Desde que la IA generativa se hizo ampliamente disponible, las cifras de ataques se han disparado. Según una investigación citada por Digi.no, Thomas Zuliani, ex director de seguridad de TI en varias empresas danesas, describe la mayor amenaza no como la sofisticación aislada, sino como la enorme escala en la que los atacantes pueden operar ahora.
De 16 horas a cinco minutos
Anteriormente, un ataque de phishing convincente y personalizado requería un esfuerzo humano significativo. Ahora, las herramientas de IA pueden producir un correo electrónico de phishing eficaz en unos cinco minutos, lo que equivale a una tarea que normalmente lleva a los expertos humanos 16 horas completar. Esto representa una ganancia de eficiencia de casi 192 veces, según los datos de investigación disponibles.
La consecuencia es que los actores de amenazas ahora pueden enviar 10.000 correos electrónicos únicos y altamente personalizados a un costo equivalente al de un solo ataque tradicional de spear phishing.
La IA automatiza el reconocimiento y el contenido
Muchos todavía creen que el phishing es fácil de detectar por la mala gramática o las formulaciones extrañas. Esa imagen está desactualizada. Los modelos de IA escanean fuentes abiertas —redes sociales, bases de datos filtradas, noticias de empresas— y utilizan esta información para producir mensajes gramaticalmente impecables y adaptados al destinatario.
Stephanie Carruthers, Directora Global de Cyber Range y Chief People Hacker de IBM, es directa en su evaluación: “Con muy pocas instrucciones, un modelo de IA puede escribir un mensaje de phishing adaptado específicamente para mí. Es aterrador”, según el material de investigación.
Los modelos de IA ayudan a los atacantes a pulir sus mensajes, haciéndolos más concisos y urgentes, y algo en lo que muchas más personas caen.
Los deepfakes ya no son un escenario futuro
El desarrollo tecnológico no se detiene en el texto. El comercio de herramientas de deepfake ha aumentado un 223 por ciento, y los deepfakes ahora representan el 6,5 por ciento de todos los ataques de estafa, un aumento de más del 2.100 por ciento desde 2022.
Las consecuencias pueden ser masivas. En febrero de 2024, un empleado de finanzas de la empresa de ingeniería Arup fue engañado para transferir 25 millones de dólares a estafadores después de participar en una videoconferencia en la que participaron deepfakes generados por IA del director financiero de la empresa y otros ejecutivos, aparentemente en vivo.
Los filtros se quedan atrás
Un problema grave para las empresas es que las herramientas de seguridad tradicionales detectan en menor medida el contenido generado por IA. Krishna Vishnubhotla, vicepresidente de estrategia de producto en Zimperium, señala que muchos de los filtros de phishing comunes simplemente no se activan porque los mensajes carecen de las señales de advertencia clásicas.
Además, no solo los empleados no capacitados se ven afectados. Casi dos tercios de los gerentes de TI y seguridad han admitido haber caído en intentos de phishing. Los ataques de spear phishing impulsados por IA, según el material de investigación, tienen una tasa de éxito del 47 por ciento contra expertos en seguridad capacitados.
¿Qué están haciendo ahora los responsables de seguridad?
Según Digi.no, líderes de seguridad experimentados como Thomas Zuliani se están preparando asumiendo que la capacidad de los atacantes ha cambiado fundamentalmente, no solo tecnológicamente, sino operativamente. La escala es el nuevo problema: no se trata de detener un ataque sofisticado, sino potencialmente decenas de miles simultáneamente.
El investigador Mark Stockley de Malwarebytes, citado por MIT Technology Review, cree que la dirección es clara: “Vamos a vivir en un mundo donde la mayoría de los ciberataques serán realizados por agentes. La única pregunta es qué tan rápido llegaremos allí.”
Para las empresas noruegas y nórdicas, el panorama es el mismo que a nivel global: la IA reduce el umbral para quienes pueden llevar a cabo ataques avanzados y eleva las expectativas de lo que una defensa debe soportar.