Cómo la inteligencia artificial está alimentando ambos lados de la ciberseguridad
La inteligencia artificial (IA) está transformando rápidamente la ciberseguridad, no solo como una herramienta defensiva, sino como un arma en manos de los ciberdelincuentes. A medida que la IA combate contra la IA, los riesgos para la seguridad digital nunca han sido tan altos.
Es una escena familiar que ocurre todos los días en las empresas: un empleado recibe un correo electrónico que parece provenir de un colega de confianza y sigue las instrucciones sin pensarlo dos veces. Tal vez hace clic en un enlace, descarga un archivo o responde rápidamente, todas tareas rutinarias, hasta que, sin saberlo, abre la puerta a un ciberataque.
Con el 95 % de las violaciones de ciberseguridad causadas por errores humanos y el costo promedio de una brecha ahora superando los 4 millones de dólares estadounidenses, es un error simple y común, pero con grandes consecuencias.
Y no son solo las pequeñas empresas las que sienten la presión.
Solo este mes, ciberataques derribaron los sistemas de tres importantes minoristas del Reino Unido con pocos días de diferencia, un claro recordatorio de que las organizaciones de todos los tamaños deben estar preparadas.
Para el gigante minorista M&S, el ataque detuvo todos los pedidos en línea a través de su aplicación y sitio web, y eliminó mil millones de libras de su valor. Las previsiones sugieren que podrían pasar meses antes de que todo vuelva a la normalidad.
Días después del ataque a M&S, un incidente cibernético en desarrollo en Co-op obligó al minorista británico a desconectar algunos de sus sistemas informáticos para contener el ataque. Un día después, la tienda departamental de lujo Harrods se vio obligada a restringir el acceso a internet en sus instalaciones luego de un intento de acceder a sus sistemas.
Pero para muchos, la amenaza no es un hecho aislado: es implacable.
Amazon.com se defiende de más de 1.000 millones de ciberataques cada día, lo que equivale a más de 11.500 cada segundo.
“La velocidad y simplicidad de acceder a modelos de lenguaje grande y a la IA está desatando una era sin precedentes de amenazas cibernéticas, y los ciberdelincuentes solo se están volviendo más inteligentes”, dice Vladimir Vasilev, líder digital en Baker Tilly (República Dominicana).
¿Pero la buena noticia? Las defensas también se están volviendo más inteligentes.
“Desde la detección inteligente de amenazas hasta los filtros de correo electrónico adaptativos, las herramientas de ciberseguridad más efectivas hoy en día están impulsadas por IA que aprende, evoluciona y responde en tiempo real”, dice el Sr. Vasilev.
“El futuro de la seguridad no es humano contra IA, es IA contra IA.”
Chico malo
Las estafas en línea solían ser torpes y fáciles de detectar, pero la IA generativa ha cambiado eso, advierte el Sr. Vasilev.
“La IA ha potenciado la ingeniería social. Estamos hablando de correos electrónicos que imitan perfectamente a alguien en quien confías, sistemas que escanean en busca de vulnerabilidades y deepfakes que pueden manipular convincentemente tanto la vista como el sonido. Estas no son solo amenazas teóricas: están facilitando dramáticamente engañar a las personas para que entreguen datos o acceso sensibles.”
Según el Sr. Vasilev, plataformas como ChatGPT han transformado el panorama con su capacidad para generar texto fluido, similar al humano, a gran velocidad. “En manos equivocadas, eso significa estafas más creíbles, noticias falsas más virales e incluso clones de voz que pueden engañar al ojo o al oído más agudo.”
Y mirando hacia adelante, advierte que el verdadero punto de inflexión podría ser la IA autónoma. “Una vez que las máquinas comienzan a tomar decisiones de forma independiente, los riesgos aumentan significativamente. Estos incluyen actuar sin supervisión humana, ser vulnerables a ataques maliciosos, tomar decisiones sesgadas o defectuosas, crear incertidumbre en torno a la responsabilidad cuando ocurren errores y exponer los datos personales a un mayor riesgo.”
La IA es una espada de doble filo: las mismas herramientas que permiten a los ciberdelincuentes también se están utilizando para defenderse de ellos. “No se trata simplemente de la tecnología en sí: se trata de cómo, y por quién, se utiliza.”
Chico bueno
Las organizaciones que utilizan ampliamente la IA y la automatización en la ciberseguridad ahorran un promedio de 2,22 millones de dólares estadounidenses en comparación con aquellas que no lo hacen. Así que no es de extrañar que más de dos tercios de las empresas ahora dependan de la tecnología para detectar y detener ciberataques.
“La IA simplemente supera a los humanos cuando se trata de manejar y analizar volúmenes masivos de datos”, explica el Sr. Vasilev. “Y eso es exactamente lo que se necesita para mantenerse al día con las amenazas cibernéticas actuales.”
Estas herramientas no duermen.
Escanean en busca de anomalías, analizan patrones de comportamiento y responden en tiempo real, a menudo con una intervención humana mínima.
Al aprender cómo se comportan típicamente los usuarios, la IA puede detectar rápidamente lo inusual, bloqueando cuentas o alertando a los administradores antes de que se cause un daño real. El aprendizaje automático está impulsando software antivirus más inteligente, inteligencia de amenazas más precisa y defensas más rápidas y adaptativas.
“La IA se está convirtiendo rápidamente en el aliado más poderoso de la ciberseguridad”, dice el Sr. Vasilev. “En el futuro, podría ser capaz de predecir amenazas, corregir automáticamente vulnerabilidades e incluso desarrollar nuevas formas de defensa que aún no hemos imaginado.”
Pero dado que la misma tecnología que fortalece las defensas también empodera a los atacantes, el Sr. Vasilev advierte que las organizaciones deben evolucionar junto a ella: capacitando a los equipos para detectar amenazas impulsadas por IA, asegurando sus propios sistemas de IA y utilizando IA para defenderse de ataques impulsados por IA.
Pero hay un gran desafío: el talento.
“Solo alrededor del 12 % de los profesionales de ciberseguridad tienen formación formal en IA o aprendizaje automático”, señala el Sr. Vasilev.
“Esa es una brecha seria, porque para tener éxito en ciberseguridad hoy, no puedes ser solo un experto en seguridad: también necesitas ser un experto junior en IA. Necesitas entender los diferentes tipos de aprendizaje automático, saber cómo funcionan las herramientas de IA (y dónde fallan) y mantenerte actualizado sobre los crecientes riesgos y reglas en torno a la IA generativa. Ya no es opcional: es lo básico.”
Y la presión va en aumento. En medio de la escasez global de talento en ciberseguridad, muchas pequeñas empresas también están luchando por costear herramientas avanzadas de seguridad impulsadas por IA. Al mismo tiempo, un panorama regulatorio en constante evolución exige una actualización continua de habilidades, lo que impone presión adicional sobre recursos ya limitados.
“Es como correr en una cinta que nunca deja de acelerarse”, dice el Sr. Vasilev. “Agotador, pero esencial.”
Un acto de equilibrio
Para la mayoría de las empresas, los datos son su joya de la corona, y al usar IA, protegerlos debe ser una prioridad máxima, explica el Sr. Vasilev. “Eso significa establecer límites claros: no se debe ingresar información confidencial en herramientas de IA y los empleados necesitan orientación sobre qué es seguro compartir.”
“Es crucial crear conciencia entre tus empleados sobre los diversos métodos que los ciberdelincuentes usan para acceder a información sensible. Igualmente importante es entender cómo funcionan modelos como ChatGPT y cómo interactuar con ellos de forma responsable para evitar problemas como el envenenamiento de IA.”
La IA es poderosa: puede escribir, programar, analizar y automatizar, y está ayudando a innovar en industrias desde la educación hasta la atención médica y las finanzas. Pero no es infalible, dice el Sr. Vasilev.
“Piénsalo menos como un genio y más como un asistente brillante: increíblemente útil pero que requiere supervisión.”
“Usada sabiamente, puede desbloquear un enorme potencial, desde ayudarnos a trabajar más rápido e inteligentemente hasta generar nuevas ideas. Usada descuidadamente, puede causar riesgos graves.”
“En última instancia, cuanto más usemos la IA de forma consciente, mejor podremos aprovechar sus fortalezas mientras evitamos sus debilidades.”
La era de la responsabilidad
Con más de 170 regulaciones de protección de datos propuestas o promulgadas en los últimos dos años, está claro que ha comenzado la era de la responsabilidad en la IA, y las reglas se están endureciendo. “Los organismos reguladores en todo el mundo están implementando nuevos marcos y estándares para frenar el mal uso y promover una IA responsable”, dice el Sr. Vasilev.
La Ley de IA de la UE —la primera de su tipo— entró en vigor en agosto de 2024 y será plenamente aplicada en 2026, enfocándose en sistemas de alto riesgo con requisitos más estrictos.
En los Estados Unidos, el Instituto Nacional de Estándares y Tecnología ha desarrollado un marco de gestión de riesgos para gestionar mejor los riesgos asociados con la IA para individuos y organizaciones.
“Actualmente, no existe una regulación general que gobierne cómo debe desarrollarse la IA, pero aplicaciones específicas —particularmente aquellas que representan riesgos potenciales— están siendo cada vez más examinadas”, señala el Sr. Vasilev.
“Plataformas como TikTok y Meta ya se están adaptando mediante la implementación de herramientas para detectar y etiquetar contenido generado por IA, ayudando a los usuarios a identificar cuándo algo no es real.”
Inteligencia calculada
A medida que la IA redefine tanto las herramientas de defensa como las tácticas de ataque, la conciencia, la responsabilidad y la implementación inteligente son fundamentales.
Las organizaciones que invierten en comprender y guiar el uso de la IA —en ciberseguridad y más allá— estarán mejor posicionadas para aprovechar su potencial mientras se protegen contra sus riesgos.
“El futuro de la IA en los negocios no se trata solo de innovación; se trata de confianza, vigilancia y encontrar el equilibrio adecuado”, dice el Sr. Vasilev.
