Protegerse de la IA ofensiva: la seguridad tal y como la conocemos está dejando de existir
- Opinión
Diego León, CEO de Flameera, detalla en esta columna de opinión el complejo momento en que vivimos en torno a las últimas versiones de la inteligencia artificial, la generativa y la agéntica. Pese a los riesgos asociados a su implantación y a su uso como arma ofensiva, con ejemplos de ataques reales y complejos realizados al completo por una IA, las empresas están abocadas a su implantación.
Por Diego León, CEO de Flameera
Hace unos días se identificó la operación JadePuffer, un ataque de ransomware operado de principio a fin por una inteligencia artificial. Esta IA realizó el reconocimiento del objetivo, penetró a través de un sistema vulnerable, buscó y robó contraseñas, se movió lateralmente a otros sistemas, consiguió permisos de administración y finalmente cifró los datos de la compañía. Durante el proceso, la IA se adaptó automáticamente al entorno y los fallos que se fue encontrando, corrigiendo sus pasos en segundos, y continuando con el ataque sin descanso. Tenemos que asumirlo: ya no sólo competimos contra simples herramientas automáticas, como veníamos haciendo hasta ahora, sino contra agentes de IA maliciosos con capacidad para razonar, decidir y adaptarse continuamente durante el ataque.
Esta realidad se ve reflejada en la nueva guía emitida por el Centro Criptológico Nacional, adscrito al Centro Nacional de Inteligencia (CNI), sobre Inteligencia Artificial Ofensiva. En la guía BP/36 se deja claro que la IA está dando a los criminales capacidad para “acelerar, escalar y automatizar técnicas ya conocidas, reduciendo drásticamente los tiempos entre la identificación de una vulnerabilidad y su explotación.” Es decir, la IA se está convirtiendo en un multiplicador de capacidades ofensivas que desestabiliza la balanza en contra del defensor, sobre todo, por la escala y velocidad que genera.
Con la aparición de nuevas tecnologías siempre aparecen oportunidades, pero también nuevos riesgos derivados. En el mundo de la ciberseguridad, muchas compañías estaban acostumbradas a revisar sus redes de vez en cuando, habitualmente una vez al año. Sin embargo, ya hace años que venimos recomendando sustituir ese enfoque puntual por procesos de revisión y monitorización continuas. La pregunta es sencilla: ¿de qué sirve hacer una foto al año si cada mes aparecen decenas de miles de nuevas vulnerabilidades, técnicas de ataque y nuevas formas de engañar a empleados y sistemas? Con la IA ofensiva, esta discusión ha quedado cerrada: si no revisas, priorizas y monitorizas tus sistemas de forma permanente, no estás haciendo seguridad al ritmo que exige la amenaza actual.
Es importante entender, además, que el uso ofensivo de la IA no sólo se limita a agentes autónomos. Otro de los usos principales es la creación de campañas de phishing hiperpersonalizadas, basadas en datos reales y con capacidad de suplantar voces, generar imágenes falsas, o incluso manipular vídeos en tiempo real. El engaño ya no tiene por qué parecer genérico, ni estar mal escrito o ser fácilmente detectable. Ahora puede ser preciso y altamente creíble.
En el otro extremo, y complicando todavía más el escenario para las empresas, muchos directivos temen perderse la ola de la inteligencia artificial. Esto lleva a la toma de decisiones estratégicas precipitadas, y a la implementación prematura e incorrecta de modelos de IA en los procesos corporativos. De nuevo, los atacantes buscan rápidamente los fallos de implementación para acceder a información sensible o manipular sistemas. Un ejemplo claro es el prompt injection, una técnica mediante la que el atacante consigue que una IA ignore sus reglas de seguridad y realice acciones no deseadas, como revelar datos confidenciales, ejecutar instrucciones indebidas o actuar fuera del contexto previsto. El problema no está en usar IA, sino en incorporarla sin gobierno, sin controles y sin una evaluación continua de sus riesgos.
La respuesta, desde luego, no es volver al miedo ni paralizar la innovación. Simplemente debemos cambiar la función de seguridad, asumiendo la necesidad de un modelo que sustituye el trabajo puntual por procesos continuos. Empresas como Flameera nacieron con esta visión para proteger a sus clientes, asumiendo desde hace años que el riesgo cambia a diario, que la protección debe cambiar con él, que se deben priorizar continuamente los riesgos identificados y que, además, hay que monitorizar 24/7 los sistemas corporativos.
En resumen, la IA ofensiva no elimina los fundamentos de la seguridad, pero sí los hace más urgentes. En el contexto actual la seguridad debe dejar de entenderse como una acción puntual para convertirse en una capacidad operativa permanente de las empresas, tan necesaria como atender a los clientes, facturar o garantizar la continuidad del negocio.