El juego de la ciberseguridad sigue siendo el mismo: defenderse de un ejército fantasma ávido de datos y sistemas con los que extorsionar, defraudar, robar, manipular o alterar instituciones y personas. Pero el tablero está cambiando. Atacantes soportados por Estados emergentes que hasta ahora no eran significativos se van incorporando y la hiperconexión de empresas y usuarios con un entorno cada vez más digitalizado deja miles de frentes abiertos —principalmente infraestructuras críticas, educativas y sanitarias—, en los que ya no valen las defensas clásicas. Y también hay nuevas reglas. Defensores y atacantes ya no tiene un dado de caras limitadas que condicionan sus estrategias. La inteligencia artificial (IA) se ha sumado para aportar una herramienta versátil, mutante y adaptable, capaz de multiplicar las opciones del juego.

A principios de este mes, la empresa de aguas de Sevilla (Emasesa), con más de un millón de usuarios, envió está advertencia: “Emasesa [la empresa de aguas de Sevilla con más de un millón de usuarios] ha detectado intentos de suplantación de identidad mediante el envío de correos electrónicos falsos dirigidos a algunos de sus proveedores. En estos correos, ciberdelincuentes se hacen pasar por empleados de la compañía, generalmente del área Financiera o de Contratación, con el objetivo de: obtener información sobre facturas o pagos pendientes, suplantar al proveedor para desviar pagos legítimos a cuentas fraudulentas y exigir pagos por conceptos falsos, como anuncios vinculados a licitaciones adjudicadas”.

Es un ejemplo de la situación actual. Cada semana bancos, entidades de crédito y todo tipo de instituciones envían advertencias similares. La hiperconexión, con proveedores, usuarios y estructuras internas dependientes de plataformas digitales, hace que cada interacción, aunque sea con un simple correo o con un aparato conectado, sea una potencial puerta de entrada donde caza la inteligencia artificial. “La irrupción de la IA como herramienta tanto de defensa como de ataque ha modificado la ciberseguridad para siempre. Además, el continuo aumento y aceleración del internet de las cosas supone que todo es inteligente: tu reloj, tu frigorífico, tu tostadora, todo. Estas son las dos cosas fundamentales que creo que han cambiado y continúan cambiando”, resume Rupal Hollenbeck, presidenta saliente de Check Point durante el encuentro internacional celebrado en Viena (CPX).

Los atacantes, que cada vez dejan menos rastros, aprovechan la “complejidad e interdependencia de las cadenas de suministro globales” para explotar las vulnerabilidades, por lo que “los proveedores externos [especialmente de infraestructuras críticas] se han convertido en una vía para los ataques a la cadena de suministro”, según advierte el Foro Económico Mundial (FEM) en su Global Cybersecurity Outlook 2025.

El departamento de investigación de la compañía de ciberseguridad Check Point precisa que son los sectores de educación (+75%) y salud (+47%), por su ingente, disperso e irregularmente protegido número de usuarios y proveedores, los más afectados por “un notable aumento en los ataques de ransomware [secuestro y extorsión]”. Google, con otra de las mayores divisiones de ciberdefensa (Mandiant) también señala un aumento del 50% en los ataques a centros sanitarios año a año. “El impacto de estos deben ser tomados en serio como una amenaza a la seguridad nacional, sin importar la motivación de los actores detrás de ellos”, advierte Mandiant en un informe desvelado este miércoles.

Lo confirma Hollenbeck: “Los piratas informáticos atacan muy inteligentemente esas industrias donde hay grandes cantidades de datos ciudadanos y áreas donde residen las poblaciones más vulnerables. La gente cree que los servicios financieros deben ser la industria más atacada porque pensamos que es donde está el dinero, pero la mejor manera de piratear y obtener información es a través de los sistemas que tienen los datos más amplios de los ciudadanos. Una vez que los tienes, puedes ir a atacar su cuenta bancaria, otras instituciones más grandes y luego, por supuesto, los servicios financieros”

Cambio de estrategia

“Ya no se trata solo de alcanzar o reaccionar a las amenazas”, explica Dan Karpati, vicepresidente de tecnologías de IA en Check Point. La situación actual, el cambio de reglas que ha impuesto la incorporación de la IA al mundo hiperconectado, exige otra estrategia: la ciberseguridad autónoma, aprovechar las capacidades de esta herramienta para monitorizar, prevenir y actuar desde cualquier punto de la malla de la red (hybrid mesh) de forma permanente en microsegundos. “Poner la fuerza donde se necesita en cada momento”, resume Nataly Kremer, jefa de producto en la misma compañía.

El gran salto de la IA para convertirse en arma de ataque y defensa es su capacidad de programar, de escribir el código para que la máquina ejecute una acción a partir de un simple comando de voz o por aprendizaje propio del sistema. “Esto es realmente muy poderoso tanto para el lado bueno como el malo”, advierte Karpati.

Para los malos, la IA permite, a coste casi cero y con muchas menos habilidades que hace dos años, lanzar campañas masivas de phishing [mensajes o códigos QR falsos] hiperrealistas, deefakes [falsedades indetectables] y suplantación de identidad. Para los buenos, las nuevas habilidades de los sistemas abren la senda a los agentes de seguridad, robots que planifican y ejecutan soluciones complejas en nombre del usuario, con la mínima intervención de este y en cualquier momento.

Maher Yamout, analista principal de seguridad en la división GReAT de la empresa Kaspersky, añade un elemento más: “Los expertos en ciberseguridad deben usar esta herramienta [la IA] con precaución, asegurándose de que su implementación no abra nuevas vías de explotación accidentalmente”.

Con todas las cautelas, la IA ha revolucionado este sector; puede programar, revisar los códigos de defensa o ataque, llevar a otros elementos de la red a actuar y reprogramarse, simular o revisar en segundos que las tareas respetan las normas internas y externas. Karpati no cree que este horizonte de automatización suponga la eliminación del componente humano, que considera clave para la evolución de los sistemas.

Vidas en riesgo

Pero en el juego no solo han cambiado las reglas. Al tablero se han incorporado nuevos agentes. “El último informe de seguridad”, según detalla Hollenbeck, “detectan un aumento en ciertas áreas que normalmente han sido desatendidas. Hemos visto un tremendo crecimiento, desafortunadamente, en África y en muchas otras partes emergentes del mundo, como Europa del Este y zonas del sudeste asiático y América Latina, donde hay más víctimas y atacantes”, añade.

Esta nueva realidad no quiere decir que los antiguos actores y los Estados que los sustentan hayan reducido su actividad. Bitdefender ha publicado recientemente una investigación sobre una campaña activa de Lazarus Group (APT38), vinculado a Corea del Norte, dirigida a organizaciones y diseñada para robar credenciales y lanzar programas maliciosos a través de falsas ofertas de trabajo de LinkedIn.

Del mismo modo, Mandiant, la división de seguridad de Google, señala en su último informe como los cuatro grandes Estados de la ciberdelincuencia (Rusia, China, Irán y Corea del Norte), no solo han recurrido a ella para operaciones de espionaje y desestabilización, sino también con motivaciones económicas. Es el caso del grupo APT41, al que le atribuyen el patrocinio chino y que mezclan el secuestro con fines financieros y la recopilación de datos para los servicios de inteligencia.

Al igual que Check Point, Mandiant también resalta el incremento de ataques a infraestructuras críticas, tanto de suministros como del ámbito sanitario y social, con el fin de “erosionar la confianza pública y desestabilizar servicios esenciales que pueden llegar a costar vidas”. En este sentido, el informe de la unidad de Google recuerda un estudio de la Escuela de Salud Pública de la Universidad de Minnesota-Twin Cities (EE UU) que señala: “Cuando se produce un ataque de ransomware [que afecta a un centro sanitario], la mortalidad intrahospitalaria [pacientes ya ingresados] aumenta entre un 35% y un 41%”.