La inteligencia artificial (IA) ha llegado para quedarse en el mundo de la ciberseguridad, pero no solo como una herramienta de defensa. Su impacto más profundo y preocupante está en cómo está transformando la velocidad y la naturaleza de los propios ataques. Entramos de lleno a la era de los ataques con IA.
Como bien señala Guy Segal, CEO de Sygnia, el problema central no es que los atacantes escriban mejores correos de phishing. El problema principal es que la IA está comprimiendo los tiempos de reacción hasta un punto que muchos equipos de seguridad no estaban preparados para manejar.
Esto nos lleva a una pregunta crítica para cualquier organización: ¿cómo adaptar la respuesta a incidentes a la era de los ataques con IA? La respuesta no es solo técnica. Implica un cambio profundo en la gobernanza, la toma de decisiones y la preparación de los equipos.

El Problema de los ataques con IA es un Desfase Temporal
Durante años, los equipos de seguridad han operado bajo una secuencia familiar. Detectar una actividad sospechosa, investigar, validar la amenaza, escalar a los líderes, decidir la contención y comunicarse con las partes interesadas. Este modelo funcionaba bajo el supuesto de que los defensores tenían tiempo suficiente para construir confianza antes de tomar medidas drásticas.
Los ataques habilitados por IA rompen este supuesto. Los adversarios ahora pueden usar la IA para acelerar el reconocimiento, generar ingeniería social hiperpersonalizada, modificar malware, probar cargas útiles, resumir datos robados e identificar vulnerabilidades en cuestión de minutos. Estas capacidades comprimen drásticamente el tiempo entre la orientación inicial y el impacto en el negocio. En muchos casos, los defensores ya no tienen el lujo de esperar a tener una imagen completa del incidente antes de escalar o contener.
La pregunta ya no es solo «¿Podemos detectar el ataque?», sino «¿Podemos tomar la decisión correcta con la suficiente rapidez?». Esta pregunta no puede ser respondida únicamente por el centro de operaciones de seguridad (SOC). Requiere una alineación entre el CISO, el liderazgo ejecutivo, los equipos legales, de comunicaciones, de riesgo y de cumplimiento, e incluso el consejo de administración.
Suposiciones que ya no son Válidas
Varias suposiciones arraigadas en los programas de seguridad tradicionales están empezando a fallar. Entender cómo adaptar la respuesta a incidentes a la era de los ataques con IA implica reconocer y actuar sobre estos cambios:
La Ingeniería Social se ha Vuelto un Proceso Industrial.
La IA ha hecho que los ataques de phishing sean más creíbles y escalables. Los atacantes ya no necesitan correos genéricos. Pueden usar información pública, datos filtrados y el contexto interno de la empresa para crear mensajes que imitan el estilo de escritura del CEO. O hacen referencia a proyectos reales.
La suposición de que los empleados pueden distinguir un correo legítimo de uno malicioso por el tono o el contexto ya no es fiable.
La solución es normalizar procedimientos de verificación para acciones sensibles. Por ejemplo, aprobaciones de pagos o cambios de proveedores, y tratar esta verificación como un control estándar, no como una desconfianza.
La Identidad Ejecutiva es Parte de la Superficie de Ataque.
Los ejecutivos siempre han sido objetivos, pero ahora también se están convirtiendo en instrumentos de ataque. La voz sintética, los deepfakes de video y el texto generado por IA facilitan la suplantación de su identidad para presionar a los empleados a eludir los controles.
Proteger la identidad ejecutiva ya no es solo asegurar sus cuentas, sino evitar que su imagen, patrones de comunicación y autoridad sean abusados. Esto requiere procedimientos de verificación fuera de banda para solicitudes urgentes. También se requiere una formación específica para los equipos más propensos a recibir estas comunicaciones (asistentes, finanzas, soporte IT).
La Adopción de IA Expande la Superficie de Ataque del Defensor.
No solo los atacantes usan IA. Las organizaciones están integrando IA en sus propias herramientas de productividad, servicio al cliente y desarrollo de software. Esto crea nuevas preguntas de riesgo: ¿Qué datos empresariales pueden acceder estas herramientas? ¿Pueden los sistemas de IA desencadenar acciones de negocio? ¿Cómo se investigaría un uso malicioso de un flujo de trabajo habilitado por IA?
La gobernanza de la IA debe integrarse en la ciberseguridad, y no tratarse como una pista de innovación separada.
Replantear la Detección y la Respuesta ante los ataques con IA
Para hacer frente a este nuevo panorama, las estrategias de detección deben pasar de basarse en indicadores estáticos a ser más conductuales.
En lugar de preguntar solo «¿Hemos visto este indicador antes?», los defensores deben plantear nuevas preguntas. Ejemplo: «¿Es normal este comportamiento de inicio de sesión para este usuario?». O «¿Es este patrón de acceso a datos inusual?». También puede ser: «¿Es típica esta actividad en la nube?». Esto requiere una telemetría más sólida a través de identidad, endpoint, nube, correo electrónico y plataformas SaaS. Así mismo es necesaria una correlación más rápida entre estos entornos.
De manera similar, la respuesta a incidentes debe ensayarse para la incertidumbre. Los ataques con IA no se desarrollan de forma lineal. Los equipos pueden enfrentarse a escenarios donde la organización está bajo ataque activo, la identidad del atacante es desconocida, las comunicaciones ejecutivas pueden ser falsas. El liderazgo debe decidir si aislar sistemas antes de que la investigación esté completa. Los ejercicios de simulación (tabletops) deben diseñarse para probar la toma de decisiones con plazos comprimidos e información incompleta. También deben incluir escenarios como suplantación de identidad por deepfake o compromiso de plataformas SaaS.
El Mensaje para los Líderes y el Consejo
Los líderes y los consejos de administración no necesitan entender los detalles técnicos del aprendizaje automático. Pero sí necesitan comprender cómo la IA cambia el riesgo cibernético. Deben entender que la IA puede aumentar la escala y credibilidad de la ingeniería social, reducir el tiempo disponible para la investigación, crear nuevos riesgos de terceros y gobernanza de datos, y requerir una toma de decisiones más rápida.
Las organizaciones que mejor se desempeñarán no serán necesariamente las que adopten la IA más rápido. Serán las que recalibren su gobernanza, identidad, detección y respuesta con la suficiente rapidez para resistir ataques a velocidad de IA. Este esfuerzo comienza con una propiedad y responsabilidad claras. Se precisan estructuras de gobernanza multifuncionales y el reconocimiento de que la resiliencia en la era de la IA depende de más que mejores herramientas. Depende de entender qué riesgos importan más, asignar una propiedad clara y preparar a los equipos de liderazgo para tomar decisiones de alto impacto antes de que el panorama completo esté disponible.
Conclusión
La aceleración de los ataques mediante IA no es una amenaza futura, es una realidad presente. Para las organizaciones, el camino a seguir no pasa solo por adquirir nuevas herramientas tecnológicas. Exige una profunda reevaluación de sus procesos, su gobernanza y su cultura de seguridad. La pregunta ¿cómo adaptar la respuesta a incidentes a la era de los ataques con IA? debe estar en el centro de cualquier estrategia de ciberseguridad moderna. La velocidad del atacante ya no da tregua. La velocidad de la respuesta y la claridad en la toma de decisiones son ahora los factores críticos.
Fuente: The Hacker News
Mira también esta nota
