En el ámbito de la ciberseguridad, la inteligencia artificial (IA) se ha transformado en un arma de doble filo. Mientras empresas e instituciones la utilizan para detectar y responder más rápido ante ataques, los delincuentes informáticos la aprovechan para lanzar ofensivas más sigilosas, automatizadas y peligrosas.
Actualmente, los sistemas de seguridad potenciados con IA operan a una velocidad inalcanzable para los humanos. Analizan millones de datos en tiempo real, detectan patrones sospechosos antes de que una amenaza se concrete y en algunos casos, neutralizan ataques sin necesidad de intervención humana. Estas herramientas abarcan distintos niveles de la infraestructura digital. Hay soluciones a nivel de red, endpoints, monitoreo de aplicaciones o firewalls de última generación.
Dentro del arsenal defensivo, el aprendizaje automático (machine learning en inglés) se ha consolidado como la tecnología más disruptiva dentro del campo de la ciberseguridad. Mediante el uso de machine learning es posible entrenar algoritmos para identificar de forma automática malware y amenazas desconocidas a partir del análisis de patrones históricos y comportamientos anómalos.
La IA aporta automatización, capacidades de correlación avanzada, permitiendo detectar y anticipar amenazas a partir de grandes volúmenes de datos y un gran velocidad de reacción para contenerlas. Entre sus principales aplicaciones se incluyen, entre otras:
-
Detección automatizada de comportamientos anómalos en dispositivos y aplicaciones
-
Clasificación automatizada de correos para detección de phishing y campañas maliciosas
-
Monitoreo continuo de accesos y tráfico en la red
-
Reducción de falsos positivos y priorización de incidentes críticos
-
Análisis predictivo de ataques mediante patrones históricos
-
Análisis comportamental para creación de perfiles y detección de anomalías
-
Respuesta en tiempo real ante amenazas sin intervención humana
La democratización del cibercrimen
Pero del otro lado, los criminales también tienen inteligencia artificial. Hoy no se trata solo de lanzar un ataque, sino de vulnerar defensas intermedias y evadir controles de forma automatizada. Numerosos informes confirman esta tendencia global.
En Uruguay, al phishing tradcicional se le ha sumado el uso de Deepfakes generados con IA, para fraudes y suplantación de identidad. Más recientemente, se ha sumado también el vishing, en el que se emplean falsificaciones de voz para solicitar rescates y videos manipulados recomendando falsas oportunidades de inversión en nombre de organizaciones o figuras públicas.
La ingeniería social también se ha automatizado. Los atacantes están generando campañas extremadamente personalizadas, lo que se conoce como spear phishing, simulando conversaciones reales o correos internos. Herramientas como GhostGPT o WormGPT —versiones oscuras de los modelos generativos tradicionales— permiten redactar mensajes convincentes, reduciendo incluso las barreras lingüísticas y culturales. Hoy el atacante puede estar en Rusia o Bangladesh y aún asi sonar como un compañero de oficina.
El ecosistema criminal ha industrializado el Ransomware-as-a-Service (RaaS), plataformas que automatizan desde la infección y el cifrado de datos hasta la negociación con la víctima y el cobro en criptomonedas. En este contexto, la IA amplifica la escala y la efectividad de estas operaciones, reduciendo las barreras técnicas para los atacantes y aumentando la sofisticación de las campañas. Muchas veces también desarrollan exploits y malware evasivo, programas maliciosos capaces de adaptarse dinámicamente para evadir la detección.
En investigaciones previas, investigadores de la Universidad de Illinois y un equipo de Google/DeepMind demostraron que la IA también es capaz de detectar vulnerabilidades de día cero y generar automáticamente los exploits necesarios para vulnerarlas. Esto es especialmente preocupante en América Latina: donde en las empresas la tasa de parcheo es muy baja.
En conclusión, el cambio más peligroso que trajo la IA en el cibercrimen es la reducción de los tiempos y costos asociados al diseño de ataques personalizados. Herramientas y técnicas antes sofisticadas ya no son exclusivas de grandes grupos de cibercrimen como LockBit, Akira o Clop –entre muchos otros–. Están al alcance de cualquier ciberdelincuente, lo que ha democratizado el cibercrimen.
¿Qué pueden hacer las empresas para defenderse?
No hay respuestas simples, pero sí acciones concretas: En primer lugar, adoptar herramientas de IA defensiva para igualar la velocidad del atacante: soluciones de detección y respuesta (EDR/NDR/SIEM) con análisis de comportamiento y correlación automática integradas con threat intelligence en tiempo real.
Segundo, fortalecer los controles tradicionales de seguridad, como la autenticación multifactor, la gestión de vulnerablidades basada en riesgos, la segmentación de red y mínimos privilegios, las políticas internas de reconocimiento de deepfakes y monitoreo de comportamiento inusual.
Por último, es imprescindible reducir el riesgo humano: formar a los equipos y robustecer procesos que no dependan de la memoria individual, sino de hábitos, procedimientos documentados, automatización y controles por defecto. Así se previenen errores, se acelera la respuesta ante ataques y se reduce el impacto de amenazas automatizadas. Las personas son el eslabón más importante de la cadena y precisamente por ser humanas, también el más vulnerable. Es importante protegerlas sin esperar que sean infalibles.