Hace tan solo unas semanas, el 2 de abril de 2026, ISC2 publicó una comunicación oficial sobre cómo la IA empieza a reflejarse en sus certificaciones, incluyendo el CISSP.
Como era esperable, el impacto fue inmediato, especialmente en candidatos que están en la recta final de preparación. Después de meses de estudio, encontrarse con este tipo de anuncios suele generar una duda bastante concreta: ¿hay que replantear todo lo que venían preparando?
En estos días varios candidatos me acercaron esta inquietud, y creo que es un buen momento para ordenarla.
Hace tiempo que la inteligencia artificial dejó de ser un tema emergente en seguridad de la información. De hecho, hoy forma parte del entorno operativo: interviene en procesamiento de datos, automatización de decisiones, exposición de información y también en la evolución de amenazas. Desde ese lugar, que ISC2 la incorpore como parte del contexto del examen no debería interpretarse como un cambio disruptivo, sino como una actualización esperable.
Cómo impacta la IA en el examen CISSP
La primera aclaración importante: la IA no modifica la estructura del CISSP. De hecho:
- No hay nuevos dominios.
- No se redefinió el CBK.
- No se evalúa conocimiento técnico profundo de modelos.
Lo que cambia es el tipo de escenarios sobre los cuales se aplican los mismos principios de siempre.
En la práctica, esto se traduce en algo bastante concreto. Los problemas pueden involucrar IA, pero la forma de analizarlos sigue siendo la misma:
- Un ataque de prompt injection remite a validación de entradas y diseño seguro.
- Una fuga de datos a través de herramientas generativas, expone fallas en clasificación, DLP y gobierno de la información.
- La incorporación de modelos en procesos de negocio introduce, principalmente, un problema de gestión de riesgo.
Es decir, cambia el contexto tecnológico, pero no el marco conceptual.
Hay un punto adicional que, en mi experiencia, explica buena parte del ruido generado. Tiene que ver con el perfil al que apunta el CISSP. En muchos casos, la inquietud aparece cuando el candidato no se piensa desde ese lugar. El CISSP no está orientado a perfiles junior ni a quienes estudian seguridad de forma aislada: requiere experiencia profesional y asume que el candidato está activo, que entiende cómo evoluciona la disciplina y que puede interpretar nuevas tecnologías dentro de un marco conocido. De hecho, no es la primera vez que el examen incorpora este tipo de cambios de contexto; ya pasó con cloud, mobile o incluso con vulnerabilidades más “clásicas” que, en su momento, aparecían en el examen antes de que los materiales de estudio para candidatos las incorporaran de forma explícita.
Por eso, para quien está por rendir, el impacto real es acotado.
No hay necesidad de cambiar la estrategia de estudio ni de reemplazar el material trabajado. Sí tiene sentido familiarizarse con terminología básica de IA y entender cómo esos conceptos se integran en los dominios del CBK, pero el núcleo del examen sigue siendo el mismo.
Conclusión
La inteligencia artificial ya es parte del campo de la ciberseguridad y, como tal, vale la pena profundizar en ella desde una perspectiva profesional, más allá del examen de CISSP propuesto por ISC2.
Sin embargo, en el contexto del CISSP, su incorporación no redefine el examen. Lo que se evalúa continúa siendo la capacidad de analizar escenarios, entender implicancias para el negocio y gestionar riesgos de manera adecuada.
Eso —con o sin IA— es exactamente lo que el CISSP siempre evaluó. La diferencia no está en la tecnología, sino en cómo se la interpreta desde el rol de quien gestiona el riesgo.
Si estás preparando el CISSP y esto te generó dudas, conviene no perder de vista lo central: interpretar escenarios y gestionar riesgos sigue estando por encima de la memorización de conceptos.
Comentarios recientes