La IA transforma el cibercrimen: ¿cómo afrontar la nueva era de amenazas digitales?

El timo de la estampita sigue funcionando en pleno siglo XXI. Pero ahora la estampita llega por correo electrónico con una traducción impecable, conoce tu nombre completo, sabe dónde trabajas, imita la voz de tu jefe con una precisión escalofriante y utiliza deepfakes tan convincentes que distinguirlos de la realidad se ha convertido en un ejercicio de fe. 2025 fue el año en que la inteligencia artificial dejó de ser una promesa de futuro para convertirse en el arma más poderosa del cibercrimen.

"Al fin y al cabo, el ataque más rentable sigue siendo engañar a una persona", explica Manuel Achaques, Presales Team Lead de Hornet Security para Iberia, Italia y Latinoamérica. "Da igual que sea una persona dentro de una compañía o una persona particular. ¿Cuál fue el gran cambio en 2025? Que a ese engaño se ha añadido la escala de la inteligencia artificial".

El balance del año pasado muestra que, pese a las constantes campañas de concienciación desde medios, empresas y administraciones, los ataques son más efectivos que nunca. La razón no es que los usuarios sean más descuidados, sino que los atacantes han dado un salto cualitativo sin precedentes gracias a herramientas que hace apenas dos años pertenecían al ámbito de la ciencia ficción.

Cuando el phishing dejó de ser un correo mal traducido

Antes, identificar un intento de phishing era relativamente sencillo. Los correos electrónicos fraudulentos llegaban plagados de errores gramaticales, traducciones automáticas torpes y datos genéricos que alertaban inmediatamente. Esos tiempos han quedado atrás. "Ahora la traducción es perfecta", señala Achaques. "Tienen datos nuestros porque es muy fácil hacer una búsqueda de datos personales en internet. Se pueden añadir copias de voz o vídeo con unos pocos segundos, hacer llamadas, y también se añaden deepfakes, con lo cual el engaño es mucho más completo".

La explicación de esta transformación radical está en las filtraciones masivas de información de los últimos meses a lo largo del año. Aerolíneas, compañías eléctricas, administraciones públicas: prácticamente todos los sectores han sufrido brechas de seguridad que han comprometido datos personales de millones de ciudadanos. Esa información, que incluye nombres, direcciones, números de teléfono, correos electrónicos y en muchos casos datos más sensibles, alimenta ahora las bases de datos de los ciberdelincuentes para crear ataques hiperpersonalizados.

El ciudadano, en el punto de mira

Para el ciudadano de a pie, el panorama es especialmente preocupante. Los ataques más frecuentes llegan a través de mensajes de texto y WhatsApp. "Nuestros datos ya están en bases comprometidas de aerolíneas, compañías eléctricas o administraciones públicas", advierte Achaques. "Te mandan un mensaje, te hacen una llamada, alguien que sabe datos tuyos que ni tú sabes cómo los tienen".

Las recomendaciones de los expertos son claras pero requieren un cambio de hábitos: variar las contraseñas entre servicios y añadir autenticación multifactor, ese paso adicional que solicita un código SMS o usa biometría.

Sin embargo, la recomendación más importante tiene que ver con el comportamiento humano: no actuar con prisa. "La urgencia es el principal truco psicológico", insiste Achaques. "Si un banco llama por una transferencia rara, no hay que precipitarse. Si llega una multa con plazo de pronto pago, hay que pensar si es el procedimiento habitual. Cuanto más rápido actúas, más fácil es que caigas".

Este consejo puede parecer obvio, pero los delincuentes explotan esa sensación de urgencia: un mensaje que amenaza con bloquear nuestra cuenta bancaria, una supuesta multa de tráfico con recargo si no se paga en 24 horas, una llamada que simula ser de nuestro banco alertando de movimientos sospechosos.

El asalto a las empresas: cuando el proveedor es el eslabón débil

Si para los ciudadanos el panorama es complejo, para las empresas es crítico. En 2025, los ataques más graves no han seguido necesariamente el camino directo. "Muchas veces no van directos a la empresa afectada, sino a un proveedor de esa empresa, lo que distribuye mucho más el ataque", explica Achaques.

Esta estrategia de ataque a la cadena de suministro explota el eslabón más débil del ecosistema empresarial. Una gran corporación puede tener sistemas de seguridad robustos, pero basta con que uno de sus proveedores -quizás una empresa mediana o pequeña con recursos limitados- sea comprometido para que toda la cadena se vea afectada.

Alex Rocha, Country Manager Iberia de Armis, describe el desafío al que se enfrentan las organizaciones: "Los atacantes son oportunistas y buscan el punto de entrada más fácil. A medida que la superficie de ataque de las organizaciones se expande constantemente, los equipos de seguridad se enfrentan al reto de mantener una visión continua de entornos en permanente cambio".

Esa "superficie de ataque" incluye un ecosistema cada vez más complejo: sistemas IT tradicionales, infraestructuras cloud, entornos de tecnología operacional (OT) en fábricas y plantas industriales, dispositivos IoT que van desde sensores hasta cámaras de seguridad, equipamiento médico conectado en hospitales y ahora también las inteligencias artificiales corporativas.

"Los activos desconocidos o no monitorizados de todo tipo pueden convertirse en un objetivo perfecto para los ciberdelincuentes que buscan acceder a la red y moverse lateralmente para desplegar ataques", añade Rocha. Este movimiento lateral -la capacidad de un atacante para, una vez dentro del sistema, expandirse a otras áreas- es lo que convierte un incidente de seguridad en una crisis corporativa.

Infraestructuras críticas

Las entidades de infraestructuras críticas son un objetivo muy atractivo para los ciberdelincuentes, y no solo por el volumen de datos que manejan.

"Los ataques ya no se limitan al ámbito digital: pueden traducirse en interrupciones de servicios públicos, sanitarios o financieros, afectando directamente a la vida diaria y a la confianza en las instituciones", explica Rocha. "Cuando hospitales, administraciones públicas o infraestructuras críticas se ven comprometidos, el impacto va más allá de la organización atacada y se convierte en un problema de seguridad pública".

Los ciberdelincuentes conocen la urgencia de restaurar estos sistemas. Un hospital que no puede acceder a historiales médicos, una compañía eléctrica con sistemas de distribución comprometidos, una planta de tratamiento de aguas con sus controles industriales cifrados: la presión para restaurar la normalidad es inmensa, lo que incrementa la probabilidad de que la organización acceda a pagar un rescate.

El sector público español presenta vulnerabilidades específicas. "Combina una rápida digitalización con sistemas heredados, lo que incrementa la superficie de ataque", señala Rocha. "Ayuntamientos, administraciones e instituciones educativas sufren ataques persistentes destinados a interrumpir servicios esenciales y erosionar la confianza". La menor rapidez del sector público en adoptar nuevas tecnologías, a menudo limitado por presupuestos ajustados y procesos de contratación complejos, lo convierte en un objetivo recurrente.

Ransomware: la industria del rescate digital

El ransomware merece un capítulo aparte. Este tipo de ataque, en el que los delincuentes cifran los datos de una organización y exigen un pago para restaurar el acceso, se ha convertido en una verdadera industria criminal. Pero la realidad es más compleja, y más sombría.

"Aunque la recomendación es no pagar, muchas empresas lo hacen por miedo", reconoce Achaques. "Pero pagar no garantiza recuperar los datos. Los atacantes suelen robar la información antes de cifrarla y vender accesos en el mercado negro. Cuando se detecta el ataque, normalmente ya es tarde".

Esta doble extorsión ha cambiado las reglas del juego. Incluso si una empresa tiene copias de seguridad y puede restaurar sus sistemas sin pagar, la amenaza de que información sensible se filtre puede forzarla a negociar. Y el mercado negro de accesos añade una capa más: grupos criminales que se dedican a conseguir acceso a redes corporativas para luego vender ese acceso a otros grupos que desplegarán el ransomware.

Ese es otro factor, la profesionalización del cibercrimen: "La ciberdelincuencia genera más dinero que el tráfico de drogas y funciona como una industria organizada, con departamentos especializados", explica Achaques.

El dilema de la inteligencia artificial interna

Uno de los desafíos para las empresas tiene que ver con el uso que sus propios empleados hacen de herramientas como ChatGPT, Claude o Gemini para redactar correos, analizar datos, generar informes o resolver problemas técnicos.

"Muchos empleados suben información confidencial a modelos públicos para ahorrar tiempo, sin darse cuenta de que esos datos pasan a otra infraestructura", advierte Achaques. "Es necesario establecer reglas claras y concienciación interna para usar IA de forma segura".

2026: el año en que la IA se convierte en el atacante

Si 2025 fue el año en que la inteligencia artificial potenció los ataques existentes, 2026 promete ser el año en que la IA "no solo acelerará los ataques, sino que se convertirá en el propio atacante, con campañas autónomas capaces de adaptarse en tiempo real", anticipa Rocha.

Puede sonar a ciencia ficción, pero los fundamentos técnicos ya existen. "Nos enfrentamos a adversarios que aprenden y se adaptan mientras atacan", explica Rocha. "Este nuevo paradigma incrementa tanto la escala como la sofisticación de los ataques, al tiempo que reduce la barrera de entrada para los atacantes".

Los deepfakes también evolucionarán. Los expertos anticipan mejoras que harán que "la identificación sea prácticamente imposible", según Rocha. Las identidades sintéticas -personas ficticias creadas mediante IA, con perfiles coherentes en redes sociales, historial digital creíble y contenido multimedia generado. complicarán aún más la distinción entre lo real y lo falso.

La inteligencia artificial también será capaz de superar controles de seguridad que hasta ahora se consideraban efectivos para detener bots automatizados. "Veremos IA capaces de superar controles como los captcha", advierte Achaques.

Pero quizás la amenaza más preocupante para el medio y largo plazo sea la que viene de la mano de la computación cuántica. Aunque esta tecnología aún no esté adoptada masivamente, "los delincuentes ya acumulan datos cifrados esperando poder descifrarlos en el futuro", explica Achaques. "Esto cambiará el paradigma y hará que contraseñas que hoy parecen seguras dejen de serlo".

Esta estrategia, conocida como "harvest now, decrypt later" (cosechar ahora, descifrar después), convierte los datos robados hoy en un activo que puede explotarse en el futuro. Información que ahora está protegida por cifrados que tardarían milenios en romperse con computación tradicional, podría ser descifrada en cuestión de minutos u horas con ordenadores cuánticos suficientemente potentes.

La carrera por la defensa

Ante este panorama, ¿qué pueden hacer las organizaciones? Los expertos coinciden en que la estrategia debe basarse en tres pilares: visibilidad completa del entorno, anticipación proactiva de amenazas y resiliencia para recuperarse de incidentes inevitables.

"El reto actual para las empresas es contar con una visibilidad completa y en tiempo real de todos sus activos, desde sistemas IT y cloud hasta entornos OT e IoT, para saber qué hay en su entorno y poder proteger su superficie de ataque", explica Rocha: no se puede proteger lo que no se conoce.

Rocha propone que, "en lugar de actuar y reaccionar ante ataques o incidentes, el riesgo debe evaluarse de forma continua y abordarse de manera proactiva". Las plataformas de gestión de exposición cibernética permiten a las organizaciones identificar, priorizar y mitigar vulnerabilidades antes de que puedan ser explotadas.

La protección en capas sigue siendo esencial. "Contraseñas robustas, multifactor, biometría y planes de recuperación", enumera Achaques. Cada capa adicional de seguridad incrementa la dificultad para un atacante.

Pero ningún sistema es infalible, y ahí es donde entra la resiliencia. "Es fundamental tener una estrategia clara: saber qué pasa si me atacan, cómo recuperarme, cómo limitar el alcance", insiste Achaques. Las organizaciones deben asumir que, eventualmente, sufrirán algún tipo de incidente de seguridad, y estar preparadas para minimizar el impacto y restaurar la normalidad lo antes posible.

El factor humano

Pese a todo, el factor humano puede comprometerlo todo. "La concienciación es clave, porque los ataques se dirigen tanto a la tecnología como a las personas, y las personas somos las que más caemos en fraudes", reconoce Achaques.

La formación continua de empleados es clave, y los equipos de seguridad más avanzados realizan simulacros regulares de phishing, envían correos de prueba, y mantienen programas de concienciación que evolucionan al mismo ritmo que las amenazas.

Pero Rocha advierte contra una visión excesivamente pesimista: "No creemos que estemos haciendo nada mal, pero los ataques que estamos viendo son cada vez más sofisticados, lo que hace que las amenazas sean complejas, altamente personalizadas y extremadamente ágiles".

El cumplimiento normativo

La regulación está jugando un papel cada vez más importante en impulsar la adopción de medidas de seguridad. La entrada en vigor obligatoria de la directiva NIS2 en 2026 marca un punto de inflexión para muchas organizaciones que hasta ahora habían tratado la ciberseguridad como algo opcional o secundario.

La certificación CCN-ENS Alto para entornos críticos en España y otras certificaciones internacionales no son ya solo sellos de calidad sino requisitos operativos para poder trabajar con determinados clientes o sectores.

España en el mapa global de la ciberseguridad

Hay motivos para cierto optimismo cuando se habla de las capacidades defensivas españolas. "Las autoridades españolas cuentan con equipos muy capacitados y con reconocimiento internacional", afirma Achaques.

Esta capacitación es resultado de años de inversión en formación, de la experiencia acumulada, y de una colaboración cada vez más estrecha entre sector público y privado. Organismos como el Instituto Nacional de Ciberseguridad (Incibe) o el Centro Criptológico Nacional (CCN) han desarrollado capacidades técnicas que son referencia en el ámbito europeo.

El mensaje final

Llegados a este punto, sería fácil caer en el pesimismo o la paranoia. Pero ambos expertos coinciden en que el mensaje no debe ser de alarma sino de preparación. "Hay equipos muy buenos trabajando en defensa, herramientas avanzadas y conocimiento compartido", insiste Achaques. "La clave está en poner los recursos necesarios para igualar la lucha y estar preparados para lo que viene".

La tecnología que utilizan los atacantes también está disponible para los defensores. La inteligencia artificial que permite crear phishing convincentes también puede utilizarse para detectar anomalías en patrones de comunicación, identificar intentos de intrusión y automatizar respuestas a incidentes. Las mismas técnicas de aprendizaje automático que personalizan los ataques pueden emplearse para personalizar las defensas.

"Los equipos deberán apoyarse en tecnologías de seguridad impulsadas por IA que les permitan comprender, en tiempo real, los cambios en su entorno y los riesgos asociados a los activos conectados", explica Rocha. "Solo anticipándose a las tácticas cada vez más sofisticadas de los ciberdelincuentes y con un conocimiento profundo de su propia infraestructura podrán mantener una defensa eficaz y proteger proactivamente su entorno".

Para los ciudadanos, el mensaje es similar: no se trata de desconectarse del mundo digital ni de desconfiar de toda comunicación que recibamos, sino de desarrollar un escepticismo saludable, de incorporar hábitos básicos de seguridad digital (contraseñas únicas, autenticación multifactor, pensar antes de hacer clic).

"No se trata de tirar los dispositivos, sino de adaptarse y prevenir", concluye Achaques con una analogía tan simple como efectiva. "Igual que ponemos una alarma en casa cuando nos vamos de vacaciones, hay que estar preparados".