Esta semana se celebra el Día Mundial de la Ciberseguridad, un momento que nos permite reflexionar sobre cómo están evolucionando las amenazas en el ámbito digital. Desde que ChatGPT irrumpió públicamente en el mercado a finales de 2022, el impacto de la IA en la sociedad y los negocios ha sido muy importante. Y también esta influencia se evidencia en la industria de la ciberseguridad, pero afortunadamente podemos decir que, hasta ahora, ha beneficiado más a los departamentos de TI que a los delincuentes. Eso sí, hay que ser conscientes de que esta situación no durará para siempre.

Ahora mismo, entre los principales usos delictivos de la IA estarían los de actuar como asistente de codificación, es decir un apoyo para que los atacantes trabajen de forma más rápida y eficiente; como herramienta de investigación y recopilación de datos, para realizar búsquedas de información técnica o investigar posibles vulnerabilidades en la web; como solución para perfeccionar campañas de phishing, ayudando a redactar mensajes gramaticalmente perfectos o traducirlos a idiomas en los que los usuarios están menos acostumbrados a recibir estos ataques; o como tecnología para automatizar solicitudes de empleo fraudulentas, generando automáticamente currículos adaptados a las descripciones de los puestos, incluyendo historiales laborales creíbles, referencias y formación académica.

En este sentido, como ejemplo del tipo de ataques que estamos viendo, podemos destacar las estafas dirigidas a la contratación de desarrolladores o personal técnico en remoto. Los delincuentes utilizan “granjas de portátiles” a las que acceden para simular que trabajan desde un país o región no sospechosa. Desde allí llevan a cabo un trabajo legítimo y cobran su sueldo, pero aprovechan sus conocimientos técnicos para acceder a los sistemas de la empresa, robar propiedad intelectual o directamente fondos. Además, si finalmente se detecta el fraude, siempre pueden desplegar un ataque de ransomware clásico como vía adicional de monetización.

Mirando al futuro: la IA solo será más peligrosa

Una de las frases que más escuchamos en el mercado es la de que “esta de hoy es la peor versión de la IA que veremos”. Es decir, se trata de una tecnología que no hará más que mejorar.

Un estudio elaborado por el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ha analizado el impacto que puede tener la IA para la ciberseguridad de empresas e infraestructuras críticas hasta 2027. Como los ciberataques no conocen fronteras, sus conclusiones se pueden aplicar perfectamente a cualquier mercado europeo o global.

Así, la IA provocará un aumento en la frecuencia de los ciberataques, el uso de sistemas de inteligencia artificial en todos los ámbitos de la sociedad aumentará las superficies de ataque y, en definitiva, se abrirá una brecha cada vez mayor entre los sistemas que cuenten con defensas basadas en IA y los que no. Eso sí, el estudio no prevé que los ataques estén ya totalmente automatizados con IA para 2027: el factor humano seguirá teniendo un papel clave.

¿Qué estrategia hay que poner en marcha ante las amenazas generadas por la IA?

La clave está en que empresas e instituciones públicas sigan aplicando las mejores prácticas de higiene cibernética. Es decir, será fundamental mantener el software siempre automatizado, supervisar proactivamente las vulnerabilidades, implantar mecanismos de autenticación multifactor resistentes al phishing, asegurar los canales de comunicación para garantizar la higiene del correo electrónico y la colaboración entre empleados, aplicar un enfoque de Zero Trust, supervisar a los proveedores y la cadena de suministro (aunque una empresa lo esté haciendo bien, podría verse comprometida por acciones externas) y formar a los usuarios para que identifiquen amenazas generadas por IA de forma proactiva y se conviertan en el primer “cortafuegos” del negocio.

La buena noticia es que ya tenemos a nuestra disposición las soluciones y herramientas que pueden ayudar a hacer frente a todos estos nuevos retos, no solo para reaccionar cuando ocurre un ataque, sino para prevenirlo, detectarlo y neutralizar sus riesgos.

Por ejemplo, las empresas e instituciones ya pueden contar con herramientas que proporcionan análisis inmediatos y transparentes de correos electrónicos o de canales de comunicación como Microsoft Teams, siendo incluso capaces de identificar intentos de phishing camuflados en imágenes o códigos QR. Además, pueden recibir advertencias en momentos críticos y evitar fallos graves, como cuando un usuario está a punto de enviar información sensible o cualquier tipo de contenido a destinatarios erróneos. Y, por supuesto, son capaces de ofrecer a los empleados la formación en concienciación de seguridad que necesitan, llevando a cabo ejercicios y simulaciones de phishing que refuerzan buenos hábitos a través de la experiencia. Y es que no podemos olvidar que el error humano representa todavía el 95% de las brechas de seguridad.

En definitiva, es clave que los negocios estén preparados para operar en un contexto marcado por la evolución de las ciberamenazas potenciadas con IA y no dejen su seguridad en manos del azar. Deben apostar por estrategias avanzadas y adoptar un enfoque proactivo de la gestión de riesgos.