestiónDelTalento#DiversidadGeneracional#AprendizajeContinuo#TomaDeDecisiones#InnovaciónReal

Fuentes:

Motorsport.com Adrian Newey aclara cómo es el uso de la IA en un equipo de F1 https://lat.motorsport.com/f1/news/adrian-newey-inteligencia-artificial-formula-1/10795227/
Forbes – Bernard Marr Visión global del uso de datos, IA y analítica avanzada en F1. https://www.forbes.com/sites/bernardmarr/2023/07/10/how-artificial-intelligence-data-and-analytics-are-transforming-formula-one-in-2023/
AWS Machine Learning Blog Caso concreto de IA operativa en tiempo real con humanos en la decisión final. https://aws.amazon.com/blogs/machine-learning/how-formula-1-uses-generative-ai-to-accelerate-race-day-issue-resolution/

Autosport Explica cómo la IA apoya estrategia y simulación, pero no sustituye al pit wall. https://www.autosport.com/f1/news/how-is-artificial-intelligence-changing-formula-1/10659532/
BBC Sport Enfoque claro sobre experiencia, adaptación y longevidad competitiva. https://www.bbc.com/sport/formula1

Harvard Business Review Marco teórico sólido contra el edadismo en entornos de alta innovación. https://hbr.org/2020/05/managing-the-older-workforce-in-innovation-driven-firms
McKinsey & Company Evidencia de que la diversidad (también generacional) mejora resultados. https://www.mckinsey.com/featured-insights/diversity-and-inclusion/diversity-wins-how-inclusion-matters
INE – Instituto Nacional de Estadística (España) Base objetiva para el argumento de longevidad y vida laboral extendida. https://www.ine.es/

CNN Business Demandas reales por edadismo en grandes compañías tecnológicas. https://edition.cnn.com/2021/11/16/tech/tech-age-discrimination-lawsuits/index.html
65YMÁS Datos específicos del contexto español y europeo. https://www.65ymas.com/comite-expertos/talento-senior/

Para escucharlo en versión podcast:

https://open.spotify.com/episode/5Pwj3EY8VZ81jVectRCpca?si=4evJhW4_RteOxDT11Dvi3w