Resumir, corregir o diseñar son algunas de las muchas tareas que hoy se pueden resolver con ayuda de la Inteligencia Artificial. Aunque la mayoría de personas suelen utilizar esta herramienta con fines profesionales o académicos, también están quienes se aprovechan de su alcance para actos delictivos.
Anteriormente los ataques o intentos de estafa se podían descubrir por errores en la ortografía o redacción; sin embargo, “el principal cambio que ha traído la IA al panorama de la ciberseguridad no es la aparición de amenazas completamente nuevas, sino la sofisticación, velocidad y escalabilidad de las ya existentes”, destacó Adriann Cortés, CSO De Edu Labs.
El experto afirmó que actualmente los riesgos más preocupantes se concentran en tres frentes. El primero de ellos es el fraude automatizado y personalizado a gran escala, que consiste en crear campañas de suplantación de identidad digital personalizadas en segundos. “Ya no se trata de correos con errores evidentes, sino de mensajes redactados con coherencia, tono profesional y referencias específicas al entorno laboral o personal de la víctima”, indicó Cortés.
Otro tema que genera alerta es la suplantación de identidad mediante deepfakes, que consiste en la clonación de voz y la generación de video sintético para simular la identidad de un directivo, un familiar o una figura pública. En el entorno corporativo ya se han registrado casos donde empleados autorizan transferencias millonarias tras recibir llamadas que replicaban con precisión la voz de sus superiores.
A lo anterior se suma la producción masiva de contenido falso: noticias, audios, imágenes y videos, que representan un riesgo no solo financiero sino social y político, al erosionar la confianza pública y dificultar la verificación de la información.
“En términos estructurales, el mayor desafío es que la IA reduce los costos del atacante y aumenta su alcance. Un solo actor puede lanzar miles de ataques creíbles en minutos”, añadió Cortés.
En esto coincide Rafael Páez, director de la maestría en Seguridad Digital de la Universidad Javeriana, quien agregó que siempre vale la pena sospechar de situaciones en las que se requiera una acción inmediata, como envío de dinero o la solicitud de llevar objetos de valor a un sitio determinado, así como evitar dar información confidencial o privada por vía telefónica, redes sociales o correo electrónico.
“La IA en ciberseguridad es una herramienta y, como tal, se puede utilizar para proteger o para atacar. Generalmente las empresas con mayores recursos pueden adoptar y adaptarse rápidamente a estas nuevas tecnologías, por eso es importante democratizar la ciberseguridad, como lo indica el Foro Económico Mundial, para que no sólo las grandes empresas puedan estar protegidas, sino que estas capacidades puedan llegar incluso hasta el usuario final”, destacó el académico.
Estafas más sofisticadas
La ciberseguridad dejó de concentrarse principalmente en la infraestructura para adoptar un enfoque cada vez más socio-técnico y basado en riesgo, porque la IA amplió el “campo de ataque” hacia algo que tradicionalmente era más difícil de explotar a escala: la confianza humana, explicó Marco Emilio Sánchez, coordinador de la especialización en Inteligencia Artificial y Derecho Digital de la Universidad Católica de Colombia.
Si antes el fraude telefónico dependía de guiones, acentos, improvisación y tiempo, hoy la IA habilita automatización, personalización y realismo en la manipulación. Esto ha desplazado el hackeo clásico hacia lo que podría llamarse ataques de ingeniería social aumentada por IA, “donde el objetivo ya no es romper un sistema, sino hacer que una persona o un proceso de negocio ejecute una acción legítima pero indebida”, resaltó Sánchez.
Sin embargo, advirtió que hay que evitar el alarmismo, pues una palabra aislada capturada en una llamada breve no suele ser suficiente para generar una clonación sofisticada. “El riesgo no es automático ni instantáneo, depende del contexto, información previa y finalidad económica del atacante”, y explicó que las llamadas que se cortan inmediatamente suelen usarse para verificar números activos o construir bases de datos.
David López Agudelo, vicepresidente de ventas para Latinoamérica de AppGate, añadió que los ciberdelincuentes han logrado emular a las personas para realizar suplantaciones de identidad y obtener datos personales, financieros y empresariales, poniendo en riesgo la integridad de individuos y organizaciones. Esta técnica está redefiniendo la manera en que se perpetran ataques en sectores estratégicos como el financiero, gubernamental y de telecomunicaciones.
Los especialistas coincidieron en que las amenazas basadas en IA son más difíciles de detectar porque eliminan señales rudimentarias de fraude, incorporan contexto real para reducir anomalías, explotan debilidades en autenticación informal y operan con baja frecuencia y alta personalización, por lo que la defensa ya no puede centrarse únicamente en la detección de anomalías técnicas, sino en el rediseño de procesos de autorización, autenticación robusta y gobernanza del riesgo, integrando controles organizativos y verificación estructurada de identidad.
¿Cómo evitar riesgos?
En el entorno actual, la primera línea de defensa no es técnica sino humana, pues existen señales claras que cualquier persona puede aprender a identificar como una posible estafa. Entre ellas, las solicitudes atípicas de dinero o información sensible, pequeñas inconsistencias en la voz o el video, urgencia extrema o cambios en el canal habitual de comunicación.
Desde una perspectiva preventiva, la recomendación es implementar el principio de “verificación fuera de canal”, es decir, ante cualquier solicitud sensible, confirmar por un medio distinto y oficial antes de actuar.
Según Yefrin Garavito, profesor del programa de Criminología e Investigación Criminal de la Universidad del Rosario, los expertos en ciberseguridad tienen un nuevo rol más preventivo y estratégico. Ya no basta con responder a incidentes sino anticiparlos mediante el uso de inteligencia artificial defensiva, análisis masivo de datos, detección de deepfakes, monitoreo de comportamientos anómalos e inteligencia de amenazas en tiempo real.
Lo ideal es que el profesional debe combine capacidades técnicas avanzadas con análisis de riesgo, comprensión del comportamiento humano y habilidades de comunicación para educar a organizaciones y ciudadanos, ya que la ingeniería social sigue siendo uno de los principales vectores de ataque.
De igual manera, Garavito resaltó que la IA permitirá crear sistemas de defensa mucho más inteligentes, capaces de detectar fraudes y amenazas en segundos, incluso antes de que ocurran. “Estamos entrando en una etapa donde habrá más riesgos, pero también mejores herramientas para protegernos. Todo dependerá de qué tanto invirtamos en educación digital y en fortalecer la ciberseguridad. La IA no es el enemigo, es una herramienta poderosa, y el verdadero desafío es aprender a usarla mejor para defendernos de quienes intentan aprovecharla para delinquir”, concluyó.
