El impacto de la Inteligencia Artificial en la ciberseguridad: riesgos y tendencias mundiales

¿Alguna vez ha recibido una llamada o videollamada proveniente del exterior en la que no habla nadie? ¿Recientemente ha recibido notificaciones de entidades que le proveen bienes o servicios en donde se le informa que sus datos han sido comprometidos en un ciberataque?

El rastreador mundial de incidentes de Inteligencia Artificial (IA) elaborado por el Instituto Técnico de Massachussets (MIT) da cuenta de cómo la cantidad de incidentes asociados a causas de “privacidad y seguridad” ha aumentado en forma sostenida desde el 2015 hasta hoy, pues pasó de 24 a 318 registros. Por su parte, los incidentes causados por “actores maliciosos” hoy en día representan el 58% de los incidentes para el año 2025, cuando en el año 2015 equivalía tan sólo a ~8%.

Según el Foro Económico Mundial (WEF, por el significado de sus siglas en inglés), el incremento mencionado puede atribuirse a diversas causas. Una de las principales es la intensificación de la tensión geopolítica y económica que se ha experimentado desde 2023 hasta la fecha, lo que ha generado una verdadera olla de presión y ha incrementado la necesidad de acceder a una mayor cantidad y variedad de datos como materia prima para alcanzar los objetivos propuestos. Esta situación crea un incentivo perverso que impulsa la obtención de datos por medios maliciosos o en contravención de las regulaciones de protección de datos. Como resultado, los ciberatacantes se ven motivados a intensificar sus actividades, aprovechando la vulnerabilidad de aquellas organizaciones que carecen de mecanismos de defensa adecuados.

Por otro lado, la amplia disponibilidad de la IA, tanto a través del software de código abierto como la proliferación de modelos avanzados que sean accesibles al público en general, ha permitido que, tanto actores legítimos como maliciosos puedan utilizar estas herramientas sin restricciones y pocos o nulos recursos. Esta situación facilita la creación de virus más sofisticados y difíciles de detectar, al igual que el desarrollo de perfiles personalizados y altamente realistas. Estos perfiles, a su vez, permiten diseñar estrategias de ingeniería social mucho más precisas y efectivas, incrementando significativamente el éxito de los ciberataques.

Una de las modalidades más populares y sofisticadas de ciberataques en lo que va del año son aquellos que emplean “deepfakes”. Estos consisten en videos o audios falsos, pero sumamente realistas, generados mediante IA generativa. Frecuentemente, estos materiales se crean a partir de la voz obtenida mediante una “llamada fantasma” o del procesamiento de imágenes y videos publicados en redes sociales. La utilización de “deepfakes” se integra en estrategias de ingeniería social, que históricamente han representado la principal vulnerabilidad en materia de ciberseguridad. Esto se debe a que, sin importar cuán robustas sean las barreras técnicas implementadas para proteger los sistemas, el factor humano siempre resulta impredecible y, al brindar acceso directo a los activos que buscan los ciberatacantes, se convierte en un blanco recurrente. De acuerdo con Fortinet, en lo que va del 2025, aproximadamente el 47% de las empresas ha reportado intentos de fraude mediante el uso de “deepfakes” para suplantar identidades, cifra que se suma al aumento del 42% en los incidentes de ingeniería social reportados por las organizaciones al WEF durante 2024.

Ahora bien, aunque es cierto que ninguna organización está totalmente a salvo de sufrir un incidente de ciberseguridad, la diferencia entre un aquel que logra ser controlado de manera efectiva y un desastre empresarial radica en la preparación y la respuesta que la empresa haga en esos momentos críticos. Debido a ello, vale la pena enfatizar en la importancia que tiene el promover una cultura de seguridad de la información mediante campañas de sensibilización y capacitación, medida que debe ir acompañada del diseño e implementación de políticas, protocolos y manuales tanto de seguridad de la información como de gobernanza de IA, pues, aunque se parecen, son distintos y no deben confundirse o reemplazarse para impedir dejar frentes altamente vulnerables en el marco del contexto actual.

A los retos técnicos y económicos se suma la obligación de cumplir con un entramado complejo de requerimientos legales que se activan ante una brecha de seguridad. Aunque en Colombia no existe una ley específica de “ciberseguridad”, sí hay normatividad aplicable desde la regulación sectorial, responsabilidad contractual y extracontractual, así como disposiciones en materia de protección de datos personales y los ciberdelitos en el ámbito penal. Esta complejidad se incrementa cuando intervienen matrices o subsidiarias en el extranjero, clientes internacionales, datos personales u otra información sensible. Dependiendo de la jurisdicción y el sector, pueden existir leyes y regulaciones que exigen notificar los incidentes a autoridades gubernamentales, reguladores sectoriales y personas afectadas dentro de plazos específicos. Por ello, es fundamental que el diseño e implementación de un modelo de gobernanza de IA, así como la prevención y gestión de incidentes, incluyan un análisis de materialidad, la identificación de la normatividad aplicable en cada caso y, posteriormente, el desarrollo e implementación de medidas de cumplimiento, seguimiento y demostración ante las autoridades competentes.

El paso del tiempo no reducirá los riesgos ni los desafíos en materia de ciberseguridad, ya que la tecnología seguirá avanzando, los activos intangibles serán cada vez más valiosos y, en consecuencia, la vulnerabilidad aumentará progresivamente. Por ello, no es recomendable esperar a que ocurra un incidente de seguridad como el que recientemente afectó a IFX Networks, impactando al menos a 34 entidades estatales y a varias empresas privadas, incluida la autoridad nacional de protección de datos personales (Superintendencia de Industria y Comercio). Es fundamental realizar diagnósticos, buscar asesoría tanto técnica como jurídica y tomar las medidas adecuadas para anticiparse y prevenir situaciones indeseables.