Un día estás en el trabajo, te mandan un enlace de invitación a la llamada habitual para tu «daily» y todo parece normal. Sin embargo, y sin saberlo, has autorizado el acceso a las cuentas de tu empresa y no había absolutamente nadie más en esa reunión aparte de ti. Todo eran deepfakes generados por IA, entrenados con vídeo y audio.

No es una historia hipotética, es algo que le pasó a un empleado de Arup en 2024 para permitir una transacción confidencial que acabó suponiendo un agujero de 25 millones de dólares para la empresa. Atrás quedaron los tiempos de los correos electrónicos mal redactados o los príncipes nigerianos. Ahora, la Inteligencia Artificial ha hecho del phishing algo casi indetectable y ha cambiado la gran pregunta: ya no pensamos en si eso nos puede pasar, pensamos en cuándo nos va a pasar.

¿Cómo se construye un ataque de phishing con IA?

La realidad tras todo esto parece ciencia ficción, pero es simple y llana metodología. Un atacante puede acceder a los perfiles públicos de LinkedIn de una empresa, por ejemplo, buscar todo su historial en busca de publicaciones, analizar su tono y formas a la hora de comunicarse y acudir a redes sociales o foros para ampliar su información. En pocos minutos ya tiene un perfil muy claro y detallado de su objetivo.

¿Qué hace después? Acudir a algún modelo de lenguaje que no tenga las restricciones éticas de los LLM comerciales (que los hay) y construir un correo totalmente personalizado, perfecto, con el tono exacto que busca. Ha suplantado al remitente sin saber programar, sin ser un experto en hackeos ni en ciberseguridad.

En 2024, IBM demostró que una IA necesita solo 5 minutos y 5 instrucciones para poder construir un peligrosísimo ataque de phishing que, antiguamente, requeriría unas 16 horas de trabajo de todo un equipo. Se gasta un 5% de lo que se gastaba antes tanto en tiempo como en dinero, y con un nivel de personalización abrumadoramente preciso. Y lo peor de todo es que hablamos solo de correos, pero hay técnicas mucho más finas como aquella a la que se enfrentó el pobre empleado de Arup.

¿Quién y cómo está usando la IA para frenar este peligro?

Al igual que el peligro se ha acrecentado, la defensa también ha crecido gracias a todo lo que trae consigo la inteligencia artificial. De hecho, hay empresas que, como Genexusconsulting, llevan tiempo jugando en esta misma liga, pero en el bando totalmente opuesto. Esta compañía, sin ir mas lejos, está especializada en seguridad informática y trabaja ayudando a organizaciones a auditar su vulnerabilidad, detectar vectores de ataque y construir capas de protección frente al nuevo phishing con IA.

Otra compañía que también opera de forma parecida es Darktrace, que usa un sistema que aprende del comportamiente habitual de una red para poder detectar desbiaciones y neutralizar amenazas en caso de detectar anomalías antes de que estas escalen, y todo sin tener que usar reglas manuales predefinidadas, como si fuera un sistema inmunológico impulsado por inteligencia artificial.

También hay otros nombres célebres como la mismísima Microsoft, que ha redoblado su inversión en personal para iniciativas de seguridad, con más de 30.000 ingenieros dedicados a tiempo completo a esta labor, con un foco especial en el desarrollo de sistemas de autenticación blindados frente al phishing. Otro caso es el de Crowdstrike, con su propia plataforma de seguridad inteligente; o Palo Alto Networks, que ha desarrollado Cortex XDR.

La carrera acaba de comenzar

Aunque el terreno de la Inteligencia Artificial sea algo emergente y esté en pañales, su aplicación en cualquier ámbito está empezando a rodar más y más. De todas maneras, aunque se desarrollen nuevos sistemas de ciberseguridad con IA para frenar a su vez los ciberataques con IA, sigue habiendo un eslabón débil que requiere aprendizaje, adaptación y dominio de todo este nuevo entorno: el humano.

Solo hay que tener en cuenta un dato para entender mejor lo importante que es este factor: solo en 2024, el 75% de los cieberataques comenzaron por un correo electrónico que no se debía abrir. Y es que, por más muros que pueda levantar la tecnología, si una persona recibe un mail que no tiene nada de sospechoso, o incluso una videollamada con la cara de su jefe, ahora mismo le es imposible cuestionarlo. Y eso hace que el muro que impone la inteligencia artificial no sirva de nada.

Esta carrera acaba de comenzar y el aprendizaje será más que necesario. Los trabajadores necesitan aprender a detectar deepfakes, a saber cuándo algo es real y cuándo no. El problema es que la IA también está aprendiendo a ser cada vez más indetectable. Es un círculo vicioso muy peligroso para el tejido empresarial, pero del que se puede salir airoso contando con las herramientas adecuadas.