La inteligencia artificial ha dejado de ser un experimento de laboratorio para convertirse en una herramienta al alcance de cualquiera. Y, como suele ocurrir, los ciberdelincuentes han sido los primeros en sacarle partido. Lo que antes requería horas de preparación ahora se ejecuta en minutos gracias a modelos generativos capaces de imitar voces, crear rostros hiperrealistas o manipular asistentes virtuales.

En este nuevo escenario, los expertos de Zerod, el primer marketplace de white hackers, detectan un auge de estafas impulsadas por IA. En este nuevo escenario, los expertos de Zerod, el primer marketplace de white hackers, detectan un auge de estafas impulsadas por IA. Entre las más preocupantes están el robo masivo de credenciales y datos financieros dirigido especialmente al sector hotelero, utilizando phishing automatizado con IA, los deepfakes con impacto político y los fraudes de identidad sofisticados que aprovechan técnicas como el voice cloning o el prompt injection.

Estafas hoteleras, Deepfakes y fraudes de identidad.

El turismo se ha convertido en uno de los sectores más vulnerables. Los atacantes se hacen pasar por empleados de agencias o cadenas hoteleras, utilizando chats y correos generados por IA para robar credenciales y datos bancarios. “Con sistemas de mensajería automatizada, pueden atender a decenas de víctimas a la vez y generar comunicaciones que imitan el tono corporativo de un hotel real. Una vez obtienen las credenciales, las utilizan para realizar transferencias fraudulentas, compras no autorizadas o incluso para vender esos datos en mercados clandestinos”, explica Víctor Ronco, CEO de Zerod.

El problema, sin embargo, no se queda en el turismo. Los deepfakes políticos ya forman parte del arsenal de desinformación en campañas electorales. “Vídeos y audios que parecen auténticos pueden socavar la reputación de un candidato o provocar desconfianza en procesos democráticos”, advierte Víctor Ronco. En este sentido y según algunos informes, en 2024 se detectaba un intento de deepfake cada cinco minutos a escala global.

La tercera gran amenaza es el fraude de identidad mediante clonación de voz. Hoy basta con unos segundos de audio para recrear la voz de un directivo, un proveedor o incluso un familiar. “Esa clonación se utiliza en llamadas (vishing) para ordenar transferencias urgentes o convencer a un empleado de que comparta información sensible”, señala el CEO de Zerod. A esto se suman las técnicas de prompt injection (inyectar instrucciones maliciosas en asistentes de IA), que abren grietas en aplicaciones corporativas que hasta hace poco parecían seguras.

Además, las cifras confirman la tendencia. Solo en España, el Instituto Nacional de Ciberseguridad (INCIBE) gestionó más de 97.000 incidentes en 2024, de los cuales el 43% estuvieron relacionados con fraudes online; mientras que el phishing fue el gran protagonista, con más de 21.500 casos registrados. A escala internacional, los intentos de falsificación digital crecieron un 244% en un año, un dato que muestra hasta qué punto el fraude digital se ha disparado.

La IA industrializa el fraude

Lo preocupante no es solo que la IA facilite un fraude, sino que lo industrializa. “En los últimos seis meses hemos visto cómo operaciones que antes requerían días de preparación, como grabar un audio falso o crear una web trampa, hoy se pueden replicar en cuestión de minutos y a gran escala. Eso obliga a repensar por completo las defensas, porque el adversario juega ahora con una ventaja de velocidad y realismo”, explica el CEO del primer marketplace de white hackers.

Víctor Ronco insiste en la necesidad de reforzar la formación del personal, implementar sistemas de verificación adicionales y realizar simulacros periódicos. “La prevención es más barata que la recuperación. Empresas turísticas, partidos políticos y administraciones públicas deben asumir que ya no basta con el antivirus tradicional y es que la identidad digital se ha convertido en el verdadero campo de batalla”, mantiene el experto de Zerod.

La IA también como aliada

Pero no todo es pesimismo. Desde Zerod recuerdan que la inteligencia artificial también puede ponerse al servicio de la defensa, utilizada como herramienta para aumentar la productividad y eficiencia de la ciberseguridad ofensiva. La compañía ha desarrollado ZerodPentAI, el primer pentester autónomo con IA que va más allá del análisis dinámico tradicional para ejecutar pruebas de penetración exhaustivas de manera completamente autónoma. Este sistema realiza no solo la detección sino también la explotación real de vulnerabilidades en un entorno controlado para aplicaciones web y APIs. El objetivo es claro: descubrir y demostrar el impacto real de las brechas de seguridad antes que los atacantes.

“Nuestro enfoque es único porque no nos limitamos a escanear vulnerabilidades, sino que las explotamos de manera autónoma para mostrar exactamente cómo un atacante real podría comprometer un sistema. La misma tecnología que usan los delincuentes puede utilizarse para defender, pero con la ventaja de la velocidad y exhaustividad que solo la IA puede ofrecer«, concluye Víctor Ronco.