¿Cumple su IA con la normativa? Regístrese hoy

June 29, 2026

Fallos de autenticación en sistemas conectados a IA provocan multas del RGPD, advierte Salt Security.

Una acción de cumplimiento de 2025 contra Vodafone GmbH señala un cambio regulatorio en expansión: los fallos en la gobernanza de la autenticación en los sistemas empresariales ya no se tratan como deuda técnica. Son responsabilidades de cumplimiento con consecuencias financieras inmediatas, y la presión se está acelerando hacia 2026.

PALO ALTO, California, 29 de junio de 2026 — Salt Security, el líder en seguridad de agentes y API, publicó hoy directrices para los equipos de seguridad y cumplimiento empresarial después de que el Comisionado Federal de Alemania para la Protección de Datos y la Libertad de Información (BfDI) impusiera una multa GDPR de 30 millones de euros (34 millones de dólares) a Vodafone GmbH por fallos de seguridad en el proceso de autenticación para los clientes que utilizan su portal en línea y línea directa MeinVodafone. El BfDI determinó que las vulnerabilidades de autenticación permitieron a terceros no autorizados acceder a los perfiles eSIM de los clientes, lo que posibilitó ataques de intercambio de SIM y el posible compromiso de la autenticación de dos factores en los servicios conectados.

La acción de cumplimiento, según informó The Record de Recorded Future News, es parte de una multa total de 45 millones de euros que también incluyó una sanción de 15 millones de euros por la falta de Vodafone de supervisar adecuadamente a las agencias asociadas de terceros. Vodafone reconoció que «los sistemas y las medidas implementadas en ese momento resultaron ser insuficientes» y desde entonces ha revisado su infraestructura de autenticación.

El caso Vodafone no es un incidente aislado. Refleja un patrón que se extiende mucho más allá de las telecomunicaciones. A medida que las empresas implementan agentes de IA y sistemas conectados en toda la infraestructura orientada al cliente, los controles de autenticación que rigen lo que esos sistemas pueden acceder se han convertido en la primera línea de la responsabilidad regulatoria. Los totales de aplicación del GDPR han superado los 5.880 millones de euros desde 2018, y los reguladores se están centrando cada vez más en si las organizaciones tenían la infraestructura de gobernanza adecuada para prevenir incidentes, no solo en si respondieron a ellos.

La dirección de los propios reguladores es clara. La Comisionada del BfDI, Louisa Specht-Riemenschneider, afirmó que su motivación es «garantizar que las violaciones de la protección de datos no ocurran en primer lugar», añadiendo que «la protección de datos es un factor de confianza para los usuarios de servicios digitales y, por lo tanto, puede convertirse en una ventaja competitiva». Ese enfoque, la prevención sobre la respuesta, es el estándar que las empresas deberían estar construyendo ahora, antes de que comience la aplicación de la Ley de IA de la UE en agosto de 2026.

«La acción de cumplimiento de Vodafone de 2025 es una señal que las empresas no pueden permitirse ignorar en 2026. Los reguladores no están esperando una brecha para activar la aplicación. Están examinando los controles que deberían haberla prevenido. A medida que las organizaciones implementan más agentes de IA y servicios conectados, los controles de autenticación que rigen lo que esos sistemas pueden alcanzar se convierten en un requisito regulatorio, no solo en una buena práctica de seguridad. La auditoría llegará. La pregunta es si su postura se mantendrá cuando lo haga.» Roey Eliyahu, CEO y cofundador, Salt Security

Lo que los reguladores esperan que las organizaciones demuestren

Basándose en el patrón de las acciones de cumplimiento del GDPR que involucran vulnerabilidades de sistemas conectados, Salt Security ha identificado tres capacidades que los reguladores esperan que las organizaciones demuestren:

  • Inventario completo de agentes y sistemas conectados: La capacidad de mostrar qué agentes de IA, sistemas conectados y servicios de integración existen en el entorno, qué requisitos de autenticación conlleva cada uno y cuándo fue la última revisión de cada uno. Los reguladores han citado constantemente la ausencia de un inventario sistemático como prueba de controles inadecuados según el Artículo 32 del GDPR.
  • Monitoreo de comportamiento en tiempo real en toda la pila conectada: Evidencia de que la actividad en los agentes de IA y los sistemas conectados se monitorea continuamente en busca de comportamientos anómalos, y no se revisa periódicamente a posteriori. En el caso de Vodafone, las vulnerabilidades de autenticación estaban presentes antes de su detección, creando una ventana de exposición para los datos de los clientes antes de que se identificara y remediara el problema.
  • Rastro de auditoría de las acciones y el acceso al sistema: La capacidad de producir un registro completo de qué sistemas fueron accedidos, por quién o por qué agente, cuándo, y si ese acceso fue debidamente autenticado y autorizado. Las organizaciones que no pueden reconstruir esta línea de tiempo cuando los reguladores lo solicitan se enfrentan a una responsabilidad agravada.

La plataforma de seguridad de agentes de Salt Security aborda los tres requisitos. La plataforma proporciona descubrimiento continuo de agentes, servidores MCP y sistemas conectados a través del Agentic Security Graph, monitoreo de comportamiento que detecta patrones de acceso anómalos contra líneas de base establecidas, y la gestión de la postura y el rastro de auditoría que los equipos de cumplimiento necesitan antes de que se inicie una investigación, en lugar de después.

«Los fallos de autenticación en los sistemas empresariales de agentes y conectados se encuentran entre las brechas de gobernanza más comunes y trascendentales que vemos en los entornos empresariales. La acción de cumplimiento de Vodafone es un recordatorio de que encontrar estas brechas después de una acción regulatoria no es el objetivo. Construir la visibilidad y la infraestructura de gobernanza para encontrarlas primero sí lo es.» Michael Callahan, Vicepresidente de Estrategia Cibernética, Salt Security

La Dirección Regulatoria General

La multa a Vodafone se produce tras una acción de cumplimiento de 42 millones de euros contra la teleco francesa Free Mobile por una brecha que expuso 24 millones de registros de clientes, y refleja una dirección regulatoria consistente: rendición de cuentas por los resultados en el mundo real de los sistemas conectados, no solo por la documentación de la intención. La Ley de IA de la UE, cuya aplicación comienza en agosto de 2026, añade requisitos de gobernanza específicamente para los sistemas de IA que interactúan con datos y servicios empresariales. Las leyes de gobernanza de IA a nivel estatal en Colorado, California y Texas están estableciendo marcos de rendición de cuentas similares en Estados Unidos.

Las empresas que tratan la gobernanza de la autenticación en sus sistemas conectados y agénticos como una preocupación de desarrollo en lugar de una preocupación de cumplimiento están operando con una suposición regulatoria que los reguladores ya no sostienen.

Volver a comunicados de prensa